T-143-22 Sentencia T-143/22
DERECHO AL HABEAS DATA, LIBERTAD DE LOCOMOCIÓN, UNIDAD FAMILIAR Y PRIVACIDAD-Carencia actual de objeto por hecho superado, por cuanto se eliminaron protocolos de bioseguridad que exigían el uso de la aplicación CoronApp
ACCIÓN DE TUTELA PARA LA SUPRESIÓN DE DATOS PERSONALES-Improcedencia del amparo por incumplimiento del requisito de subsidiariedad, accionantes no formularon previamente solicitud de supresión de datos personales
(…), como consecuencia de que la accionante no ha presentado la reclamación de la supresión de los datos personales ante el responsable o encargado de la administración de la aplicación CoronApp, la acción de tutela es improcedente por no cumplir con el presupuesto formal de procedencia fijado por la jurisprudencia constitucional, en concordancia con lo estipulado en el artículo 15 de la Ley 1581 de 2012.
DERECHO AL HABEAS DATA-Alcance y contenido
ACCION DE TUTELA PARA LA PROTECCION DEL DERECHO AL HABEAS DATA-Procedencia
DERECHO AL HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Principios y garantías constitucionales
DERECHO AL HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Eventos en que procede la revocatoria de la autorización y la supresión del dato
ACCION DE TUTELA PARA LA PROTECCION DEL DERECHO AL HABEAS DATA-Procedencia, previa solicitud de corrección, aclaración, rectificación o actualización de información
(…) la jurisprudencia constitucional ha determinado que la solicitud, por parte del afectado, de la supresión del dato o de la información que se considera violatoria del régimen general de protección de habeas data, previa a la interposición del mecanismo de amparo constitucional, constituye un presupuesto general para el ejercicio de la acción de tutela.
CARENCIA ACTUAL DE OBJETO-Fenómeno que se configura en los siguientes eventos: hecho superado, daño consumado o situación sobreviniente
CARENCIA ACTUAL DE OBJETO POR HECHO SUPERADO-Configuración
(…), la conducta que generaba la vulneración de los derechos invocados por las accionantes se modificó completamente en el curso de la revisión del expediente por la Sala Tercera de Revisión. Es así como, actualmente, las accionantes pueden ingresar a los aeropuertos y acceder al servicio de transporte aéreo sin la necesidad de descargar y usar la otrora aplicación CoronApp. Por lo tanto, al constatar que una eventual orden de amparo no tendría efecto alguno sobre la situación de las tutelantes, en la parte resolutiva de esta providencia, la Sala declarará la carencia actual de objeto por la configuración del fenómeno de hecho superado.
DERECHO AL HABEAS DATA-Jurisprudencia constitucional
DERECHO AL HABEAS DATA-Protección de su núcleo esencial en el contexto de la pandemia COVID-19
DERECHO AL HABEAS DATA MEDIANTE LA SUPRESIÓN DE DATOS PERSONALES-Dilación injustificada en el debido procedimiento administrativo
La dilación injustificada se presenta cuando la duración de un procedimiento supera el plazo razonable. De acuerdo con la jurisprudencia constitucional, la razonabilidad del plazo se establece en cada caso particular, teniendo en cuenta (i) la complejidad del asunto; (ii) la actividad procesal del interesado; (iii) la conducta de la autoridad competente; y (iv) la situación jurídica de la persona interesada.
Referencia: Expediente T-8.197.643
Acción de tutela interpuesta por la señora Juanita María Goebertus Estrada y otras contra Ministerio de Salud y otros.
Magistrado ponente:
ALEJANDRO LINARES CANTILLO
Bogotá D.C., veintiséis (26) de abril de dos mil veintidós (2022)
La Sala Tercera de Revisión de la Corte Constitucional, integrada por la Magistrada Paola Andrea Meneses Mosquera y los Magistrados Antonio José Lizarazo Ocampo y Alejandro Linares Cantillo, quien la preside, en ejercicio de sus competencias constitucionales y legales, ha proferido la siguiente:
SENTENCIA
1. Antes de proceder al estudio del asunto, esta Sala de Revisión considera necesario tomar oficiosamente medidas para proteger los datos personales de la accionante Claudia Julieta Duque Orrego, debido que pone de presente su condición de víctima de interceptaciones ilegales por parte del Estado. Al respecto, en el trámite del proceso solicitó al juez de primera instancia mantener bajo reserva un anexo relacionado con una declaración rendida ante la Fiscalía General de la Nación[1] y, manifestó en la acción de tutela que prefiere “abstener[s]e de proveer a terceros, en todos los casos, información personal y mucho menos información personal de naturaleza sensible (…)”[2].
2. Conforme a lo dispuesto en el artículo 62 del Reglamento de la Corte Constitucional[3], serán elaborados dos textos de esta providencia de idéntico tenor. En el texto que será divulgado y consultado libremente, se omitirá la referencia a los datos relacionados con los destinos de viaje, así como cualquier información que pueda ser considerada sensible o que pueda exponer la seguridad personal[4] e intimidad[5] de la accionante Claudia Julieta Duque Orrego, con excepción de su nombre al evidenciarse que la periodista no tiene reparo en que se conozca esa información.
3. El día 27 de noviembre de 2020, las señoras Juanita María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque Orrego, actuando en nombre propio, interpusieron acción de tutela con medida provisional contra el Ministerio de Salud y Protección Social (en adelante, “Ministerio de Salud”), Instituto Nacional de Salud (en adelante, “INS”), Aeronáutica Civil de Colombia (en adelante, “Aerocivil”), OPAIN S.A.[6], Aeropuertos de Oriente S.A.S.[7] y Airplan S.A.S.[8], al considerar que la obligación de descargar y usar la aplicación CoronApp como una condición para ingresar a diferentes aeropuertos nacionales y poder hacer uso del servicio público esencial del transporte aéreo vulnera sus derechos a la privacidad, habeas data, libertad de locomoción o circulación y unidad familiar.
4. De manera preliminar, solicitaron al juez de tutela que dicte la siguiente medida provisional: “la suspensión, de manera provisional, del requisito de descargar la CoronApp a favor de Claudia Julieta Duque. Solicitamos, entonces, que emita un auto mediante el cual se ordene a las autoridades aeroportuarias permitir el ingreso al aeropuerto de Claudia Julieta Duque sin que le sea requerido descargar la aplicación CoronApp en ninguno de sus dispositivos”[9]. Lo anterior, bajo el argumento de que la señora Duque ha sido víctima de persecución por parte de entidades estatales, y es beneficiaria de las medidas cautelares 339-09 otorgadas por la Comisión Interamericana de Derechos Humanos (en adelante, “CIDH”).
6. En el mes de octubre de 2020, las señoras Juanita María Goebertus Estrada[10], Alejandra Martínez Hoyos[11] y Sol Marina de la Rosa Flórez[12], por motivos laborales y personales, utilizaron el servicio de transporte aéreo en las ciudades de Bogotá, Santa Marta, Bucaramanga y Medellín.
7. Las mencionadas accionantes manifestaron que para ingresar a los diferentes aeropuertos tuvieron que descargar y usar la aplicación CoronApp[13] contra su voluntad y, por el temor de perder sus vuelos, entregaron información que consideran sensible, sin que fuera ofrecida una alternativa diferente para proporcionar sus datos.
8. En el caso particular de la señora Claudia Julieta Duque Orrego, indicó que, en razón al contexto de la pandemia y por motivos de salud, sus padres se trasladaron de ciudad. Aunque tenía planes de visitarlos en vacaciones de final de año[14], manifestó que ha “estado impedida de viajar por temores sobre riesgos asociados a la exposición de [su] privacidad y la injerencia en [su] intimidad por terceros que descono[ce]”[15]. Su preocupación radica en que, según informó, ha sido víctima de actos de persecución, interceptación ilegal de sus comunicaciones e invasión ilegitima a su privacidad por parte de funcionarios del Estado[16].
9. Por ello, la señora Duque Orrego se niega descargar y usar la aplicación CoronApp en su teléfono móvil. En ese sentido, expresó en sus redes sociales que, como alternativa al uso de la aplicación, estaba dispuesta a realizarse las pruebas PCR que sean necesarias para que le permitan utilizar el transporte aéreo, sin “empeñar” sus datos personales y sensibles[17].
10. Las accionantes consideran amenazados y vulnerados sus derechos fundamentales a la privacidad, habeas data, libertad de locomoción o circulación y unidad familiar, en razón a que, fueron obligadas a descargar y usar la aplicación CoronApp como condición para ingresar a los diferentes aeropuertos y les inquieta que sean sometidas al mismo requisito en sus futuros viajes[18].
11. Unido a lo anterior, las accionantes sustentaron la presunta violación de sus derechos fundamentales en las siguientes razones: (i) a partir de una interpretación de la Resolución 1517 de 2020[19] es posible afirmar que la descarga y el uso de la aplicación CoronApp es voluntaria[20]; (ii) la política de tratamiento de la información de esta aplicación permite el acceso a los datos personales del titular, entre otras, a “las personas que por mandato legal u orden judicial sean autorizadas para conocer la información del titular del dato”, lo cual, a su juicio, es una previsión indeterminada, en tanto puede habilitar a distintas autoridades que no pertenezcan al ámbito sanitario, a tener acceso a su información[21]; (iii) “la política aplicada por [los] aeropuertos” que obliga a descargar y usar la CoronApp para poder utilizar el transporte aéreo es desproporcionada[22]; y (iv) la obligación de descargar y usar la CoronApp vulnera los principios relacionados con el derecho al habeas data[23], al tiempo que (v) “desincentiva el ejercicio del derecho a la locomoción que se constituye en medio necesario para ejercer el derecho a la unidad familiar”[24].
12. Mediante auto del 1° de diciembre de 2020, el Juzgado 43 Administrativo de Oralidad del Circuito de Bogotá resolvió (i) admitir la demanda de tutela; (ii) notificar a las accionantes y a las autoridades y personas jurídicas accionadas; (iii) vincular al Ministerio de Tecnologías de la Información y Comunicaciones (en adelante “MinTic”) y a la Corporación Agencia Nacional Digital (en adelante “AND”); y (iv) negar la solicitud de medida provisional, presentada por la señora Claudia Julieta Duque Orrego, al considerar que “de las pruebas aportadas al proceso no es posible determinar que el hecho de descargar la aplicación CoronApp ponga en riesgo la vida de la tutelante”[25].
13. El Ministerio de Salud solicitó que se declare su falta de legitimación en la causa por pasiva, debido a que, la implementación de la aplicación CoronApp se encuentra en cabeza del INS en coordinación con la AND. Así mismo, expuso que la aplicación recolecta datos públicos, semiprivados, privados y sensibles de los usuarios, según lo dispuesto en la Ley 1581 de 2012, con el fin de desplegar medidas de prevención, contención y mitigación frente al Covid-19[27]. Para tal efecto, hace uso de diferentes tecnologías y procedimientos de seguridad de la información, en aras de garantizar la integridad, disponibilidad y confidencialidad de la información personal y de salud[28]. Por último, señaló que las “instituciones” son autónomas frente a la creación y diseño de sus planes y protocolos de bioseguridad, los cuales deben seguir los lineamientos y disposiciones emitidas por el referenciado ministerio[29].
INS[30]
14. El INS informó que dentro de sus competencias está “la dirección, diseño y desarrollo de investigaciones epidemiológicas, experimentales y de desarrollo técnico de acuerdo con las necesidades y las políticas en materia de salud pública del país para la comprensión, prevención, diagnóstico y tratamiento de las enfermedades como el SARS CoV2-COVID-19”[31]. En ese sentido, informó que la CoronApp: (i) tiene como objetivo “identificar pacientes categorizados como alertas que han manifestado por medio del auto reporte, sintomatología y factores de riesgo compatibles con covid-19”; (ii) según los términos y condiciones de la aplicación[32], su uso es voluntario y “ningún derecho estará sujeto a que el ciudadano la instale”[33]; (iii) la información recolectada es entregada a las entidades territoriales[34] con el fin de “facilitar la identificación oportuna de casos potenciales en el territorio nacional”[35]; (iv) la entidad es la responsable del tratamiento de la información exclusivamente para “fines de mitigación de los efectos de la pandemia en el país”[36]; (v) la AND es la encargada del “tratamiento de CoronApp, en virtud de[l] Acuerdo de Transmisión de Datos Personales suscrito[37] (…) para el desarrollo de nuevas funcionalidades, apoyo a la gestión y mejoramiento continuo y analítica de datos de CoronApp, en el marco de las diferentes etapas para afrontar la pandemia por COVID19”[38]; y (vi) el tratamiento de la información que realiza la entidad se rige por el artículo 15 de la Constitución Política, la Ley Estatutaria 1581 de 2012, su decreto reglamentario[39] y las políticas internas de la institución[40].
15. Por último, frente a la pretensión de eliminación inmediata de la información de las accionantes (ver supra, numeral 5) informó que la supresión de los datos “no puede realizarla directamente el INS al tener un encargado para el tratamiento de la información”[41], así que requirió a la AND para que procediera a hacerlo[42]. Así mismo, reiteró que la política de tratamiento de datos de la CoronApp es clara, en el sentido que, su descarga, uso y desinstalación son voluntarias, así como la solicitud de eliminación de los datos personales del titular. Por lo tanto, solicitó al juez constitucional negar la acción de tutela, en razón a que, la entidad referenciada no ha vulnerado derecho fundamental alguno.
16. Pese a que fue vinculada al proceso de tutela, el MinTIC no se pronunció dentro del término dispuesto por el juez constitucional de primera instancia[43].
Aerocivil[44]
17. La Aerocivil solicitó su desvinculación por no contar con legitimación en la causa por pasiva, debido a que, quienes exigieron la descarga y uso de la aplicación CoronApp como condición para ingresar a los aeropuertos El Dorado, José María Córdova, Simón Bolívar y Palonegro no fueron los funcionarios de esa entidad, sino los de los concesionarios de cada uno de los aeropuertos.
AND[45]
18. La AND informó acerca de los protocolos y medidas técnicas de seguridad que adoptó como encargada de la CoronApp[46]. Explicó que “los datos sensibles suministrados por los usuarios de CoronApp son tratados únicamente por las personas que en el sistema de salud tienen responsabilidad legal en la captación, canalización y atención de pacientes”[47]. El tiempo del tratamiento de los datos recolectados es determinado por el Ministerio de Salud según las actividades para la contención y mitigación del Covid-19. Advirtió que “en la transferencia y/o transmisión de información se contemplan todas las medidas de protección y seguridad de la información establecidas en la Ley 1581 de 2012 y en las políticas del Instituto Nacional de Salud”[48]. Por último, manifestó que la CoronApp no configura vulneración a ningún derecho fundamental y, por lo contrario, ha sido un instrumento importante para la vigilancia epidemiológica por parte de las autoridades sanitarias.
Sociedad Operadora Aeroportuaria Internacional - OPAIN S.A.[49]
19. La OPAIN S.A. pidió su desvinculación del proceso de tutela, al considerar que las pretensiones de las accionantes se relacionan con el cumplimiento de la regulación dispuesta por el Ministerio de Salud respecto a la prevención y control de riesgo del Covid-19 en el sector aeroportuario y aeronáutico. Al respecto, indicó que la Resolución 1517 de 2020 impuso la obligación a los operadores de aeropuertos de “verificar el diligenciamiento de la encuesta de viaje dispuesta para el seguimiento del viaje en la aplicación CoronApp-Colombia o la que se estipule por parte del Ministerio de Salud (…)”. Teniendo en cuenta lo anterior, la operadora informó que no accede, administra, ni trata los datos suministrados por los viajeros en el aplicativo, sino que se limita a verificar la información que arroja el código QR. Además, señaló que “para los viajeros que por algún motivo no puedan bajar la aplicación o que manifiesten su desacuerdo con este requisito, [tienen como plan alterno] un registro manual del nombre, número de identificación y número de vuelo del pasajero”[50].
Aeropuertos de Oriente S.A.S.[51]
20. Aeropuertos de Oriente S.A.S manifestó que no cuenta con legitimación en la causa por pasiva, debido a que, solo da cumplimiento a la obligación de verificación prevista en la Resolución 1517 de 2020, la cual tiene un “seguimiento constante (…) tanto por parte de las Secretarias de Salud de los municipios, como de la Unidad Administrativa Especial de Aeronáutica Civil”[52] y no es el encargado de recolectar, tratar y/o administrar los datos que los pasajeros suministran a la aplicación CoronApp. Así mismo, señaló que la acción de tutela era improcedente porque, en su opinión, el Titulo VII de la Ley 1581 de 2012 dispone el medio de defensa idóneo para activar “la vigilancia y sanción para la Protección de Datos Personales”[53].
Sociedad Operadora de Aeropuertos Centro Norte – Airplan S.A.S.[54]
21. Airplan S.A.S. indicó que no tiene legitimación en la causa por pasiva, en razón a que, no ha vulnerado derecho fundamental alguno. Sobre el caso concreto, informó que ha cumplido con la Resolución 1517 de 2020, la cual tiene el claro objetivo de “implementar medidas generales para evitar la propagación del virus, lo que da lugar a interpretar que si el uso de la aplicación que abre este debate, es parte del protocolo de bioseguridad, la misma deberá ser usada para tal fin”[55].
Decisión de primera instancia: Sentencia proferida por el Juzgado 43 Administrativo de Oralidad del Circuito de Bogotá D.C., el 11 de diciembre de 2020[56]
22. El Juzgado 43 Administrativo de Oralidad del Circuito de Bogotá, D.C. resolvió negar el amparo solicitado por las accionantes, al considerar que no se evidenció la vulneración a los derechos fundamentales invocados. En concreto, en cuanto a la solicitud de protección de los derechos al habeas data, la libertad de locomoción, y respecto de la pretensión de aclaración del contenido de la Resolución No. 1517 de 2020 dirigida contra el Ministerio de Salud, el a quo manifestó que “no se puede evidenciar que la (…) encargada[57] de la protección de datos personales (…) haya incurrido en la transferencia o uso indebido de los datos personales de las aquí demandantes, como tampoco de los más usuarios que descargan la aplicación”[58]. Lo anterior, más aún cuando (ii) “la limitación de los derechos fundamentales con ocasión a la declaratoria de un Estado de Excepción es legítima”[59]. Por eso, concluyó que, para cuestionar la interpretación de los actos administrativos generales, las accionantes cuentan con los medios de control dispuestos en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
Impugnación[60]
23. Las accionantes impugnaron el fallo de tutela de primera instancia. De manera preliminar, informaron como hecho nuevo que la señora Claudia Julieta Duque Orrego, el 6 de diciembre de 2020[61], fue obligada a descargar y usar la CoronApp como condición de ingreso al aeropuerto el Dorado. En ese sentido, adicionaron la pretensión relacionada con la eliminación de la información suministrada a través de la aplicación CoronApp para incluirla en la misma y, eliminaron la relacionada con la no exigencia del requisito de la aplicación a la accionante Claudia Julieta Duque Orrego para utilizar el transporte aéreo. Asimismo, eliminaron a la Aerocivil de la pretensión primera dirigida, entre otras, a aclarar a las diferentes autoridades, operadores y aerolíneas que las personas que utilizan el servicio de transporte aéreo nacional no están obligadas a descargar y usar la aplicación CoronApp (ver supra, núm. 5). Luego, reiteraron el test de proporcionalidad propuesto en la acción de tutela; insistieron en que no existía Ley, ni Decreto Ley expedido en el marco de la emergencia económica que ordenara el uso de la CoronApp como un requisito para volar a destinos nacionales; y expusieron que “una cosa es la obligatoriedad de la Resolución 1517 de 2020 que consagra el deber de verificar y recomendar el uso de CoronApp a cargo de aerolíneas y explotadores de aeronaves (…); y otra muy distinta la obligación de los pasajeros de descargar y usar la aplicación CoronApp como un requisito para volar a destinos nacionales”[62], supuesto en el que consideran que los operadores aeroportuarios fueron excesivos y vulneraron sus derechos fundamentales[63].
24. El 3 de febrero de 2021, las Fundaciones para la Libertad de Prensa y El Veinte presentaron escrito de coadyuvancia en la acción de tutela de la referencia “con el fin de presentar argumentos relevantes para el análisis de la aplicación CoronApp para la circulación de los ciudadanos que realizan actividades periodísticas en Colombia”, debido a que, una de las accionantes ejerce la mencionada profesión[64]. Así mismo, solicitaron que se reconociera su calidad de coadyuvantes dentro del proceso y se acogiera las pretensiones de la señora Claudia Julieta Duque Orrego. En concreto, las fundaciones manifestaron que han tenido conocimiento de casos de periodistas a los cuales se le impuso la obligación de descargar y usar la aplicación CoronApp en los puntos aéreos de movilidad. Señalaron que lo anterior, afecta el ejercicio profesional y vulnera los derechos a la libertad de expresión y acceso a la información, pues, en su opinión, la aplicación tiene cuestionamientos respecto a la autorización y acceso a la georeferencia de los pasajeros[65], lo que puede generar una amplia circulación de los datos de los titulares, perjudicar la reserva de las fuentes y ser un riesgo a la integridad de los periodistas[66].
Decisión de segunda instancia: Sentencia proferida por el Tribunal Administrativo de Cundinamarca[67], el 18 de febrero de 2021[68]
25. El Tribunal Administrativo de Cundinamarca resolvió confirmar el fallo de tutela de primera instancia. Al respecto, señaló que las accionantes no habían realizado ninguna acción tendiente a solicitar la supresión de sus datos personales ante la AND, ni acreditaron que la descarga de la aplicación CoronApp les ocasionara un perjuicio irremediable. Además, indicó que “las accionantes parten de la idea de una mala fe frente al uso de esta plataforma”[69], sin que tal circunstancia se hubiera demostrado dentro del proceso ni tampoco el inadecuado uso de los datos que reposan en la aplicación. Por último, consideró que el derecho a la libre locomoción no es absoluto y que, una ponderación entre los derechos individuales, el interés general, la salud pública y el principio de solidaridad, permiten adelantar medidas de protección en donde pueden verse limitados ciertos derechos[70].
Escritos ciudadanos[71]
26. El señor Gaspar Pisanu, como líder de políticas públicas en América Latina; el ciudadano Daniel Duque Velásquez, como concejal de Medellín; diferentes organizaciones de la sociedad civil colombiana[72] y de Latinoamérica[73] y el Grupo de Acciones Públicas de la Universidad del Rosario presentaron escritos ciudadanos en los que solicitaron seleccionar el proceso de tutela de la referencia, al considerar que cumple con los criterios objetivo, subjetivo y complementario.
27. Sobre el primero señalaron que se trata de un asunto novedoso, debido a que, la Corte no tiene jurisprudencia sobre el derecho al habeas data cuando el Estado hace uso de tecnologías digitales para el cuidado de la salud pública en un escenario de estados de excepción. Además, indicaron que lo anterior podría estar relacionado con el derecho a la igualdad, en razón a que, las únicas personas obligadas a usar la aplicación CoronApp son aquellas que transitan por vía aérea y tienen un teléfono celular con ciertas características. Dentro del criterio objetivo, también señalaron que el caso concreto es una oportunidad para que el alto tribunal aclare el contenido y alcance del derecho fundamental del habeas data en el contexto de la pandemia y su ejercicio frente a las medidas regulatorias adoptadas por el Gobierno Nacional para contrarrestarla[74].
28. Frente al criterio subjetivo indicaron la necesidad de materializar un enfoque diferencial de las víctimas de crímenes de Estado “desde el concepto de sujetos de especial protección constitucional”[75] y los trabajadores que ostenta una función pública especial. Por último, consideraron los criterios complementarios, pues, en su opinión y dado que los protocolos de bioseguridad para viajar vía área se seguirán aplicando, el amparo de los derechos debe tener un efecto inter communis.
Escrito presentado por las accionantes el 9 de agosto de 2021[76]
29. Las accionantes manifestaron su interés en la revisión del proceso de tutela y presentaron información y argumentos por los cuales, en su opinión, la situación que derivó en la vulneración de sus derechos fundamentales sigue vigente y la necesidad de decretar pruebas. Al respecto, informaron que: (i) la Resolución No. 411 del 29 de marzo de 2021 reiteró la obligatoriedad del uso de la aplicación CoronApp por parte de los pasajeros de vuelos nacionales; (ii) entre los meses de febrero, marzo y mayo de 2021 las accionantes Sol Marina de la Rosa y Claudia Julieta Duque se desplazaron en rutas aéreas nacionales y les fue solicitada la aplicación como condición para abordar su vuelo, sin embargo, pudieron eximirse de tal requisito al exponer insistentemente sus argumentos sobre la política de datos y el uso voluntario de la misma; (iii) la Resolución No. 777 del 2 de junio de 2021 eliminó de los protocolos de bioseguridad el uso de la CoronApp para ingresar a los aeropuertos nacionales; (iv) en la política de privacidad de la aplicación hay dudas sobre la posibilidad de cancelación o eliminación de los datos de los titulares[77]; y (v) no se han concedido sus pretensiones. Además, solicitaron que “se deseche”[78] una posible configuración de “carencia actual de objeto por hecho superado”[79] y se decreten pruebas frente a las accionadas[80] e invite a organizaciones expertas[81] a emitir concepto.
30. Ante la Sala Tercera de Revisión se presentaron (i) una “intervención”[82] conjunta del Departamento Administrativo de la Presidencia de la República (en adelante “DAPRE”) y el Ministerio de Salud; y (ii) quince amicus curiae de diferentes organizaciones nacionales e internacionales en los que expusieron argumentos técnicos y jurídicos relacionados con el proceso de tutela de la referencia. Para mayor referencia, sobre los conceptos mencionados ver el ANEXO I: Intervención y amicus curiae.
Auto de pruebas del 8 de octubre de 2021[83]
31. Mediante el auto del 8 de octubre de 2021, el magistrado sustanciador, en ejercicio de la facultad prevista en el artículo 64 del reglamento de esta corporación, dispuso la práctica y decreto de múltiples pruebas a fin de recaudar los elementos de juicio necesarios para mejor proveer. En consecuencia, se ordenó oficiar a las accionantes, el INS, la AND el Ministerio de Salud, la Fiscalía General de la Nación (en adelante “FGN”), la Procuraduría General de la Nación (en adelante “PGN”), OPAIN S.A., Aeropuertos de Oriente S.A.S., Airplan S.A.S. y la Superintendencia de Industria y Comercio (en adelante “SIC”). Asimismo, mediante auto del 11 de octubre de 2021 se suspendió el presente proceso[84], en aras de recolectar y valorar las pruebas conforme se autoriza en el reglamento de esta Corte.
32. Vencido el término otorgado para dar respuesta y pronunciarse respecto el traslado probatorio, se recibió por parte de la Secretaría General de esta corporación la información que se relaciona a continuación y que puede ser consultada de forma detallada en el ANEXO II de esta providencia:
|
Identificación de las pruebas solicitadas en auto del 8 de octubre de 2021 |
Estado de verificación de elementos allegados al expediente |
|
A las accionantes, Juana María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque
PRIMERO: Dar información y respuesta a las preguntas realizadas por este despacho[85]. |
Mediante oficio recibido el 28 de octubre de 2021 las accionantes suministraron la información solicitada.
Mediante oficio recibido el 16 de noviembre de 2021 las accionantes se pronunciaron en virtud del traslado probatorio. |
|
Al INS y la AND:
SEGUNDO: Dar información y respuesta a las preguntas realizadas por este despacho[86]. |
Mediante oficio recibido el 27 de octubre de 2021 el INS y la AND suministraron respuesta unificada a la información solicitada. |
|
Al Ministerio de Salud:
TERCERO: Dar información y respuesta a las preguntas realizadas por este despacho[87]. |
Se advierte que no se recibió respuesta por parte del Ministerio de Salud que diera cuenta de la información solicitada en el numeral tercero del auto del 8 de octubre de 2021. |
|
A la FGN y a la PGN:
CUARTO: Se sirvan informar si la señora Claudia Julieta Duque Orrego ha presentado denuncias o quejas por la presunta comisión de delitos en su contra por razón del ejercicio de su profesión de periodista. |
Mediante correo electrónico recibido el 21 de octubre de 2021 y oficio recibido el 18 de noviembre de 2021 el Director Seccional de Boyacá y la Dirección de Atención al Usuario, Intervención Temprana y Asignaciones de la FGN, respectivamente, suministraron la información solicitada.
Mediante correo electrónico recibido el 29 de octubre de 2021 la PGN suministró datos generales sobre la información solicitada y trasladó la solicitud del magistrado sustanciador a las dependencias encargadas para que aportaran el estado y soporte de las actuaciones referenciadas, sin obtener respuesta de estas últimas. |
|
A OPAIN S.A., Aeropuertos de Oriente S.A.S. y Airplan S.A.S.:
QUINTO: Pregunta sobre el uso de otra alternativa al diligenciamiento de información en la aplicación CoronApp y soportes sobre los Protocolos de Bioseguridad Internos de los años 2020 y 2021. |
Mediante oficio recibido el 27 de octubre de 2021, Aeropuertos de Oriente S.A.S. y Airplan S.A.S. suministraron la información solicitada.
Mediante oficio recibido el 17 de noviembre de 2021 Aeropuertos de Oriente S.A.S se pronunció en virtud del traslado probatorio. |
|
A la SIC:
SEXTO: Pregunta sobre la recepción de quejas en contra del Instituto Nacional de Salud, la Corporación Agencia Nacional Digital y/o operadores aeroportuarios por la presenta infracción al régimen de protección de habeas data e información sobre las actuaciones de monitoreo o auditorías a las entidades mencionadas en ejercicio de las funciones previstas en la Ley 1581 de 2012. |
Mediante correo electrónico recibido el 27 de octubre de 2021, la Oficina Asesora Jurídica de la SIC suministró la información y soportes solicitados. |
33. Al revisar y analizar los anteriores elementos probatorios y, dado que no se entregó la totalidad de la información requerida en el auto del 8 de octubre de 2021, el magistrado sustanciador, a través del auto del 3 de diciembre de 2021, dispuso reiterar el requerimiento de pruebas efectuado dentro presente trámite dirigido al Ministerio de Salud, así como, la solicitud de información adicional al mencionado Ministerio, la AND y la SIC.
34. Vencido el término otorgado para dar respuesta y pronunciarse respecto el traslado probatorio, se recibió por parte de la Secretaría General de esta corporación la información que se relaciona a continuación y que puede ser consultada de forma detallada en el ANEXO III de esta providencia:
|
Identificación de las pruebas solicitadas en auto del 3 de diciembre de 2021 |
Estado de verificación de elementos allegados al expediente |
|
Al Ministerio de Salud:
PRIMERO: Insistir en el requerimiento, dar información y respuesta a las preguntas realizadas por este despacho[89]. |
Mediante correo electrónico recibido el 1° de febrero de 2022 el Ministerio de Salud suministró respuesta a la información solicitada. |
|
A la AND:
SEGUNDO: Dar información y respuesta a las preguntas realizadas por este despacho[90]. |
Mediante correo electrónico recibido el 12 de enero de 2022 la AND suministró respuesta a la información solicitada. |
|
A la SIC:
TERCERO: Dar información y respuesta a las preguntas realizadas por este despacho[91]. |
Mediante correo electrónico recibido el 12 de enero de 2022 la SIC suministró respuesta a la información solicitada. |
|
A la PGN:
CUARTO: Dar información y respuesta a las preguntas realizadas por este despacho[92]. |
Se advierte que no se recibió respuesta por parte de la PGN que diera cuenta de la información solicitada en el numeral cuarto del auto del 3 de diciembre de 2021. |
|
Traslado probatorio |
|
|
Aeropuertos de Oriente S.A.S |
Mediante correo electrónico recibido el 19 de enero de 2022 Aeropuertos de Oriente S.A.S se pronunció en virtud del traslado probatorio. |
|
Accionantes: Juana María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque |
Mediante oficio recibido el 19 de enero de 2022 las accionantes se pronunciaron en virtud del traslado probatorio. |
|
AND |
Mediante correo electrónico recibido el 27 de enero de 2022 la AND se pronunció en virtud del traslado probatorio. |
35. Esta Sala de Revisión es competente para conocer de esta acción de tutela, de conformidad con lo dispuesto en los artículos 86 y 241 numeral 9 de la Constitución Política, en los artículos 31 a 36 del Decreto 2591 de 1991, así como en virtud del auto del 29 de junio de 2021, notificado el 15 de julio del mismo año, mediante el cual la Sala de Selección de Tutela Número Seis de la Corte Constitucional decidió seleccionar para revisión el proceso T-8.197.643, correspondiente a la acción de tutela de la referencia, y asignar su sustanciación al magistrado ponente.
B. DELIMITACIÓN DEL ASUNTO
37. Previo a emitir una decisión de fondo sobre estos asuntos, la Sala procederá a examinar si la acción de tutela supera o no los requisitos formales de procedencia.
C. PROCEDIBILIDAD DE LA ACCIÓN DE TUTELA
38. En virtud de lo dispuesto en el artículo 86 de la Constitución Política, la reiterada jurisprudencia constitucional dictada sobre la materia[93] y los artículos concordantes del Decreto 2591 de 1991, la acción de tutela tiene un carácter residual y subsidiario, razón por la cual solo procede excepcionalmente como mecanismo de protección definitivo (i) cuando el presunto afectado no disponga de otro medio de defensa judicial, o (ii) cuando, existiendo ese medio este carece de idoneidad o eficacia para proteger de forma adecuada, oportuna e integral los derechos fundamentales, en las circunstancias del caso concreto. Así mismo, procederá como mecanismo transitorio cuando la acción se interponga para evitar la consumación de un perjuicio irremediable a un derecho fundamental. En el evento de proceder como mecanismo transitorio, el accionante deberá ejercer la acción principal en un término máximo de cuatro (4) meses a partir del fallo de tutela, y la protección se extenderá hasta tanto se produzca una decisión definitiva por parte del juez ordinario[94].
39. Antes de realizar el estudio de fondo de la acción de tutela seleccionada, la Sala procederá a verificar si se cumplen los requisitos formales de procedibilidad.
Procedencia de la acción de tutela – caso concreto
40. Legitimación por activa. Con base en lo establecido por el artículo 86 de la Constitución, y lo dispuesto por el artículo 10 del Decreto 2591 de 1991[95], la Sala considera que las señoras Juanita María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque Orrego están legitimadas para ejercer la acción constitucional, por cuanto son ciudadanas que, actuando en nombre propio, reclaman la protección de sus derechos fundamentales a la privacidad, habeas data, libertad de locomoción y unidad familiar.
41. Legitimación por pasiva. El Ministerio de Salud, el INS, la Aerocivil, el MinTIC, y la AND, estas dos últimas vinculadas en el trámite de la primera instancia, son autoridades de naturaleza pública señaladas de haber presuntamente vulnerado los derechos fundamentales invocados por las accionantes. Por esta razón, de conformidad con lo dispuesto en el artículo 86 de la Constitución y el artículo 5 del Decreto 2591 de 1991[96], son susceptibles de ser demandadas a través de la acción de tutela.
42. Las demandantes también dirigen su reproche contra OPAIN S.A., Aeropuertos de Oriente S.A.S. y Airplan S.A.S. Estas son entidades de naturaleza privada, encargadas de la operación aeroportuaria indispensable para garantizar la prestación del servicio público esencial de transporte aéreo de pasajeros[97], en virtud de los contratos de concesión celebrados con la Aeronáutica Civil de Colombia[98], y subrogados a la Agencia Nacional de Infraestructura (en adelante, “ANI”) [99]. En consecuencia, y en la medida en que se les acusa de haber exigido a las accionantes la descarga y uso de la aplicación CoronApp para que pudieran ingresar a los aeropuertos y abordar sus respectivos vuelos, hecho que derivó en la presunta vulneración de los derechos de las accionantes, es claro para esta Sala que estas entidades quedan comprendidas por la regla de procedencia establecida en el numeral 3, artículo 42 del Decreto 2591 de 1991[100]. En consecuencia, también se encuentran legitimadas por pasiva en el presente asunto.
43. Inmediatez. De conformidad con lo previsto en el artículo 86 de la Constitución Política y el alcance que le ha dado la jurisprudencia constitucional al principio de inmediatez, la acción de tutela debe ser interpuesta dentro de un término prudente y razonable respecto del momento en el que presuntamente se causa la vulneración[101]. La razonabilidad del término no se valora en abstracto, sino que corresponde al juez de tutela evaluar, a la luz de las circunstancias de cada caso, lo que constituye un término razonable.
44. En el caso bajo estudio, en el mes de octubre de 2020, las señoras Juanita María Goebertus Estrada[102], Alejandra Martínez Hoyos[103] y Sol Marina de la Rosa Flórez[104], por motivos laborales y personales, utilizaron el servicio de transporte aéreo en las ciudades de Bogotá, Santa Marta, Bucaramanga y Medellín. En el escrito de tutela, presentado el 30 de noviembre de ese mismo año[105], las accionantes alegaron que sus derechos fundamentales fueron vulnerados debido a que en los respectivos aeropuertos les exigieron descargar y usar la aplicación CoronApp contra su voluntad y, por consiguiente, suministrar datos que consideran sensibles. Así, entre el presunto hecho vulnerador y la presentación de la solicitud de amparo transcurrió aproximadamente 1 mes, término que la Sala considera prudente y razonable para el ejercicio de la acción constitucional.
45. De igual forma, la Sala constata que la acción de tutela satisface el requisito de inmediatez respecto de la señora Claudia Julieta Duque Orrego. En este caso, la accionante manifestó que no estaba dispuesta a utilizar la referida aplicación al momento de realizar los viajes de trabajo y personales que tenía programados en diciembre de 2020[106]. Lo anterior, al considerar que, por su condición de periodista víctima de interceptaciones ilegales, el tratamiento de sus datos personales amenazaría su privacidad, seguridad e intimidad. Por ello, junto con las accionantes mencionadas interpuso la acción de tutela el 30 de noviembre de 2020, esto es, unos días antes de que ocurriera el presunto hecho vulnerador, lo cual demuestra que obró con diligencia al acudir dentro de un lapso razonable ante el juez constitucional. En consecuencia, observa la Sala de Revisión que en el presente caso se cumple el requisito de inmediatez.
46. Subsidiariedad. El artículo 86 de la Constitución Política establece que la tutela “solo procederá cuando el afectado no disponga de otro medio de defensa judicial, salvo que aquella se utilice como mecanismo transitorio para evitar un perjuicio irremediable”. Teniendo en cuenta esta norma, el artículo 6 del Decreto 2591 de 1991 estableció como causal de improcedencia de esta acción la existencia de otros recursos o medios de defensa judicial, sin perjuicio de la posibilidad de acudir a ella como mecanismo transitorio para evitar un perjuicio irremediable.
47. La jurisprudencia constitucional ha entendido que el principio de subsidiariedad exige que el peticionario despliegue de manera diligente las acciones judiciales que estén a su disposición, siempre y cuando ellas sean idóneas y eficaces para la protección de los derechos fundamentales que se consideran vulnerados o amenazados. Ha también sostenido que, en este contexto, un proceso judicial es idóneo cuando es materialmente apto para producir el efecto protector de tales derechos, y es eficaz cuando está diseñado para protegerlos de manera oportuna[107]. Entre las circunstancias que el juez debe analizar para determinar la idoneidad y eficacia de los recursos judiciales, se encuentra las condiciones en las que se encuentra la persona que acude a la tutela[108].
48. Bajo el anterior parámetro, tal y como se anunció en el fundamento jurídico número 36 supra, corresponde a la Sala determinar si la acción de tutela acredita el presupuesto de subsidiariedad respecto de tres asuntos. Primero, la presunta violación de los derechos al habeas data, a la libertad de locomoción, a la unidad familiar y privacidad de las señoras Goebertus, Martínez, De la Rosa y Duque por haber sido obligadas a descargar y usar la aplicación CoronApp para acceder al servicio de transporte aéreo, y la consecuente, satisfacción de las pretensiones encaminadas a que los responsables y/o encargados del tratamiento de datos y los operadores aeroportuarios no volvieran a incurrir en este tipo de conductas. Segundo, la solicitud de supresión de los datos personales suministrados por las señoras Goebertus, Martínez y De la Rosa a través de la aplicación referida, por la presunta infracción al régimen general de protección de habeas data. Tercero, y de manera específica en atención a que se trata de un supuesto de hecho diferente al de las otras tutelantes, es necesario analizar si en el caso de la periodista Duque Orrego la acción de tutela cumple con el presupuesto de procedencia exigido por la jurisprudencia constitucional y la Ley Estatutaria 1581 de 2012, en los casos donde se reclama la supresión de los datos personales.
49. Para abordar los anteriores puntos, y revisar los fallos de tutela de primera y segunda instancia, a continuación, la Sala hará referencia a los mecanismos de protección del derecho fundamental al habeas data y reiterará las subreglas fijadas por la jurisprudencia de esta corporación en materia de subsidiariedad cuando se reclama la supresión de datos personales. Sobre esa base, analizará la procedencia formal de la acción de tutela a partir de los hechos y razones que antecedieron su interposición, sin perjuicio de que en un estadio posterior se incorporen al estudio del caso en concreto las nuevas circunstancias informadas por las partes y terceros en el trámite de revisión (ver infra, sección II.F).
El derecho fundamental al habeas data y sus mecanismos de protección
50. La Corte tiene un precedente consolidado sobre el contenido y alcance del derecho al habeas data[109]. En la sentencia C-032 de 2021, reiteró que, de acuerdo con el artículo 15 de la Constitución, el derecho al habeas data tiene dos contenidos principales: “faculta a todas las personas a conocer, actualizar y rectificar la información que sobre ellas se haya recogido en bancos de datos y en archivos de entidades públicas y privadas; a la vez que somete los procesos de recolección, tratamiento y circulación de datos al respeto de la libertad y demás garantías consagradas en la Constitución”.
51. Inspirado en el precedente constitucional en la materia, y en respuesta al fenómeno de la globalización de la información y el auge del poder informático, el Legislador estatutario ha expedido cuerpos normativos con el fin de regular el contenido del derecho fundamental al habeas data y crear instancias y mecanismos para su protección, atendiendo al tipo de dato, el sector en el que se recolectan y los agentes que intervienen en su administración. En ese sentido, son referentes las Leyes Estatutarias 1266 de 2008[110] y 2157 de 2021[111], en el ámbito del habeas data financiero, y la Ley Estatutaria 1581 de 2012[112], en el régimen general de tratamiento de datos[113]. Por las particularidades del caso concreto, la Sala se concentrará en el estudio de esta última normatividad.
52. Con la Ley Estatutaria 1581 de 2012 se incorporó al ordenamiento jurídico una completa, más no exhaustiva, regulación de la actividad de administración de datos personales. De esta se destaca, entre otros aspectos, la previsión de los principios orientadores en materia de habeas data, en consonancia con el precedente constitucional (art. 4); la identificación de los sujetos que intervienen en el proceso de administración de datos personales (titular del dato, responsable, encargado) (art. 3); el reconocimiento de los derechos y deberes de aquellos (arts. 17 y 18); la habilitación al titular o sus causahabientes para consultar la información personal que repose en cualquier base de datos, sea esta del sector público o privado (art. 14); la creación de un mecanismo de defensa ante los responsables y/o encargados del tratamiento de datos cuando los titulares o sus causahabientes consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley (art. 15); y la consolidación de un órgano de control especializado en materia de habeas data, en cabeza de la SIC, a través de su Delegatura de Protección de Datos Personales (art. 19 y siguientes).
53. En lo que respecta a la reclamación del titular del dato ante el responsable y/o encargado del tratamiento, la Sala resalta que esta fue diseñada por el Legislador estatutario como un mecanismo de protección que asegura una respuesta eficaz cuando se pretenda hacer efectivos, entre otros, la rectificación, actualización, corrección, oposición y supresión, y en general, otras dimensiones del derecho de habeas data[114]. En efecto, nótese que el artículo 15 de la Ley 1581 de 2012 fija un procedimiento sumario y términos perentorios para el trámite del reclamo, así: (i) la reclamación debe incluir la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y los documentos necesarios que lo sustenten; (ii) la autoridad debe requerir al solicitante si el reclamo está incompleto para que lo subsane en un término de 5 días y si transcurridos 2 meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo; (iii) si la autoridad no es competente para tramitar el reclamo debe remitirlo al competente e informar al titular; (iv) si el reclamo está completo, junto al dato se debe incluir la leyenda "reclamo en trámite" y el motivo del mismo, en un término no mayor a 2 días hábiles, que debe mantenerse hasta tanto el reclamo se decida; (v) el reclamo se debe decidir en un término máximo de 15 días, pero si no es posible resolverlo en este término, se debe informar al reclamante[115].
54. Refuerza la idoneidad y eficacia de este mecanismo lo dispuesto en el artículo 16 de la ley estatutaria en cita, de acuerdo con el cual sólo se podrá elevar queja ante la SIC como la autoridad de protección del dato, una vez se haya agotado el trámite de consulta o reclamo ante el responsable o encargado del tratamiento. En la sentencia C-748 de 2011, la Corte encontró ajustada a la Constitución esta medida al considerar que “permite al titular del dato agotar las instancias correspondientes de una forma lógica, dado que no tiene sentido acudir al órgano de protección del dato para que active sus facultades de vigilancia, control y sanción, por señalar solo algunas, en relación con el responsable o encargado del dato, cuando éste ni siquiera conoce las pretensiones del titular y no ha tenido la oportunidad de decidir si le asiste o no razón, porque no ha hecho uso de los mecanismos para consulta y reclamo que debe implementar todo responsable y encargado del tratamiento, según los artículos 17 y 18, literales k) y f), respectivamente”.
55. En esa misma dirección, en la referida sentencia la Corte continuó refrendando la validez constitucional de la reclamación prevista en el artículo 15 de la Ley Estatutaria 1581 de 2012, y su agotamiento como requisito de procedibilidad para acudir ante la SIC (art. 16), por dos razones que, por su pertinencia para el análisis de la subsidiariedad en el caso en concreto, se traen a colación. Primero, el reclamo ante el responsable y/o encargado del tratamiento, como condición de acceso ante la SIC, no riñe con la Constitución, porque “la mayoría de deberes que el legislador le fijó a cada uno de estos sujetos se fundamenta en el hecho de que el titular del dato acuda ante ellos para la efectiva protección de sus derechos”. Segundo, es proporcional y razonable calificar dicho reclamo como un requisito de procedibilidad, por cuanto “(i) no fija términos o plazos irrazonables para que los agentes del tratamiento respondan las consultas y reclamos,” y “(ii) se regula con detalle el procedimiento a seguir, lo que le garantiza al titular del dato que para obtener la respuesta a una consulta o a un reclamo, el sujeto requerido no podrá ponerle trabas que impidan el ejercicio de su derecho, y en el evento en que así suceda, pues ello será suficiente para acudir ante la autoridad de protección del dato.” Todo lo anterior, advirtió la Corte en la sentencia C-748 de 2011, “sin perjuicio de acudir a la acción de tutela como mecanismo judicial de protección del derecho fundamental al habeas data”.
56. Agotado el requisito de procedibilidad de que trata el artículo 15 del cuerpo normativo bajo estudio, ya sea por la respuesta negativa o la falta de pronunciamiento del responsable o encargado dentro de los términos previstos en la ley, el titular del dato o sus causahabientes pueden solicitar a la SIC que, en calidad de autoridad de protección de datos y a través de su Delegatura de Protección de Datos Personales (art. 19), inicie la investigación del caso en contra de la autoridad pública o particular, por la presunta violación de los principios de tratamiento de datos personales, incumplimiento de los deberes de los responsables o encargados, y en general, desconocimiento de las disposiciones de la ley precitada (arts. 21, lit. b, y 22).
57. Surtido el procedimiento contemplado en el Título III de la Ley 1437 de 2011[116], la Delegatura profiere una decisión administrativa, por medio de la cual, entre otras cosas, puede (i) adoptar las medidas que sean necesarias para hacer efectivo el derecho de habeas data (art. 21, lit. b, en concordancia con art. 22); y/o (ii) ejercer sus potestades sancionatorias contra la persona de naturaleza privada (art. 23, parágrafo), si hubiere lugar a ello. En el supuesto de que el infractor sea una autoridad pública, remitirá la investigación a la Procuraduría General de la Nación para que adelante la investigación respectiva (art. 23, parágrafo).
58. En punto al tipo de medidas que puede ordenarle la autoridad de protección de datos a la autoridad pública, la Delegatura informó en sede de revisión ante la Corte que, aun cuando no cuenta con facultades de policía administrativa cuando la norma es vulnerada por una entidad de naturaleza pública, en todo caso, conserva frente a ellas las funciones señaladas en el artículo 21 de la Ley Estatutaria 1581 de 2012, razón por la cual, puede ordenarles, entre otras cosas, el acceso, la rectificación, actualización y supresión de los datos personales que esté tratando. La muestra de ello, de acuerdo con la información aportada por la Delegatura, es que la SIC ha impartido al menos 105 órdenes administrativas a entidades públicas nacionales, departamentales y municipales relacionadas con el deber de seguridad consagrado en la ley estatutaria[117].
59. A partir de lo anterior, es dado colegir que la reclamación ante el responsable o encargado del tratamiento, así como el subsiguiente procedimiento administrativo dispuesto ante la Delegatura de Protección de Datos Personales de la SIC, son mecanismos dotados de idoneidad y eficacia para la protección de los contenidos adscritos al derecho de habeas data.
60. No obstante, advierte la Sala que estos no son los únicos medios para conseguir tal cometido, pues la acción de tutela está instituida, en esencia, para la protección de los derechos fundamentales, entre ellos, el habeas data y las garantías de la misma raigambre que están estrechamente relacionadas con este (intimidad, buen nombre, entre otros). Por ello, en el examen del requisito de subsidiariedad, le corresponde al juez constitucional determinar cuándo el titular del dato debe acudir a uno u otro mecanismo. Para tal efecto, la Sala estima que al menos deben tenerse en consideración los siguientes postulados.
(i) La presentación de la reclamación ante el responsable o encargado del tratamiento de datos, en los términos del artículo 15 y 16 de la Ley 1581 de 2012, es una condición sine qua non para que el titular del dato o su causahabiente pueda acudir ante la autoridad de protección de datos. Para la Corte es así, porque “no tiene sentido acudir al órgano de protección del dato para que active sus facultades de vigilancia, control y sanción, por señalar solo algunas, en relación con el responsable o encargado del dato, cuando éste ni siquiera conoce las pretensiones del titular y no ha tenido la oportunidad de decidir si le asiste o no razón”[118].
(ii) Bajo esa misma lógica, la jurisprudencia constitucional ha extendido la aplicación del anterior requisito de procedibilidad al ejercicio de la acción de tutela. En concreto, ha determinado que “la solicitud, por parte del afectado, de la aclaración, corrección, rectificación o actualización [o supresión] del dato o de la información que se considera errónea, previa a la interposición del mecanismo de amparo constitucional, constituye un presupuesto general para el ejercicio de la acción de tutela.”[119] (negrillas fuera del texto original). Si este no se acredita, se impone en consecuencia la declaratoria de improcedencia de dicha acción.
(iii) Una vez se agota el requisito de la reclamación ante el responsable o encargado del tratamiento, el interesado puede acudir ante la Delegatura de Protección de Datos Personales de la SIC, autoridad especializada y competente para defender los contenidos del derecho de habeas data frente a las actuaciones de sujetos de derecho público y privado, por medio de la imposición de las medidas adecuadas para hacer efectiva dicha garantía. La configuración legal de este mecanismo, como quedó demostrado, no se limita al ejercicio de poder sancionador del Estado en contra de particulares.
(iv) La Corte reconoció la validez constitucional de la reclamación ante el responsable o encargado, así como del posterior procedimiento ante la Delegatura, fundada en la capacidad de estos mecanismos para hacer efectivas las distintas facetas del derecho al habeas data. Lo anterior, sin desconocer que el interesado también puede acudir a la acción de tutela como mecanismo judicial de protección. En ese sentido, precisó que el carácter autónomo del derecho al habeas data comprende unas garantías diferenciables y directamente reclamables por medio de la acción de tutela, “sin perjuicio del principio de subsidiariedad que rige la procedencia de la acción”[120].
(v) En estos términos, entiende la Sala que cuando se pretenda la protección del habeas data a través de la acción de tutela, el juez deberá examinar las circunstancias particulares del caso concreto, a fin de determinar si el accionante está en condiciones de agotar los mecanismos ordinarios de defensa o si, por el contrario, existen circunstancias excepcionales que justifican el ejercicio directo de la acción constitucional. Ello, con un doble propósito: (i) preservar la eficacia a los mecanismos creados por el Legislador estatuario (Ley 1581 de 2012), y avalados por la Corte Constitucional (sentencia C-748 de 2011); y (ii) asegurar el carácter subsidiario y residual de la acción de tutela (art. 86 constitucional).
(vi) Por último, el artículo 86 de la Constitución Política, en consonancia con lo dispuesto en el artículo 6º del Decreto Ley 2591 de 1991, dispone que la acción de tutela no será procedente cuando existan otros medios de defensa judicial, salvo que exista evidencia de la configuración de un perjuicio irremediable. La aplicación aislada, irreflexiva y literal de estos preceptos normativos conduciría a pensar que la acción constitucional es el único medio dispuesto para la protección del derecho al habeas data, a pesar de que, como quedó demostrado en líneas anteriores, existen otros mecanismos que, sin perjuicio de que sean de naturaleza administrativa, son idóneos y eficaces en esta materia. Por ello, la Sala considera que, a fin de evitar que se vacié de contenido las competencias y el mecanismo administrativo previsto por el Legislador estatuario para la salvaguarda de los datos personales, el requisito de subsidiariedad de la acción de tutela debe interpretarse de manera sistemática con lo dispuesto en la Ley Estatutaria 1581 de 2012.
(vii) Sin perjuicio de la idoneidad y eficacia de los mecanismos dispuestos en la Ley Estatutaria 1581 de 2012, de conformidad con el artículo 86 constitucional, la acción de tutela procede como mecanismo transitorio de amparo cuando se compruebe la existencia de un perjuicio irremediable, en los términos de la jurisprudencia constitucional[121].
61. Bajo estos parámetros, procede la Sala a examinar si la acción de tutela cumple con el presupuesto de subsidiariedad respecto de los tres hechos vulneradores y las respectivas pretensiones.
La acción de tutela cumple con el requisito de subsidiariedad en relación con la presunta violación al habeas data, libertad de locomoción, unidad familiar y privacidad por la descarga y uso obligatorio de la aplicación CoronApp, y en efecto, las pretensiones encaminadas a cesar esa conducta
62. Las accionantes Juanita María Goebertus Estrada, Alejandra Martínez Hoyos y Sol Marina de la Rosa Flórez manifestaron que, en octubre del año 2020, funcionarios de los operadores aeroportuarios de las ciudades de Bogotá, Santa Marta, Bucaramanga y Medellín, invocando lo dispuesto en la Resolución No. 1517 de 2020, “por medio de la cual se dicta el protocolo de bioseguridad para el manejo y control del riesgo del coronavirus COVID-19 en los sectores aeroportuario y aeronáutico del territorio nacional, exclusivamente para el transporte doméstico de personas por vía aérea, se deroga la Resolución 1054 de 2020, y se dictan otras disposiciones”, y en su anexo técnico, les exigieron descargar y usar la aplicación CoronApp como condición para acceder al servicio de transporte aéreo. Aducen que, bajo la presión de perder sus respectivos vuelos, accedieron a lo solicitado, suministrando datos personales que consideran sensibles por relacionarse con su estado de salud, tránsito y destinos. En consecuencia, cuestionaron esta actuación a través de la acción de tutela por considerarla violatoria del derecho fundamental al habeas data, libertad de locomoción, unidad familiar y privacidad, y formularon varias pretensiones encaminadas a que las autoridades accionadas adoptaran las medidas necesarias para que esta situación no se repita.
63. Al respecto, el INS y la AND, para el momento de los hechos, responsable y encargado del tratamiento de los datos recolectados a través de la CoronApp, respectivamente, negaron la violación de los derechos invocados por las demandantes, fundados en la utilidad y beneficios que tiene esta herramienta para el manejo de los efectos a la salud pública derivados de la pandemia por Covid-19, y en el hecho de que los datos recolectados provienen de los usuarios que voluntariamente proporcionan la información, mas no de una imposición, tal y como lo indican los Términos y Condiciones de la aplicación. Por ello, enfatizaron en que ningún derecho puede estar sujeto que el ciudadano la instale en su dispositivo móvil.
64. A su turno, los operadores aeroportuarios accionados[122] alegaron que no estaban legitimados en la causa por pasiva, pues sólo actuaron en cumplimiento de la regulación dispuesta por el Ministerio de Salud respecto a la prevención y control de riesgo de la Covid-19 en el sector aeroportuario y aeronáutico, en especial, de la Resolución 1517 de 2020, la cual consideran que impuso la obligación a los operadores de aeropuertos de verificar el diligenciamiento de la aplicación por parte de los viajeros.
65. Con relación a este cuestionamiento, el Juzgado Cuarenta y Tres Administrativo de Oralidad del Circuito de Bogotá D.C., fungiendo como primera instancia de tutela, afirmó que la acción constitucional no acredita el requisito de subsidiariedad, por cuanto “[la] interpretación que hacen los aeropuertos respecto de la obligatoriedad de la descarga de la aplicación CoronApp dispuesta en la Resolución 1517 de 2020,” puede ser ventilada ante la Jurisdicción de lo Contencioso Administrativo, a través de los medios de control previstos en la Ley 1437 de 2011. Así mismo, señaló que no existía evidencia de una violación a los derechos de libre locomoción y unidad familiar, sino que, al contrario, se trataba de limitaciones legítimas en el marco del Estado de Excepción decretado con ocasión de la pandemia COVID-19.
66. La Sala considera que la acción de tutela procede como mecanismo definitivo de protección en relación con la presunta violación del derecho al habeas data por la descarga y uso obligatorio de la aplicación CoronApp, debido a que las accionantes no disponen de otro medio de defensa judicial o administrativo para cuestionar la actuación de los operadores aeroportuarios y, en efecto, satisfacer las pretensiones encaminadas a que esto no se repita. Así lo concluye la Sala a partir de las siguientes razones.
67. En primer lugar, contrario a lo sostenido por el juez de tutela de primera instancia, los medios de control consagrados en el CPACA no son aptos para garantizar la protección del derecho al habeas data frente al hecho vulnerador expuesto por las accionantes en el escrito de tutela. En este se observa con claridad que ellas no pretenden controvertir la legalidad del acto administrativo de carácter general y abstracto por medio del cual el Ministerio de Salud estableció los protocolos de bioseguridad para la prestación del servicio de transporte aéreo de pasajeros, e incluyó las recomendaciones sobre el uso de la aplicación CoronApp. Por el contrario, con sujeción a lo expresamente estipulado en la Resolución No. 1517 de 2020, formularon su reproche en contra de los operadores aeroportuarios que, a su juicio, exigieron el uso de la aplicación como si se tratara de una obligación legal, pese a que la norma precitada establece que es voluntario[123].
68. En segundo lugar, el medio de control de nulidad (art. 137 CPACA) aplica a las hipótesis en las que se discute la legalidad del acto administrativo de carácter general, no a aquellas en las que, como en el caso en concreto, se pretende exigir a los sujetos demandados que garanticen la eficacia del derecho fundamental al habeas data, mediante la realización de diversas actuaciones, tales como (i) la publicación de aclaraciones sobre el carácter voluntario del uso de la aplicación CoronApp; (ii) la provisión de entrenamiento por parte de los operadores aeroportuarios a su personal para que no impongan como condición para el ingreso a los aeropuertos la descarga de la referida herramienta; y (iii) la modificación de la política de tratamientos de datos personales por parte del INS, en calidad de responsable del tratamiento de la información. Estas pretensiones, que tienen como propósito en común que la conducta vulneradora no se repita, desbordan el objeto del control de legalidad ante el juez administrativo y, en cambio, se ubican en una de las dimensiones del derecho fundamental al habeas data cuya protección puede decidirse a través de la acción de tutela.
69. Por otra parte, refuerza la procedencia formal de la solicitud de amparo en este asunto específico la falta de idoneidad de los medios de defensa establecidos en la Ley Estatutaria 1581 de 2012. Ello es así al menos por tres razones. Primera, los operadores aeroportuarios accionados, en estricto sentido, no son responsables o encargados del tratamiento de datos personales, por tanto, no son sujetos pasivos de la reclamación prevista en el artículo 15 del estatuto general de protección de datos personales. Segunda, para solucionar el problema de la descarga y uso de la aplicación como condición para acceder al servicio de transporte aéreo a nivel nacional, las accionantes buscan que se adopten medidas complejas que exceden el ámbito de competencia del procedimiento de reclamación mencionado. Tercera, el mecanismo administrativo dispuesto ante la SIC recae exclusivamente sobre los responsables y encargados de tratamientos de datos, en los términos de los artículos 22 y siguientes de la ley precitada. Así, entonces, no comprende las actuaciones realizadas por los operadores aeroportuarios cuestionadas por las demandantes en el caso en concreto.
70. Por último, la Sala observa que, en principio, a partir de lo establecido en el artículo 55 de la Ley 105 de 1993[124], podría argumentarse que las accionantes tenían la posibilidad de presentar una queja ante Aeronáutica Civil contra los operadores aeroportuarios por la presunta infracción o indebida ejecución de la Resolución No. 1517 de 2020, instrumento que regulaba las medidas de bioseguridad que se debían implementar en el sector aeronáutico, en especial, el uso de la aplicación CoronApp. Sin embargo, del examen detenido de la naturaleza y funciones de la Aerocivil[125] y, sobre todo, del contexto en que ocurrieron los hechos (año 2020), se comprueba que la queja no era el medio idóneo y eficaz para salvaguardar los derechos fundamentales invocados por las tutelantes ni tampoco para lograr que cesara la presunta conducta vulneradora endilgada a los operadores aeroportuarios y autoridades públicas accionadas.[126]Así lo verifica la Sala, primero, porque el objeto de dicho mecanismo no es la protección de garantías fundamentales, sino sancionar administrativamente al sujeto infractor, según el caso, con la imposición de una “amonestación, multa hasta por cinco mil (5.000) salarios mínimos mensuales, suspensión o cancelación de licencias, matrículas, registros; suspensión de la utilización de bienes o servicios; suspensión o cancelación de permisos o cualquier autorización expedida por esta autoridad”[127]. Y, segundo, desde el punto de vista de la efectividad del mecanismo, difícilmente podría considerarse que este hubiese concluido con una sanción eficaz por haberse exigido el uso de la aplicación al ingreso de los aeropuertos, cuando se constató que la misma Aerocivil en sus redes sociales secundaba esa posición[128].
71. Por lo demás, las accionantes manifestaron que sus derechos a la libertad de locomoción y a la unidad familiar también fueron vulnerados, porque, a su juicio, las entidades accionadas les impusieron usar la aplicación CoronApp como si se tratara de una obligación adicional a los protocolos de bioseguridad para transitar por vía aérea. La Sala considera que esta actuación, en tanto involucra el contenido de garantías ius fudamentales y se trata de la misma que presuntamente causó la afectación al habeas data, no puede juzgarse en otro escenario distinto al de la acción de tutela.
72. Por último, la Sala concluye que la acción de tutela cumple con el requisito de subsidiariedad respecto de este primer asunto. No obstante, antes de proceder a su estudio de fondo, en el acápite correspondiente, se procederá a analizar si se configuró la carencia actual de objeto por hecho superado, teniendo en cuenta que, en el trámite de revisión, las accionantes, accionadas y terceros pusieron de presente un cambio sustancial en las circunstancias que dieron origen a la presentación de la acción.
La acción de tutela no supera el requisito de subsidiariedad respecto de la solicitud de supresión de los datos personales recolectados a través de la aplicación CoronApp
73. Como consecuencia de la descarga y uso de la aplicación CoronApp, las accionantes manifestaron que se vieron compelidas a suministrar sus datos personales para ingresar a los respectivos aeropuertos y acceder al servicio de transporte aéreo. Esta situación la consideran violatoria de su derecho al habeas data, comoquiera que (i) no les dieron ninguna alternativa distinta para reportar el estado de salud; (ii) se recolectaron datos sensibles, los cuales no tienen certeza cómo serán utilizados, cuánto tiempo permanecerán almacenados, ni cómo serán anonimizados; y (iii) el tratamiento de datos desconoce el principio de libertad en el consentimiento del titular (art. 4, lit. c, Ley Estatutaria 1581 de 2012).
74. Por las anteriores razones, las accionantes le solicitaron directamente al juez constitucional que ordene al responsable del tratamiento de datos de la aplicación mencionada la eliminación o supresión de sus datos personales. Ellas decidieron no agotar la reclamación ante el responsable o encargado (art. 15, Ley Estatutaria 1581 de 2012), al considerar que, una vez eliminados sus datos, tendrían que volver a suministrarlos en sus próximos viajes aéreos. Tampoco acudieron al trámite ante la Delegatura de Protección de Datos Personales de la SIC, bajo el argumento de que no era un mecanismo idóneo para garantizar la protección de su derecho al habeas data. A su juicio, “las acciones de habeas data” contra autoridades públicas tienen “una vocación sancionatoria puramente disciplinaria”, porque las órdenes que imparte la Procuraduría General de la Nación, en los asuntos que le remite por competencia la SIC (parágrafo, art. 23, Ley Estatutaria 1581 de 2012), no apuntan a la protección de los datos personales, sino a la sanción disciplinaria del servidor público.
75. En contraste con lo anterior, la Subsección B, Sección Tercera del Tribunal Administrativo de Cundinamarca, en segunda instancia de tutela, consideró que la solicitud de amparo se torna improcedente, debido a que las accionantes no solicitaron la supresión de sus datos personales ante la AND, encargada del tratamiento de los datos recolectados a través de la CoronApp, ni tampoco acudieron ante la SIC, como autoridad de protección de datos personales. En consecuencia, desconocieron la jurisprudencia constitucional que, a partir de una lectura sistemática del numeral 6º, artículo 42 del Decreto 2591 de 1991[129], el artículo 15 de la Ley 1581 de 2012, y el artículo 15 de la Constitución Política, “ha establecido como presupuesto general para el ejercicio de la acción de tutela que el afectado haya solicitado la aclaración, corrección, rectificación, o actualización del dato o la información que considera errónea, previo a la interposición mecanismo de amparo provisional”. Por ello, y ante la ausencia de evidencia de un perjuicio irremediable, el tribunal confirmó el fallo de tutela de primera instancia que, a su vez, negó el amparo solicitado.
76. En sede de revisión ante la Corte, el magistrado sustanciador ofició a las accionantes para que informaran las razones por las cuales no presentaron la reclamación al INS y/o a la AND para obtener la supresión de los datos personales suministrados a través de la CoronApp. En respuesta, manifestaron: “[d]ecidimos elevar este pedido a través de la acción de tutela y no a través de un derecho de petición porque la redacción de la política de tratamiento de datos de CoronApp nos disu[a]dió por su vaguedad e imprecisión, inhibiéndonos de acudir a dicha vía (…)”[130].
77. Frente a lo anterior, la Sala considera que la solicitud de protección del derecho al habeas data mediante la supresión de los datos personales recolectados a través de la CoronApp, deviene improcedente por no superar el análisis de subsidiariedad. A continuación, se pasa a exponer los fundamentos de esta conclusión.
78. En primer lugar, como se explicó con antelación en el ordenamiento jurídico existe un mecanismo específico y escalonado para la protección de los datos personales, sin perjuicio de la acción de tutela. Consiste, en un primer paso, en la posibilidad del titular del dato o su causahabiente de elevar una reclamación ante el responsable o encargado del tratamiento, para que corrija, modifique, actualice o suprima la información contraria al régimen general de protección de habeas data (Ley Estatutaria 1581 de 2012). Si la solicitud no es atendida en el término legal prestablecido o se niega lo pedido, en un segundo paso, el interesado puede formular queja ante la Delegatura de Protección de Datos Personales de la SIC, a fin de que se pronuncie sobre el reclamo, no solo con fines sancionatorios, sino con el propósito de proteger los datos personales del afectado, por ejemplo, a través de una orden de supresión de la información.
79. Con base en lo anterior, y en virtud del carácter residual y subsidiario de la acción de tutela, la jurisprudencia constitucional ha determinado que la solicitud, por parte del afectado, de la supresión del dato o de la información que se considera violatoria del régimen general de protección de habeas data, previa a la interposición del mecanismo de amparo constitucional, constituye un presupuesto general para el ejercicio de la acción de tutela. Así lo ha determinado al revisar fallos que resuelven solicitudes de amparo interpuestas por ciudadanos contra autoridades públicas y entidades de naturaleza privada, con el fin de que se ampare su derecho al habeas data y, en consecuencia, se ordene a las accionadas la supresión o eliminación de su información almacenada en bases de datos, tal como se indica a continuación:
|
Sentencia |
Accionado (responsable/encargado tratamiento de datos) |
¿Se presentó la reclamación (art. 15, LE 1581/12)? |
Decisión |
|
T-234 de 2021 |
Policía Nacional |
No |
Improcedente |
|
T-509 de 2020 |
Fiscalía General de la Nación |
Sí |
Procedente |
|
T-490 de 2018 |
Colegio PAE |
Sí |
Procedente |
|
T-139 de 2017 |
Municipio de Murindó |
No |
Improcedente |
80. En el asunto bajo estudio, la Sala observa que las accionantes deliberadamente omitieron la presentación de la reclamación ante el INS, responsable del tratamiento de datos, y/o ante la AND, en calidad de encargada, bajo dos argumentos que carecen de sustento fáctico y jurídico. Primero, manifestaron que resultaba inocuo reclamar a las autoridades mencionadas la supresión de sus datos, porque, aun cuando accedieran a lo pedido, en sus próximos viajes aéreos deberían volver a entregar la información. Lo anterior, sobre la base de hipótesis de lo que aquellas podrían resolver, sin ni siquiera darles la oportunidad para que tuvieran conocimiento de los presuntos problemas con el proceso de recolección de datos y funcionalidades de la aplicación. Segundo, alegaron que la vaguedad de la política de tratamiento de datos de la CoronApp las disuadió de acudir ante el responsable o encargado para obtener la eliminación de sus datos; razonamiento que, en concepto de la Sala, resulta inválido si se tiene en cuenta que la misma Ley Estatutaria establece con claridad cuáles son los sujetos, el objeto, procedimiento y términos para dar trámite a ese tipo de reclamación (art. 15, Ley Estatutaria 1581 de 2012). Por tanto, es claro que respecto de esta pretensión de supresión de datos formulada por las accionantes Gobertus, Martínez y De la Rosa no se verifica el cumplimiento del requisito de subsidiariedad de la presente acción de tutela.
81. Adicionalmente, las accionantes también se rehusaron a solicitarle a la Delegatura de Protección de Datos Personales de la SIC que ordenara al INS o a la AND la supresión de sus datos personales, bajo la convicción errada de que no podía adoptar medidas de protección del derecho al habeas data en contra de autoridades públicas. Para la Sala esta consideración resulta alejada de la realidad, si se tiene en cuenta que, además de las funciones de policía administrativa en contra de los particulares (arts. 22 y 23), la Delegatura tiene a su cargo la obligación de velar por el cumplimiento de la legislación en materia de protección de datos personales y adelantar las investigaciones del caso, con el fin de adoptar las medidas que sean necesarias para que los responsables y/o encargados del tratamiento, con independencia de que sean sujetos de derecho público o privado, hagan efectivo el derecho de habeas data, por ejemplo, mediante la supresión de los datos (art. 21, Ley Estatutaria 1581 de 2012). El desconocimiento de lo anterior ocasionó que las accionantes pretermitieran un mecanismo idóneo y eficaz para reclamar las garantías que integran el derecho fundamental al habeas data.
82. Por último, observa esta Sala que tampoco se configura un perjuicio irremediable que habilite la intervención del juez constitucional, pues de los elementos recaudados en esta sede, no hay evidencia de que las múltiples preocupaciones expresadas por las accionantes sobre el proceso de tratamiento de los datos personales recolectados a través de la CoronApp se traduzcan en un menoscabo inminente, grave, urgente e impostergable sobre el derecho al habeas data. En efecto, la Sala no avizora que el almacenamiento de los datos personales suministrados por las accionantes genere o pueda generar un daño cierto sobre sus garantías fundamentales. Por tanto, el mecanismo constitucional de amparo no está llamado a prosperar ni siquiera de forma transitoria para la supresión de los datos personales.
83. Sobre la base de lo expuesto, la Sala constata que la acción de tutela es improcedente en relación con la pretensión de supresión de los datos personales formulada por las ciudadanas Goebertus, Martínez y De la Rosa.
La solicitud de supresión de los datos personales solicitada por la periodista Claudia Julieta Duque no supera el requisito de subsidiariedad de la acción de tutela
84. La Sala observa que, en el caso de la periodista Claudia Julieta Duque, la interposición de la acción de tutela, en un primer momento, se fundamentó en la presunta amenaza que la descarga y uso de la aplicación CoronApp representaba para sus derechos al habeas data, a la unidad familiar, a la libertad de locomoción y a la privacidad. La accionante puso de presente su condición de víctima de interceptaciones ilegales por funcionarios del otrora DAS y, en ese sentido, manifestó su preocupación por el hecho de que, en sus próximos viajes laborales y personales, tuviera que “empeñar” sus datos personales sensibles, exponiéndola a posibles atentados en contra de su vida e integridad personal. En consecuencia, solicitó al juez constitucional que (i) decretara como medida provisional la suspensión del requisito de utilizar la aplicación referida en los viajes aéreos que realizaría en los siguientes días; y (ii) dispusiera lo necesario para que pudiera “viajar vía aérea a reunirse con sus padres, adultos de la tercera edad, sin que le sea exigido en ningún momento como condición de ingreso al aeropuerto o como requisito de viaje, la descarga y uso de la aplicación CoronApp”.
85. El juez de tutela de primera instancia, en el auto admisorio del día 30 de noviembre de 2020, entre otras cosas, resolvió negar la medida cautelar al considerar que no había evidencia de que “la descarga [de] la aplicación CoronApp ponga en riesgo la vida de la tutelante” y, por tanto, que esté expuesta a un perjuicio irremediable. La accionante, en escrito del día 2 de diciembre de 2020, insistió en que se accediera a lo pedido, debido a que compró tiquetes para transportarse vía aérea en el trayecto “A”-“X”-“A” a través de las aerolíneas Satena (ida) y Avianca (regreso), con fecha de partido para el día 6 de diciembre de esa anualidad. Sin embargo, el juez constitucional, en auto del día 4 del mismo mes y año, por la ausencia de pruebas que demostraran un perjuicio irremediable, resolvió no dar trámite a dicha solicitud.
86. Por las razones expuestas en líneas anteriores, la autoridad judicial de primera instancia de tutela negó el amparo solicitado por la señora Duque. Por esta razón, en conjunto con las otras accionantes, presentó escrito de impugnación en el que informó que, en el viaje del día 6 de diciembre de 2020, tuvo que suministrar sus datos personales a través de la CoronApp, situación por la cual ahora solicitaba al juez de tutela de segunda instancia que, entre otras cosas[131], revocará la decisión del a quo y ordenara a la INS la eliminación inmediata de su información, además de que le fuera notificada la realización exitosa de dicho procedimiento. Frente a esto, el tribunal de segunda instancia de tutela, confirmó la providencia recurrida fundado en los motivos antes mencionados.
87. En sede de revisión ante la Corte, mediante escrito del día 26 de octubre de 2021, la señora Duque, junto con las otras accionantes, confirmó que, pese a que sus datos personales habían sido recolectados desde diciembre del anterior año, no había solicitado la supresión de su información ante el responsable o encargado, por la presunta vaguedad e imprecisión de la política de tratamiento de datos de la aplicación CoronApp.
88. Del recuento de las anteriores circunstancias, la Sala advierte que el examen del requisito de subsidiariedad debe concentrarse en el petitum final de la señora Claudia Julieta Duque, esto es, en la solicitud directa ante el juez constitucional para que ordene al INS la supresión de sus datos personales. Por tanto, corresponde determinar si la accionante se encontraba o no en una circunstancia apremiante que le impidiera agotar la reclamación ante el responsable o encargado de la aplicación CoronApp, en los términos de la jurisprudencia constitucional y el artículo 15 de la Ley Estatutaria 1581 de 2012.
89. La Sala constata que la respuesta al anterior interrogante es negativa, por cuanto no existe evidencia de que los datos personales recolectados a través de la aplicación CoronApp tengan la potencialidad de incrementar el riesgo denunciado por la accionante ni materializar un perjuicio irremediable en contra de su vida e integridad personal. En el trámite de las instancias, y con ocasión de las pruebas decretadas en sede de revisión, la señora Duque demostró: (i) que la Corte Constitucional, en sentencia T-1037 de 2008, amparó sus derechos y ordenó al Ministerio del Interior y de Justicia implementar las medidas de seguridad necesarias para salvaguardar la vida e integridad física, ordenando también al DAS que le permitiera acceso a la información que sobre ella reposara en la entidad; (ii) que la CIDH, el día 23 de noviembre del año 2009, decretó medidas cautelares ante las amenazas y hostigamientos en su contra, solicitando al Gobierno de Colombia que adopte las medidas necesarias para garantizar la vida y la integridad física, y que informe sobre las acciones adoptadas a fin de investigar los hechos que dieron lugar a la adopción de medidas cautelares (MC-339-09); (iii) que, en sentencia de 26 de marzo de 2020, el Tribunal Administrativo de Cundinamarca, Sección Tercera, Subsección C, entre otras cosas, declaró la responsabilidad extracontractual del DAS, por el daño antijurídico ocasionado a la señora Duque por cuenta de interceptaciones ilegales[132]; (iv) que el 13 de marzo de 2020, la accionante rindió declaración juramentada ante la Fiscalía General de la Nación en la que denunció persecuciones en su contra por parte de ex funcionarios del DAS, ahora vinculados a la UNP; y (v) que el 25 de octubre de 2021, la FLIP solicitó a la UNP que, entre otras cosas, retire el GPS instalado en el vehículo de la accionante o se le asigne uno nuevo que no cuente con esta tecnología, por la presunta recolección masiva y sin autorización de sus registros de movilidad.
90. Aunque la accionante denunció falencias en el diseño de la aplicación CoronApp y en el proceso de tratamiento de los datos personales (incluido el almacenamiento), la información reportada por el INS y la AND, así como el informe rendido por la SIC, descartan que hubiera existido fallas de seguridad, o que se hubieran presentado quejas por transferencias indebidas de información o acceso no autorizado a la misma[133]. Por lo cual, de los anteriores elementos de prueba allegados al proceso, la Sala no pudo constatar que exista un riesgo actual que sea imputable al tratamiento de datos por parte de las entidades accionadas. En efecto, no hay prueba de que la información de los trayectos aéreos la hubiera convertido en blanco de más interceptaciones o que hubiera sido utilizada con el propósito de atentar contra su vida.
91. Por lo anterior, la Sala estima que el agotamiento de la reclamación ante el INS o AND, a fin de que estudien la posibilidad de suprimir los datos personales, no es una carga irrazonable que desconozca la difícil situación a la que se ha visto enfrentada la accionante por cuenta del ejercicio de su profesión. Por el contrario, la estipulación de etapas claras y tiempos breves para que el encargado o responsable de la administración de los datos personales resuelva la solicitud de eliminación de la información, e incluso la posibilidad de que ante el silencio de aquellos se pueda poner en conocimiento el problema ante la autoridad de protección de datos personales de la SIC, son factores que le otorgan garantías a la señora Duque, para que, como titular del dato, pueda hacer efectivo su derecho al habeas data.
92. Sobre la base de las razones expuestas, la Sala concluye que, como consecuencia de que la accionante no ha presentado la reclamación de la supresión de los datos personales ante el responsable o encargado de la administración de la aplicación CoronApp, la acción de tutela es improcedente por no cumplir con el presupuesto formal de procedencia fijado por la jurisprudencia constitucional, en concordancia con lo estipulado en el artículo 15 de la Ley 1581 de 2012.
93. Es de precisar que con esta decisión respecto de la improcedencia, esta Sala no pretende desconocer los hechos que, en su momento, victimizaron a la accionante, pues desde el ordenamiento jurídico nacional e internacional se ha repudiado categóricamente las interceptaciones ilegales, perfilamientos o persecuciones en contra de periodistas, y se ha avanzado en el estándar de protección de sus derechos, así como en su reivindicación[134]. Tampoco lo decidido en esta oportunidad tiene la virtualidad de incidir en las investigaciones que estén adelantando las autoridades penales y disciplinarias por las denuncias presentadas por la accionante. En cambio, con el presente proveído, la Sala únicamente busca asegurar la eficacia del principio de subsidiariedad de la acción de tutela y no caer en una falacia de generalización que deslegitime, en abstracto, los mecanismos diseñados por el Legislador Estatutario para la defensa del derecho fundamental al habeas data.
94. Analizado en los anteriores términos el requisito de subsidiariedad de la acción de tutela, respecto de las tres materias y pretensiones formuladas por las accionantes, la Sala procede a formular el problema jurídico con relación al tema que superó el examen de procedencia formal y, enseguida, determinar si el cambio de circunstancias configura una carencia actual de objeto.
D. PLANTEAMIENTO DEL PROBLEMA JURÍDICO, MÉTODO Y ESTRUCTURA DE LA DECISIÓN
95. Acorde con los fundamentos fácticos expuestos en la Sección I anterior de esta providencia, le corresponde a la Sala determinar si los operadores aeroportuarios accionados vulneraron el derecho al habeas data, libertad de locomoción, unidad familiar y privacidad de las accionantes al exigirles la descarga y uso de la aplicación CoronApp como condición para ingresar a los aeropuertos y acceder al servicio de transporte aéreo, pese a que la regulación vigente en el momento de los hechos establecía que el uso de esta herramienta era voluntario.
96. Antes de entrar a analizar de fondo el problema jurídico planteado, la Sala procederá a evaluar si en el presente caso se configura o no la carencia actual de objeto frente a las pretensiones de las tutelantes. Esto, teniendo en cuenta que, a partir de las pruebas allegadas en sede de revisión, se pudo constatar una variación sustancial de los hechos que haría caer en el vacío el objeto de la presente solicitud de amparo. En concreto, las accionantes, el Ministerio de Salud, Aeropuertos de Oriente S.A.S., las organizaciones Dejusticia, Defence, Karisma y el GAP informaron que la Resolución No.1517 de 2020 fue derogada por la Resolución No. 777 de 2 de junio de 2021, por medio de la cual se eliminó de los protocolos de bioseguridad el uso de la CoronApp para ingresar a los aeropuertos nacionales y acceder al servicio de transporte aéreo.
97. Por lo anterior, la Sala entrará a estudiar la figura de la carencia actual de objeto, para luego determinar si la misma se configuró o no en el caso concreto.
98. En el curso de la acción de tutela, puede darse la eventualidad de que, al momento de proferir sentencia, el objeto jurídico de la acción haya desaparecido, ya sea porque se obtuvo lo pedido, se consumó la afectación que pretendía evitarse, o porque ocurrieron hechos a partir de los cuales se pierde interés en la prosperidad del amparo. En consecuencia, este tribunal ha reconocido que, en determinados casos, cualquier orden que pudiera emitirse al respecto “caería en el vacío” o “no tendría efecto alguno”[136]. Esta figura, se ha conocido en la jurisprudencia como carencia actual de objeto, y puede darse en tres escenarios: (i) el hecho superado, (ii) el daño consumado y (iii) la situación sobreviniente.
99. La primera modalidad de la carencia actual de objeto, conocida como el hecho superado, se encuentra regulada en el artículo 26 del Decreto 2591 de 1991[137], y consiste en que, entre la interposición de la acción de tutela, y el momento en que el juez profiere el fallo, se satisfacen íntegramente las pretensiones planteadas, por hechos atribuibles a la entidad accionada. De esta forma, pronunciarse sobre lo solicitado carecería de sentido, por cuanto no podría ordenarse a la entidad accionada a hacer lo que ya hizo, o abstenerse de realizar la conducta que ya cesó, por su propia voluntad. En este caso, es facultativo del juez emitir un pronunciamiento de fondo, y realizar un análisis sobre la vulneración de los derechos. De esta manera, la satisfacción de lo inicialmente pedido no obsta para que (i) de considerarlo necesario, se pueda realizar un análisis de fondo, para efectos de avanzar en la comprensión de un derecho fundamental[138], realizar un llamado de atención a la parte concernida por la falta de conformidad constitucional de su conducta, conminarla a su no repetición o condenar su ocurrencia[139]; o (ii) que en virtud de sus facultades ultra y extra petita[140], encuentre que, a pesar de la modificación en los hechos, ha surgido una nueva vulneración de derechos, motivo por el cual, debe amparar las garantías fundamentales a que haya lugar.
100. De esta manera, para que se configure la carencia actual de objeto por hecho superado, deben acreditarse tres requisitos, a saber: (i) que ocurra una variación en los hechos que originaron la acción; (ii) que dicha variación implique una satisfacción íntegra de las pretensiones de la demanda; y (iii) que ello se deba a una conducta asumida por la parte demandada, de tal forma que pueda afirmarse que la vulneración cesó, por un hecho imputable a su voluntad. Así, esta Corte ha procedido a declarar la existencia de un hecho superado, por ejemplo, en casos en los que las entidades accionadas han reconocido las prestaciones solicitadas[141], el suministro de los servicios en salud requeridos[142], o dado trámite a las solicitudes formuladas[143], antes de que el juez constitucional o alguna otra autoridad emitiera una orden en uno u otro sentido.
101. Por su parte, el daño consumado se configura cuando, entre el momento de presentación de la acción de tutela y el pronunciamiento por parte del juez, ocurre el daño que se pretendía evitar. De esta manera, cualquier orden que pudiera dar el juez sobre las pretensiones planteadas, también “caería en el vacío”, en tanto el objeto mismo de la tutela, que es lograr la protección inmediata y actual de los derechos fundamentales, ya no podría materializarse debido a la consumación del aludido perjuicio. Sobre este escenario, la Corte ha precisado que al no ser posible hacer cesar la vulneración, ni impedir que se concrete el peligro, lo único que procede es el resarcimiento del daño causado, no siendo la tutela, en principio[144], el medio adecuado para obtener dicha reparación[145].
102. De esta manera, la Corte ha precisado que esta figura amerita dos aclaraciones: (i) si al momento de interposición de la acción de tutela es claro que el daño ya se había generado, el juez debe declarar improcedente el amparo. Por su parte, si este se configura en el curso del proceso, el juez puede emitir órdenes para proteger la dimensión objetiva del derecho, evitar repeticiones o identificar a los responsables; y (ii) el daño causado debe ser irreversible, por lo cual, si el perjuicio es susceptible de ser interrumpido, retrotraído o mitigado a través de una orden judicial, no se puede declarar la carencia actual de objeto[146].
103. En su jurisprudencia, esta Corte ha procedido a declarar el daño consumado, por ejemplo, en casos en los que tras la muerte del peticionario, no es posible restablecer la vulneración de su derecho a la salud[147], o se comprobó la dilación injustificada en resolver de forma oportuna las solicitudes de servicios en salud por él planteadas[148], y cuando se ha cumplido el término de la sanción impuesta por medio de un acto administrativo, a pesar de que haya sido posible establecer con posterioridad que el mismo fue expedido con vulneración del debido proceso[149].
104. Así, para que se configure el fenómeno del daño consumado, debe acreditarse que (i) ocurra una variación en los hechos que originaron la acción; (ii) que la misma derive en una afectación al peticionario; (iii) que esa afectación sea resultado de la acción u omisión atribuible a la parte accionada que motivó la interposición de la acción; y (iv) que, como consecuencia de ello, ya no sea posible al juez acceder a lo solicitado.
105. Finalmente, la situación sobreviniente se configura en aquellos casos en los que, entre la interposición de la acción y el momento del fallo, ocurre una variación en los hechos, de tal forma que (i) el accionante asumió una carga que no debía asumir; (ii) a raíz de dicha situación, perdió interés en el resultado del proceso; o (iii) las pretensiones son imposibles de llevar a cabo[150]. En este escenario, a diferencia del hecho superado, la presunta vulneración de los derechos no cesa por una actuación inicialmente atribuible a la entidad accionada, sino por circunstancias sobrevinientes en el curso del proceso.
106. La Corte ha aplicado esta figura, por ejemplo, en aquellos casos en los que ya no es posible acceder a lo solicitado, porque (i) la vulneración cesó en cumplimiento de una orden judicial; (ii) la situación del accionante cambió, de tal forma que ya no requiere lo que había solicitado inicialmente[151], por ejemplo, por haber asumido una carga que no debía[152]; y (iii) se reconoció un derecho a favor del demandante, que hizo que perdiera su interés en el reconocimiento de lo que solicitaba en la tutela[153]. En estos casos, esta corporación concluyó que las situaciones de los accionantes no encajaban en el supuesto de hecho superado, ni daño consumado, toda vez que aquellos ya habían perdido cualquier interés en la prosperidad de sus pretensiones, pero por hechos que no podían atribuirse al obrar diligente y oportuno de las entidades demandadas.
107. No obstante, ha precisado esta Sala que “El hecho sobreviniente remite a cualquier “otra circunstancia que determine que, igualmente, la orden del juez de tutela relativa a lo solicitado en la demanda de amparo no surta ningún efecto y por lo tanto caiga en el vacío”[154], por lo que esta no es una categoría homogénea y completamente delimitada, razón por la cual, sería equivocado basar la validez de la aplicación de este supuesto, en que haya sido previamente aplicado en la jurisprudencia.
108. La Sala Plena ha destacado la importancia de este concepto para definir aquellas situaciones frente a las que no había claridad en anteriores pronunciamientos, por no ser asimilables a las definiciones del hecho superado ni el daño consumado[155].
110. De conformidad con lo expuesto, en caso de que, al momento de proferir el fallo, el juez observe una variación en los hechos que implique la configuración de alguno de los escenarios anteriores, corresponde a este declarar la carencia actual de objeto, ya que cualquier orden que pudiera impartirse sobre lo solicitado sería “inocua” o “caería en el vacío”.
F. SOLUCIÓN DEL CASO CONCRETO. CONFIGURACIÓN DE CARENCIA ACTUAL DE OBJETO POR HECHO SUPERADO
111. A partir de un análisis detallado del material probatorio que reposa en el expediente y en aplicación de la jurisprudencia constitucional decantada, la Sala constata que, en el presente caso, se configura una carencia actual de objeto por hecho superado respecto de la presunta violación de los derechos fundamentales al habeas data, libertad de locomoción y unidad familiar por la descarga y uso de la aplicación CoronApp, y en consecuencia, de las pretensiones encaminadas a que dicha situación no se repita.
112. En el contexto de la pandemia del Covid-19, el Gobierno Nacional, mediante el Decreto-Ley 539 de 2020[156], dispuso que, durante el término de la emergencia sanitaria el Ministerio de Salud sería “la entidad encargada de determinar y expedir los protocolos que sobre bioseguridad se requieran para todas las actividades económicas, sociales y sectores de la administración pública (…)”[157]. En la marcha de la mencionada situación, el Presidente de la República, estableció, a través del Decreto 1168 de 2020[158], el “aislamiento selectivo y distanciamiento individual responsable” en el que se prohibió habilitar eventos de carácter público o privado que implicaran aglomeración de personas, bares, discotecas, lugares de baile y consumo de bebidas embriagantes en espacios públicos y establecimientos de comercio[159]. En ese sentido, “al no encontrarse restricciones diferentes a las señaladas (…), las demás actividades que se desarroll[aran] en el territorio nacional esta[ban] permitidas siempre y cuando se sujet[aran] al cumplimiento de los protocolos de bioseguridad que establec[iera]”[160] el Ministerio de Salud.
113. Por lo anterior y, “dada la importancia comercial para el país que implica[ba] la entrada en funcionamiento de los aeropuertos nacionales”[161], el Ministerio de Salud, mediante la Resolución No. 1517 del 1° de septiembre de 2020, expidió el protocolo de bioseguridad para los sectores aeroportuario y aeronáutico del territorio nacional que contempló en su anexo técnico respecto a la descarga y uso de la aplicación CoronApp lo siguiente:
a) Para los operadores de los aeropuertos medidas de bioseguridad generales de “Recomendar a todos los pasajeros y todo el personal que ingrese al aeropuerto, instalar en sus celulares o dispositivos la aplicación CoronApp-Colombia (…)” y, medidas de control de acceso al aeropuerto de pasajeros de “Verificar el diligenciamiento de la encuestaste de viaje dispuesta para el seguimiento del viaje en la aplicación CoronApp-Colombia, o la que se estipule por parte del Ministerio de Salud (…) por parte de viajeros.”;
b) Para las aerolíneas y explotadores de aeronaves medidas de bioseguridad generales de recomendar “a los pasajeros instalar en sus celulares o dispositivos móviles la aplicación CoronApp-Colombia, o la que se estipule por parte del Ministerio de Salud”, al realizar el check-in electrónico o presencial;
c) Para los pasajeros o viajeros “Instalar en sus celulares o dispositivos móviles la aplicación CoronApp-Colombia o la que se estipule por parte del Ministerio de Salud y Protección Social y diligenciar la información solicitada en esta cuando sea necesario y por lo menos una vez al día.”, y “Reportar su estado de salud a la EAPB, a la entidad territorial de salud de donde sea su residencia o donde se encuentre de viaje, a la aerolínea y en la aplicación CoronApp – Colombia o la que se estipule por parte del Ministerio de Salud (…), si durante los 14 días posteriores a su vuelo presenta síntomas que coincidan con COVID-19”.
“Primero. Ordenar al Ministerio de Salud y Protección Social y a la Aerocivil a aclarar por los medios que sean necesarios y especialmente a las aerolíneas y todas las autoridades, operadores y aerolíneas que operan el servicio de transporte aéreo nacional, que no se puede obligar a personas que viajan a nivel nacional a descargar y usar la aplicación CoronApp y que su no descarga no puede significar un obstáculo o impedimento para ingresar a las instalaciones aeroportuarias del país y que el contenido de la Resolución 1517 de 2020 debe ser respetado en el sentido en que insiste en recomendar o sugerir su uso, por lo que las personas no están obligadas a ello. En caso de que se estime oportuna la captura de datos para efectuar la notificación a pasajeros posiblemente expuestos al covid-19 y que vuelan con destinos a nivel nacional, se prevea por Su Señoría la necesidad de que se trate de la mínima cantidad de información útil para tal fin, con alternativas de registro por medios digitales y analógicos sin que su provisión constituya en todo caso una condición para el derecho a la libre locomoción en aeropuertos nacionales.
Segundo. Ordenar a la concesionaria OPAIN S.A. (operadora del aeropuerto El Dorado de Bogotá), la concesionaria Aeropuertos de Oriente (operadora del aeropuerto de Santa Marta y del aeropuerto de Bucaramanga) y Airplan (operadora del Aeropuerto José María Córdova), proveer entrenamiento a su personal para que de ninguna manera se pueda obligar nuevamente a pasajeros que viajan a nivel nacional a descargar y usar la aplicación CoronApp, y que dichas entidades aclaren que su no uso o descarga puede servir de manera alguna como una razón para impedir o negar el ingreso de pasajeros a las instalaciones aeroportuarias del país.
(...)
Cuarto. Se ordene al Instituto Nacional de Salud incluir en su política de tratamiento de datos la prohibición que tienen las autoridades públicas de exigir la descarga y uso de CoronApp como condición para volar a nivel nacional.”
115. Para sustentar sus pretensiones, las accionantes anexaron pruebas de que la Aerocivil y los operadores aeroportuarios “ha[bían] hecho públicos en sus propias páginas web [y redes sociales] (…) la obligatoriedad de CoronApp”[162]. En concreto, (i) se refirieron a los tuits publicados en el perfil de la Aerocivil entre el 1º de octubre y 20 de noviembre de 2020 en los que informaba que “todos los pasajeros y personal aeroportuario que transiten las terminales aéreas, deberán tener instalada en su celular la aplicación #CoronApp”[163]; (ii) aportaron fotografías de los carteles a las afueras de las instalaciones del operador aeroportuario de la ciudad de Bogotá, información publicada en la página web y en el perfil de Twitter entre el 22 de octubre y 25 de noviembre de 2020[164]; y (iii) remitieron información divulgada en la página web y perfil de Twitter del Aeropuerto José María Córdova entre el 29 de septiembre y 13 de noviembre de 2020[165].
116. Las entidades accionadas se opusieron a la prosperidad del amparo, bajo el argumento de que no habían desplegado ninguna conducta violatoria de los derechos fundamentales invocados. En síntesis, el Ministerio de Salud manifestó su falta de legitimación en la causa por pasiva, debido a que, la implementación de la aplicación CoronApp estaba en cabeza del INS en coordinación con la AND y, agregó que, cada “institución es autónoma frente a la creación y diseño de sus planes y protocoles en materia de bioseguridad. Por lo cual, sus estrategias deben guardar estrecha relación y congruencia con los lineamientos y disposiciones emitidas por parte de nuestra Institución”[166]. A su turno, el INS solicitó negar las pretensiones de las accionantes, al mencionar que la política de tratamiento de datos de CoronApp era clara en señalar el uso voluntario de la misma, así como que, “el ciudadano será libre de descargar, utilizar o desinstalar esta aplicación (…)”[167].
117. Por otra parte, la Aerocivil solicitó su desvinculación del proceso, al considerar que fueron los operadores aeroportuarios quienes exigieron la descarga y uso de la aplicación CoronApp como condición para ingresar a los aeropuertos. Frente a esto, OPAIN S.A.[168], Aeropuertos de Oriente S.A.S. y Airplan S.A.S. alegaron que carecían de falta de legitimación en la causa por pasiva, porque, a su juicio, se limitaron a dar cumplimiento a la obligación de verificación del diligenciamiento de la aplicación, en los términos estipulados en la Resolución No. 1517 de 2020[169].
118. Con relación a la anterior controversia, en sede de revisión ante la Corte, las accionantes; el DAPRE, en intervención conjunta con el Ministerio de Salud; y las organizaciones Dejusticia, Defence, Karisma y el GAP, mediante escritos de amicus curiae, pusieron de presente a la Sala los cambios de reglamentación en los protocolos de bioseguridad para el sector aeroportuario y la prestación del servicio de transporte aéreo. En ese sentido, informaron que la Resolución No. 1517 de 2020 fue derogada por la Resolución No. 411 del 29 de marzo de 2021[170], la cual a su vez fue reemplazada por la Resolución No. 777 del 2 de junio 2021[171], por medio de la cual se eliminó de las medidas de bioseguridad lo relacionado con la descarga y uso de la aplicación CoronApp.
119. De igual forma, el INS, en respuesta conjunta con AND, las accionantes y el Ministerio de Salud informaron a la Sala que, mediante contrato interadministrativo de cesión total de derechos patrimoniales de autor de la obra CoronApp, celebrado el 1° de octubre de 2021, el INS cedió la aplicación al Ministerio mencionado, a fin de que, entre otras cosas, asumiera la responsabilidad del tratamiento de los datos personales a través de dicha aplicación[172]. Además, indicaron que esta herramienta tecnológica ahora se denomina MinSalud Digital, la cual tiene una nueva finalidad y política de privacidad y protección de datos a cargo del Ministerio de Salud[173].
120. Frente a la modificación sustancial en las circunstancias que dieron lugar a la interposición de la acción constitucional, Aeropuertos de Oriente S.A.S.[174], el DAPRE, en intervención conjunta con el Ministerio de Salud[175], y la organización Karisma[176] sugirieron que, en el presente asunto, existía una carencia actual de objeto por hecho superado, teniendo en cuenta que con la expedición de la Resolución No. 777 de 2021 se eliminó de los protocolos de bioseguridad la exigencia de la descarga y uso de la aplicación CoronApp para utilizar el transporte aéreo. Al respecto, a continuación se resumen las intervenciones en el presente expediente, en las cuales se solicita la configuración de una carencia actual de objeto:
|
Autoridad pública o Entidad privada |
Pretensión inicial frente a la que se configuró la carencia actual de objeto por hecho superado por la expedición de la Resolución No. 777 de 2021 |
|
DAPRE y Ministerio de Salud |
Pretensiones: primera, segunda, cuarta y quinta. |
|
Aeropuertos de Oriente S.A.S. |
Pretensión: segunda. |
|
Karisma |
Pretensión: primera, segunda y quinta. |
121. Por otra parte, las accionantes y el GAP manifestaron que, en el caso concreto, debía ser descartada la configuración de una carencia actual de objeto por hecho superado, a pesar de la emisión de la Resolución 777 de 2021, debido a que: (i) durante 11 meses (27 de junio de 2020 al 2 de junio de 2021) la entrega de los datos a la aplicación CoronApp fue obligatoria, además que, (ii) nada descarta que, frente a nuevas y más agresivas variantes del Covid-19, las autoridades impongan la obligación de la descarga y uso de la aplicación para fortalecer los controles a la movilidad humana o la posibilidad de cambiar la política sobre el uso de la misma, generando confusión y nuevos escenarios de vulneración de derechos.
122. A partir de todos los elementos de juicio y material probatorio recaudado en el trámite del proceso, y conforme con lo expuesto en la Sección II.E de esta sentencia, la Sala constata la configuración de una carencia actual de objeto por hecho superado, en los términos señalados por la jurisprudencia constitucional. Primero, la Resolución No. 777 de 2021 no añadió en su anexo técnico medidas de bioseguridad relacionadas con el diligenciamiento de la aplicación CoronApp, razón por la cual, actualmente, las autoridades en materia de salud y los operadores aeroportuarios no están exigiendo a los pasajeros que descarguen y utilicen esta herramienta como una condición para ingresar a los aeropuertos y acceder al servicio de transporte aéreo[177]. Esto constituye una variación sustancial en los hechos inicialmente expuestos en la tutela. Segundo, como consecuencia de lo anterior, se verifica la satisfacción del grupo de pretensiones dirigidas a aclarar a diferentes entidades y brindar entrenamiento al personal de los operadores aeroportuarios acerca de la descarga y uso voluntario de la aplicación. Tercero, la posibilidad de que las accionantes y, en general, los usuarios del servicio de transporte aéreo no tengan que utilizar la aplicación CoronApp para ingresar a los aeropuertos y viajar a través de las distintas aerolíneas dentro del territorio nacional, es un hecho atribuible a una conducta voluntariamente asumida por el Ministerio de Salud, demandado a través de la presente acción de tutela.
123. La Sala observa que sigue la misma suerte de lo anterior la pretensión que busca ordenar al INS incluir en su política de tratamiento de datos la prohibición para las autoridades públicas de exigir la descarga y uso de la aplicación como condición para volar a nivel nacional (pretensión: cuarta. Ver supra, numeral 114). En efecto, con la expedición de la Resolución No. 777 de 2021 hubo una variación sustancial de la situación fáctica en el caso concreto, dado que, no se está exigiendo la descarga y uso de la CoronApp como una medida de bioseguridad en los aeropuertos, sumado a que, la aplicación cambió de nombre, responsable, política y finalidad. Esto, conlleva a que la pretensión mencionada no se pueda hacer efectiva, debido a que, el Ministerio de Salud, entidad diferente al INS, derogó la reglamentación anterior emitiendo nuevos protocolos, dentro de los cuales no se encuentra como directriz la descarga y uso de la CoronApp para utilizar el transporte aéreo nacional. En consecuencia, también opera el fenómeno de la carencia actual de objeto por hecho superado respecto de esta pretensión.
124. Por lo anterior, la Sala descarta la validez de los argumentos presentados por las accionantes y el GAP sobre la inexistencia de una configuración de carencia actual de objeto por hecho superado en el caso concreto (ver supra, numeral 121), pues no es posible ordenar a las accionadas que se abstengan de realizar una conducta que ya cesó por su propia voluntad al expedir y cumplir una nueva reglamentación, sumado a que, la aplicación CoronApp ahora es llamada MinSalud Digital, la cual cuenta con una nueva finalidad y política[178] en cabeza del Ministerio de Salud.
125. Sobre la base de las razones expuestas, concluye la Sala que, en el caso concreto, la conducta que generaba la vulneración de los derechos invocados por las accionantes se modificó completamente en el curso de la revisión del expediente por la Sala Tercera de Revisión. Es así como, actualmente, las accionantes pueden ingresar a los aeropuertos y acceder al servicio de transporte aéreo sin la necesidad de descargar y usar la otrora aplicación CoronApp. Por lo tanto, al constatar que una eventual orden de amparo no tendría efecto alguno sobre la situación de las tutelantes, en la parte resolutiva de esta providencia, la Sala declarará la carencia actual de objeto por la configuración del fenómeno de hecho superado.
Consideraciones finales
i. Respecto del derecho fundamental al habeas data en el contexto del Estado de Emergencia Económica, Social y Ecológica por la pandemia de la Covid-19
126. La Sala llama la atención sobre la necesidad de asegurar la eficacia del derecho fundamental del habeas data en el contexto del Estado de Emergencia Económica, Social y Ecológica decretado con ocasión de la pandemia de la Covid-19. Recuérdese que la controversia constitucional objeto de estudio giró alrededor de la descarga y uso de la aplicación CoronApp, la cual fue diseñada como una herramienta de información que sirviera para orientar las medidas generales de bioseguridad que debía adoptar los sectores aeroportuario y aeronáutico del territorio nacional, con el fin de disminuir el riesgo de transmisión del virus durante el desarrollo de las actividades relacionadas con el transporte aéreo de personas.
127. El habeas data es un derecho fundamental autónomo[179] contenido en el artículo 15 de la Constitución Política, definido como la garantía de las personas al “acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos (…)”[180] y aplicado a bases de datos personales, tanto de carácter público como privado[181].
128. En desarrollo del anterior postulado, y producto de una tarea de sistematización de lo dispuesto por la jurisprudencia constitucional en la materia[182], la Ley Estatutaria 1581 de 2012, en su artículo 4º, “establece los principios a los que está sujeto cualquier tipo de tratamiento de datos en Colombia”[183]. En concreto, consagra los principios de (i) legalidad[184], (ii) finalidad[185], (iii) libertad[186], (iv) veracidad o calidad[187], (v) transparencia[188], (vi) acceso y circulación restringida[189], (vii) seguridad[190] y (viii) confidencialidad[191], los cuales son “oponibles a todos los sujetos involucrados en el tratamiento del dato, entiéndase en la recolección, circulación, uso, almacenamiento, supresión, etc., sin importar la denominación que los sujetos adquieran (…)”[192].
129. Tales principios, de conformidad con la jurisprudencia de esta corporación, “buscan impedir el uso abusivo y arbitrario de la facultad informática (…) [y] (…) deben ser interpretados en concordancia con el segundo inciso del artículo 15 de la Carta, que establece que ‘[e]n la recolección, tratamiento y circulación de los datos se respetarán la libertad y demás garantías consagradas en la Constitución.’”[193]. Estos son “una clasificación especial de principios que no incluye la totalidad de los principios predicables de la administración de datos y que han sido desarrollados tanto por la jurisprudencia de esta Corporación, como por las normas internacionales sobre la materia”[194]. Por ello, además de los expresamente previstos en el artículo 4 de la Ley precitada, desde el año 1994, por vía jurisprudencial[195] se han incorporado al proceso de administración de datos los principios de necesidad[196]; integridad[197]; incorporación[198]; utilidad[199]; caducidad[200]; individualidad[201]; temporalidad[202]; entre otros[203].
130. El marco axiológico anotado define entonces, en gran medida, el contenido y núcleo esencial del derecho al habeas data, el cual, de acuerdo con la jurisprudencia reiterada de la Corte, está “integrado por el derecho a la autodeterminación informática y por la libertad, en general, y en especial económica. La autodeterminación informática es la facultad de la persona a la cual se refieren los datos, para autorizar su conservación, uso y circulación, de conformidad con las regulaciones legales.”[204] Las autoridades estatales y los particulares están llamados a garantizar los principios y núcleo esencial del habeas data mediante la aplicación de los preceptos constitucionales, estatutarios y jurisprudenciales que lo regulan.
131. La restricción a cualquiera de los principios que integran el habeas data, como por ejemplo el principio de libertad según el cual “el tratamiento [de datos personales] sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular”[205], debe ser excepcional y legalmente fundamentada, incluso en Estados de Emergencia Económica, Social y Ecológica. Así lo ha dispuesto expresamente el Legislador Estatutario al menos en dos cuerpos normativos.
132. El primero, mediante la Ley Estatutaria 137 de 1994[206]-, al establecer que en caso de que sea necesario limitar en el marco de un Estado de Excepción el ejercicio de algún derecho no intangible (entiéndase alguno diferente a los referidos en el artículo 4 de dicha ley), “no se podrá afectar su núcleo esencial y se deberán establecer garantías y controles para su ejercicio.” (art. 6º). El segundo, con la Ley Estatutaria 1581 de 2012, al fijar las excepciones al principio de libertad -consentimiento o autorización del titular del dato-. Específicamente, el artículo 10 de dicha ley establece que, entre otros casos, no es necesaria la autorización del titular de los datos cuando se trate de (i) información requerida por entidades públicas o administrativas en ejercicio de sus funciones legales, y (ii) en los casos de urgencia médica o sanitaria.
133. Con ocasión del control previo y automático de constitucionalidad al proyecto de la Ley Estatutaria 1581 de 2012, la Corte hizo precisiones sobre la forma en que tales excepciones se pueden aplicar en armonía con el artículo 15 de la Constitución. Frente al primer supuesto en los que no se requiere autorización del titular, porque el dato solicitado tiene una conexión directa con el ejercicio de una función legal de una entidad pública o administrativa, la Corte advirtió que esta facultad en cabeza de los funcionarios del Estado “no puede convertirse en un escenario proclive al abuso del poder informático”[207]. Con relación al segundo supuesto según el cual se podrá prescindir de la autorización del titular del dato en casos de urgencia médica y sanitaria, la corporación realizó una interpretación restringida de esta disposición en el sentido de que sólo opera “en los casos en que dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas.”[208].
134. A partir de los fundamentos decantados, es claro que el marco jurídico del derecho fundamental al habeas data procura al máximo la protección de su núcleo esencial y la realización de sus principios, incluso en situaciones de crisis o emergencias sanitarias derivadas de una pandemia. Por ello, teniendo en cuenta los hechos que motivaron la presentación de esta acción de tutela, y las tensiones y retos que significó el tratamiento de datos personales con el fin de adoptar medidas y protocolos de bioseguridad en el sector aeroportuario y aeronáutico, la Sala dispondrá prevenir al Gobierno Nacional para que en futuras ocasiones aplique la legislación estatutaria en materia de habeas data, en concordancia con las previsiones que sobre la misma ha realizado la Corte Constitucional en reiterada jurisprudencia.
ii. Respecto al debido proceso administrativo que deben surtir el INS y la AND, en relación con la supresión de datos personales, trámite que no ha concluido como se evidencia en los hechos probados en sede de revisión
135. Por último, la Sala encuentra necesario llamar la atención sobre el trámite impartido a la gestión de supresión de los datos personales de las accionantes, el cual fue promovido por el INS y AND con ocasión de la presentación de la acción de tutela, y que, como se pasa exponer, no se logró comprobar que haya concluido.
136. El artículo 29 de la Constitución establece que “el debido proceso se aplicará a toda clase de actuaciones judiciales y administrativa”. En desarrollo de lo anterior, la Corte Constitucional ha definido el debido proceso administrativo como “el conjunto complejo de condiciones que le impone la ley a la administración, materializado en el cumplimiento de una secuencia de actos por parte de la autoridad administrativa, (…) cuyo fin está previamente determinado de manera constitucional y legal”[209], el cual busca “i) asegurar el ordenado funcionamiento de la administración, (ii) la validez de sus propias actuaciones y, (iii) resguardar el derecho a la seguridad jurídica y a la defensa de los administrados”[210].
137. Dentro de las garantías del debido proceso administrativo se encuentran, entre otros, los derechos a: “i)ser oído durante toda la actuación, (ii) a la notificación oportuna y de conformidad con la ley, (iii) a que la actuación se surta sin dilaciones injustificadas, (iv) a que se permita la participación en la actuación desde su inicio hasta su culminación, (v) a que la actuación se adelante por autoridad competente y con el pleno respeto de las formas propias previstas en el ordenamiento jurídico, (vi) a gozar de la presunción de inocencia, (vii) al ejercicio del derecho de defensa y contradicción, (viii) a solicitar, aportar y controvertir pruebas, y (ix) a impugnar las decisiones y a promover la nulidad de aquellas obtenidas con violación del debido proceso”[211] (negrillas fuera del texto original).
138. La dilación injustificada se presenta cuando la duración de un procedimiento supera el plazo razonable. De acuerdo con la jurisprudencia constitucional, la razonabilidad del plazo se establece en cada caso particular, teniendo en cuenta (i) la complejidad del asunto; (ii) la actividad procesal del interesado; (iii) la conducta de la autoridad competente; y (iv) la situación jurídica de la persona interesada[212]. Por consiguiente, esta Corte ha sostenido que el derecho al debido proceso administrativo se entiende vulnerado cuando las autoridades públicas, en ejercicio de función administrativa, no siguen estrictamente los actos y procedimiento establecidos en la ley para la adopción de sus decisiones y, por ejemplo, dilatan las mismas en el tiempo sin justificación, desconociendo las garantías reconocidas a los administrados[213].
139. En el caso en concreto, mediante la acción de tutela, se solicitó al INS “la eliminación inmediata de la información suministrada a través de CoronApp” respecto de las señoras Juanita María Goebertus, Alejandra Martínez Hoyos y Sol Marina de la Rosa Flórez, pretensión en la que, en el trámite de impugnación, fue incluida la señora Claudia Julieta Duque Orrego.
140. El 2 de diciembre de 2020, en el traslado del proceso de tutela en primera instancia, el INS, responsable de la aplicación CoronApp para la época, a través de correo electrónico, solicitó a la AND, encargada del tratamiento de los datos de la aplicación, “su colaboración con la gestión pertinente” respecto a la pretensión de supresión de los datos de las accionantes[214]. En sede de revisión, el magistrado sustanciador requirió a las entidades mencionadas a fin de que informaran el estado actual de dicha gestión. Frente a esto, el 27 de octubre de 2021, la AND informó que, con relación al trámite referenciado, había enviado un comunicado a las accionantes con el fin de confirmar su interés y aprobación frente a la eliminación de sus datos personales de la aplicación CoronApp[215], sin embargo, no hay prueba de que se haya surtido esa gestión, pues la entidad no allegó copia de esta comunicación y las tutelantes negaron haberla recibido.
141. Para la Sala es claro que, de acuerdo con los supuestos fácticos bajo estudio, la solicitud gestionada por el INS y la AND se dio en los términos del artículo 15 de la Ley Estatutaria 1581 de 2012, el cual, establece que la reclamación respecto a la supresión de datos será atendida por el responsable y/o encargado del tratamiento de datos, en los 15 días hábiles siguientes a su recibo y, en todo caso, de no ser posible cumplir con el anterior término, se le informará al interesado el motivo de la demora y se atenderá la misma en los siguientes 8 días hábiles, contados a partir del vencimiento del plazo original. No obstante, a la fecha de dictarse esta sentencia, la Sala advierte que no existe información sobre la culminación o decisión dentro del trámite respectivo.
142. Al respecto, la Corte recuerda que, en virtud del artículo 29 de la Constitución, la administración debe garantizar la eficacia del derecho fundamental al debido proceso administrativo[216] y, por tanto, entre otras cosas, surtir sus actuaciones dentro de los términos legales establecidos, sin dilaciones injustificadas[217]. Es un imperativo del Estado Social de Derecho, en tanto manifestación del principio de legalidad, que las autoridades cumplan con las etapas, tiempos y procedimientos diseñados por el Legislador, a fin de que, en trámites como el previsto en el artículo 15 de la Ley 1581 de 2012, se “i) asegur[e] el ordenado funcionamiento de la administración, (ii) la validez de sus propias actuaciones y, (iii) [se] resguard[e] el derecho a la seguridad jurídica y a la defensa de los administrados”[218].
143. Con base en lo anterior, sin perjuicio de la verificación de la configuración de la carencia actual de objeto en los términos expuestos, y ante la falta de evidencia de que la gestión de la supresión de datos personales hubiese sido concluida por las entidades mencionadas, la Sala dispondrá prevenir al INS, la AND y al Ministerio de Salud, como el nuevo responsable del tratamiento de los datos de la aplicación MinSalud Digital -antes CoronApp-, para que, en el término de los 15 días hábiles siguientes a la notificación de esta providencia, resuelvan la solicitud de supresión de datos respecto de las accionantes Juanita María Goebertus, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque Orrego.
144. La Sala advierte que la inclusión del Ministerio de Salud en la prevención anotada se justifica por la necesidad de dar una respuesta integral a la solicitud de supresión de los datos personales de las accionantes. Aunque a este Ministerio no le es imputable negligencia alguna en el trámite iniciado el 2 de diciembre de 2020, disponer su participación en dicha gestión es acorde con sus competencias legales y con su nuevo rol de responsable de la otrora CoronApp. Recuérdese que, en sede de revisión, se obtuvo información relacionada con el Ministerio de Salud acerca del (i) contrato interadministrativo MSPS-485-202 celebrado con el INS, el 1º de octubre de 2021, por medio del cual se acordó la cesión de derechos patrimoniales de autor de la aplicación CoronApp a favor del Ministerio; y (ii) del contrato interadministrativo No. 720 celebrado con la AND, el 20 de octubre de 2021, mediante el cual se contrataron los servicios de la Agencia para brindar apoyo en la operación y soporte técnico que se requieran en la administración, aprovisionamiento de Infraestructura en nube pública y en la transferencia en la plataforma en el sistema CoronApp. Además, dicha cartera puso en conocimiento de la Sala que, con ocasión del cambio de responsable del tratamiento de datos, le fueron transferidos algunos datos de los ciudadanos que usaron la referida aplicación.
G. SÍNTESIS DE LA DECISIÓN
145. La Sala revisó los fallos que resolvieron la acción de tutela interpuesta por las señoras Juanita María Goebertus, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque Orrego contra el Ministerio de Salud, el INS y otros, por la presunta violación de los derechos fundamentales al habeas data, libertad de locomoción, unidad familiar y privacidad. En el examen de procedencia formal, constató que la demanda de tutela cumplía con los requisitos de legitimación en la causa por activa y pasiva, e inmediatez.
146. Con relación al requisito de subsidiariedad, la Sala abordó su análisis a partir de tres hechos relevantes y teniendo en consideración el sentido de las pretensiones. Primero, determinó que la acción de tutela era procedente para analizar la presunta violación de los derechos al habeas data, libertad de locomoción, unidad familiar y privacidad causada por el hecho de que los operadores aeroportuarios exigieran la descarga y uso de la aplicación CoronApp como condición para ingresar a los aeropuertos y acceder al servicio de transporte aéreo. Segundo, conforme con la jurisprudencia constitucional y la Ley Estatutaria 1581 de 2012, comprobó que la solicitud de protección del derecho al habeas data mediante la orden de supresión de los datos personales de las señoras Goebertus, Martínez y De la Rosa Flórez no cumplía con el presupuesto formal de procedencia, por cuanto no agotaron la reclamación ante el responsable y/o encargado de la aplicación CoronApp, ni acudieron ante la Delegatura de Protección de Datos Personales de la SIC. No se encontró evidencia de la producción de un perjuicio irremediable. Tercero, verificó que la solicitud de protección del derecho al habeas data mediante la supresión de datos personales de la señora Duque no satisfizo el requisito de subsidiariedad, en los términos de la jurisprudencia de esta corporación y de la ley precitada, comoquiera que no acudió previamente ante el responsable o encargado del tratamiento de datos de la aplicación ni adelantó trámite ante la SIC. No se encontró evidencia de la producción de un perjuicio irremediable.
147. Resuelto lo anterior, la Sala formuló el problema jurídico respecto del primer asunto. Sin embargo, como resultado de las sub-reglas contenidas en la Sección II.E de esta sentencia, la Sala comprobó la configuración de la carencia actual de objeto por hecho superado, por cuanto, se evidenció que: (i) acaeció una variación sustancial en los hechos que dieron origen a la acción de tutela, al haberse expedido la Resolución No.777 de 2021, por medio de la cual se eliminó de los protocolos de bioseguridad del sector aeroportuario y servicio de transporte aéreo la descarga y uso de la aplicación CoronApp; (ii) dicha variación conllevó a que las pretensiones relacionadas en el escrito de tutela perdieran significado, por lo que carece de sentido cualquier orden que pudiera emitir la Corte en esta misma dirección; y (iii) la alteración en la situación planteada por las tutelantes ocurrió con ocasión de un hecho atribuible a una conducta voluntariamente asumida por el Ministerio de Salud, accionada en el presente proceso. Lo anterior, considera la Sala, conllevaría a que cualquier orden sobre la controversia planteada sea “inocua” o “caiga en el vacío”.
148. Sin perjuicio de la anterior comprobación, la Sala estimó que el asunto ameritaba realizar algunas consideraciones finales. El primero con el fin de advertir al Gobierno Nacional sobre la importancia de aplicar el marco jurídico de protección del derecho al habeas data cuando requiera realizar el tratamiento de datos personales con el fin de adoptar medidas y protocolos de bioseguridad en el sector aeroportuario y aeronáutico. El segundo con el propósito de prevenir al INS, AND y al Ministerio de Salud para que, de manera conjunta, procedan a dar respuesta a la gestión de supresión de datos personales de las accionantes, la cual comenzó con ocasión de la presentación de la acción de tutela, pero no se demostró que hubiese concluido a la fecha de adoptarse esta decisión.
III. DECISIÓN
En mérito de lo expuesto, la Sala Tercera de Revisión de la Corte Constitucional de la República de Colombia, administrando justicia en nombre del pueblo y por mandato de la Constitución,
RESUELVE
Primero.- LEVANTAR la suspensión de términos decretada en el proceso de la referencia.
Segundo.- REVOCAR la decisión proferida por el Tribunal Administrativo de Cundinamarca el día 18 de febrero de 2021, mediante la cual se confirmó la sentencia proferida por el Juzgado 43 Administrativo de Oralidad del Circuito de Bogotá D.C. el 11 de diciembre de 2020, en la cual se resolvió negar el amparo solicitado por las señoras Juanita María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque Orrego, contra el Ministerio de Salud y Protección Social; y en su lugar, DECLARAR LA CARENCIA ACTUAL DE OBJETO, por la configuración de un hecho superado, de conformidad con las consideraciones expuestas en la parte motiva de esta providencia.
Tercero.- Con base en las razones expuestas, PREVENIR al Gobierno Nacional para que, en futuras ocasiones cuando requiera realizar el tratamiento de datos personales con el fin de adoptar medidas y protocolos de bioseguridad en el sector aeroportuario y aeronáutico, aplique la legislación estatutaria en materia de habeas data, en concordancia con las previsiones que sobre la misma ha realizado la Corte Constitucional en reiterada jurisprudencia.
Cuarto.- Con base en las razones expuestas, PREVENIR al Instituto Nacional de Salud, a la Corporación Agencia Nacional Digital y al Ministerio de Salud y Protección Social, en calidad de nuevo responsable del tratamiento de los datos recolectados por la aplicación CoronApp, ahora MinSalud Digital, que, en el término de los 15 días hábiles siguientes a la notificación de esta providencia, respondan a la solicitud de supresión de los datos personales suministrados por las señoras Juanita María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque Orrego.
Quinto.- LIBRAR las comunicaciones –por la Secretaría General de la Corte Constitucional–, así como DISPONER las notificaciones a las partes y terceros intervinientes, previstas en el artículo 36 del Decreto Ley 2591 de 1991, a través del Juzgado 43 Administrativo de Oralidad del Circuito de Bogotá D.C.
Notifíquese, comuníquese, cúmplase.
ALEJANDRO LINARES CANTILLO
Magistrado
ANTONIO JOSÉ LIZARAZO OCAMPO
Magistrado
PAOLA ANDREA MENESES MOSQUERA
Magistrada
MARTHA VICTORIA SÁCHICA MÉNDEZ
Secretaria General
Referencia: Expediente T-8.197.643
Acción de tutela interpuesta por Juanita María Goebertus Estrada y otras contra Ministerio de Salud y otros.
|
Intervención |
|
|
DAPRE y Ministerio de Salud[219]
|
El DAPRE y el Ministerio de Salud presentaron escrito en el que le solicitaron a la Corte confirmar las decisiones de instancia y, subsidiariamente, “declarar por improcedente la acción de tutela dentro del proceso de la referencia”[220], reiterando los argumentos de los fallos de tutela sobre controvertir un acto administrativo general, la inexistencia de una vulneración de derechos fundamentales y perjuicio irremediable y la ausencia de solicitud tendiente a eliminar los datos suministrados a la aplicación (ver supra, núm. 20 y 23)[221]. Así mismo, manifestaron que de considerar que “se vulneraron los derechos fundamentales de las accionantes” se “declare el hecho superado”[222], debido a que, “la exigencia de descargar y usar la aplicación a los viajeros dentro del territorio nacional fue eliminada con la expedición de la Resolución 777 de 2021”[223].
Luego de exponer la evolución, medidas que tomó el Gobierno Nacional para combatir el virus, el estado actual de la pandemia y de reiterar algunas de las consideraciones dadas en las contestaciones del proceso de tutela (ver supra, núm. 12 a 14)[224], las entidades mencionadas señalaron el desarrollo de la aplicación CoronApp en la fase de introducción y contención[225] y la de mitigación[226]. De igual forma, informaron que con la Resolución 777 de 2021 “la herramienta CoronApp Colombia deja de ser necesaria para la verificación del estado de salud de los viajeros de vuelos nacionales (…) [por lo que a]ctualmente la herramienta se encuentra en proceso de cesión del INS al Ministerio de Salud (…) y se está considerando su utilidad en la validación de pruebas de laboratorio para los viajeros internacionales que se dirijan a destino que solicitan prueba negativa (…) [así como] para validar el certificado de vacunación”[227]. Por último, señalaron sus argumentos respecto al cumplimiento del test de proporcionalidad por parte de la aplicación mencionada[228]. |
|
Amicus curiae |
|
|
PuenteTech[229]
|
PuenteTech[230] puso a disposición de la Corte Constitucional la investigación en la que analizaron varias aplicaciones tecnológicas desarrolladas por algunos gobiernos de América Latina[231] para luchar contra el Covid-19, dentro de las cuales se encuentra la CoronApp. Lo anterior con el objetivo de aportar a la discusión jurídica sobre la privacidad, la protección de datos de las personas, el acceso a la información pública y demás derechos y libertades en el eventual análisis que se efectúe sobre la aplicación móvil CoronApp[232]. |
|
Derechos Digitales Latinoamérica[233], la Escuela de Privacidad S.A.S[234], Transparencia por Colombia[235], Access Now[236], el Instituto Internacional de Estudios Anticorrupción[237], la Asociación por los Derechos Civiles (ADC)[238] e Hiperderecho[239]
|
Derechos Digitales[240], la Escuela de Privacidad[241], Transparencia por Colombia[242] y la ADC[243] presentaron similares intervenciones con el fin de enriquecer la discusión jurídica sobre el “uso de aplicaciones que recolectan de datos personales protegidos constitucionalmente” y “aportar elementos que permitan (…) amparar los derechos reclamados por las tutelantes”[244]. Las organizaciones propusieron tres problemas jurídicos[245] y concluyeron, de forma general que[246], respecto al caso concreto, en su opinión, existe una vulneración de los derechos a la intimidad, habeas data y acceso a la información, en razón a que, el consentimiento para el tratamiento de datos derivado del uso de la CoronApp no fue obtenido conforme al principio de libertad[247] y la falta de claridad respecto de la obligatoriedad o no de descarga y uso de la aplicación no permite que los ciudadanos decidan de manera informada sobre la exposición de su información[248].
Aunque Access Now[249], el Instituto Internacional de Estudios Anticorrupción[250] e Hiperderecho[251] sugirieron los mismos tres problemas jurídicos que las organizaciones del párrafo anterior, las desarrollaron de manera distinta. La primera solicitó ser reconocida como interviniente[252] dentro del proceso y expuso fundamentos relacionados con la recopilación, uso de datos de salud, rastreo y datos de geocalización, uso obligatorio de las aplicaciones y consentimiento; la segunda pidió acceder a las pretensiones de las tutelantes, “dado que no se configuraban los elementos de hecho y de derecho para que proceda una excepción al deber de obtener la autorización del titular para el tratamiento de datos sensibles”[253]; y la última manifestó el apoyo a las accionantes basándose en el libre desarrollo de la personalidad[254] y señalando que la obligación del uso y descarga de la CoronApp no supera “el test de legalidad, proporcionalidad y necesidad establecido en la Convención Americana sobre Derechos Humanos”[255]. |
|
Asociación Colombiana de Legal Tech (alt+co)[256]
|
La Asociación Colombiana de Legal Tech[257] presentó sus fundamentos con el ánimo de contribuir a la discusión jurídica sobre el caso concreto. Al respecto expuso los beneficios[258] y dificultades[259] de las aplicaciones tipo MCTA[260] y los principios[261] de “data minimization”[262] y “purpose limitation”[263], los cuales “han sido de gran utilidad en otras jurisdicciones para resolver problemas jurídicos sobre privacidad de datos”[264]. Por último, sugirió el problema jurídico sobre si “los datos personales de los ciudadanos significan una información indispensable para lograr cumplir con los propósitos de la aplicación CoronApp”[265]. |
|
El Centro de Estudios de Derecho, Justicia y Sociedad[266]
|
Dejusticia[267] presentó intervención en la que expuso lo que, en su opinión, debería ser el problema jurídico[268] de la acción de tutela de la referencia y desarrolló su tesis. Al respecto, indicó el contenido del derecho fundamental al habeas data[269], para luego, plantear el “error interpretativo” de los operadores aeroportuarios respecto a la Resolución 1517 de 2020[270] que, a su juicio, terminó con la vulneración de los derechos fundamentales de las tutelantes. Por último, señaló algunas ideas para resolver el caso concreto[271]. |
|
IFEX-ALC[272], Defence[273] y las Organizaciones[274]
|
IFEX-ALC[275] presentó escrito en el que solicitó a la Corte proteger los derechos fundamentales de las tutelantes, “en especial el derecho a la libertad de expresión y de prensa y de reserva de las fuentes periodísticas”[276]. Para el efecto, centró su exposición en el uso de la aplicación CoronApp y el oficio periodístico señalando las “(i) generalidades del derecho a la libertad de expresión dentro del sistema constitucional colombiano y el sistema interamericano de derechos humanos (…), (ii) la protección general al secreto profesional en el derecho colombiano, (iii) la protección especial a la reserva de la fuente periodística en distintos sistemas jurídicos, (iv) la protección del derecho de acceso a la información pública, (v) las funciones y políticas de CoronApp y (vi) reflexiones sobre el caso concreto”[277]. Lo anterior, para concluir que “el uso obligatorio de la aplicación viola la Constitución de Colombia y la Convención Americana sobre Derechos Humanos”[278].
Por otro lado, Defence[279] y “las Organizaciones”[280] presentaron intervención ante la Corte y coincidieron en los argumentos sobre los estándares del derecho internacional para proteger la libertad de expresión y la privacidad de periodistas en virtud del uso y descarga obligatoria de la aplicación CoronApp. La primera, aunque no hizo ninguna solicitud especial, analizó los temas relacionados con la centralización[281] y la función de rastreo[282] de los datos de la aplicación, la protección de fuentes[283] y el enfoque de género respecto a la periodista Claudia Julieta Duque[284]. La segunda[285], además de reiterar varios de los argumentos presentados en el escrito de coadyuvancia[286], solicitó a la Corte amparar los derechos de las accionantes[287] y hacer “uso de sus poderes oficiosos” para que “se abstenga a cualquier establecimiento público o privado, a solicitar la descarga o uso de CoronApp a las personas identificadas como prensa”[288]. |
|
Grupo de Acciones Públicas de la Universidad del Rosario (GAP)[289]
|
El GAP[290] presentó intervención ante la Corte para sustentar las razones por las que, en su opinión, deben tutelarse los derechos fundamentales de las accionantes. Para el efecto, expuso “por qué la presente acción de tutela cumple con el requisito de subsidiariedad y por qué en el caso no se configura la carencia actual de objeto por hecho superado”[291], para luego, dar su explicación sobre cómo “la exigencia de la aplicación vulnera los derechos al habeas data y libre desarrollo de la personalidad, de una manera desproporcionada.”[292]. |
|
Fundación Karisma[293]
|
Karisma[294] presentó escrito en el que solicitó se amparen los derechos fundamentales de las accionantes. Sobre el particular, manifestó que no se configura ninguna modalidad de carencia actual de objeto, en la medida en que los datos de las tutelantes siguen registrados en la base de datos en contra de su voluntad y sin la posibilidad de supresión, en razón a “la vaguedad y confusión de las políticas de tratamiento de la aplicación móvil”[295]. Finalmente, mencionó que, en caso de considerarse la carencia actual de objeto, el juez constitucional “se encuentra ante un caso que amerita un análisis de fondo ‘para llamar la atención (…)”[296], pues el asunto involucra “por primera vez en la historia de la jurisprudencia constitucional, el cuestionamiento sobre la vigencia del derecho a la privacidad y protección de datos en contextos de emergencia sanitaria”[297]; “cuestiona el despliegue de tecnologías digitales intensivas en la recolección de datos, su afectación a la privacidad (…) y uso para condicionar el ejercicio de otros derechos”[298]; y, es una oportunidad para precisar “la aplicación de la ley de protección de datos en el sector público”[299]. |
|
Identificación detallada de las pruebas solicitadas en auto del 8 de octubre de 2021 |
Respuestas allegadas |
|
Accionantes: Juana María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque |
|
|
1) A las señoras Juanita María Goebertus Estrada, Alejandra Martínez Hoyos y Sol Marina de la Rosa Flórez ¿les fue comunicada alguna decisión del procedimiento que el Instituto Nacional de Salud solicitó gestionar, el 2 de diciembre de 2020, ante la Agencia Nacional Digital respecto a la eliminación de los datos que suministraron mediante la aplicación CoronApp?
2) A todas las accionantes ¿han presentado reclamación al Instituto Nacional de Salud y/o a la Corporación Agencia Nacional Digital para obtener la eliminación o supresión de los datos personales que suministraron mediante la aplicación CoronApp?. En su respuesta, por favor sírvanse precisar: a) Si la respuesta es afirmativa, sírvanse informar en qué fecha realizaron la reclamación y cuál fue la respuesta de la entidad correspondiente. b) Si la respuesta es negativa, sírvanse explicar las razones que han impedido presentar la mencionada reclamación.
3) Con relación a las circunstancias particulares de la señora Claudia Julieta Duque, quien manifiesta ser víctima de interceptaciones ilegales y presuntas amenazas de muerte por parte de funcionarios públicos, sírvase: a) Remitir copia simple, únicamente, de los documentos pertinentes que acrediten la condición de víctima de los delitos y amenazas recibidas por razón del ejercicio de la profesión de periodista (v.gr. denuncias penales, quejas disciplinarias, providencias judiciales dictadas con ocasión de las referidas denuncias, entre otros). b) Informar si descargó y suministró datos personales a través de la aplicación CoronApp. Si la respuesta es afirmativa, indique en qué fechas. |
1) “(…) ninguna de nosotras ha sido notificada sobre el inicio del procedimiento de borrado de nuestros datos personales registrados en CoronApp móvil y, de haberlo, tampoco se nos ha notificado del resultado final del mismo”[300].
2) No. “Decidimos elevar este pedido a través de la acción de tutela y no a través de un derecho de petición porque la redacción de la política de tratamiento de datos de CoronApp nos disu[a]dió por su vaguedad e imprecisión, inhibiéndonos de acudir a dicha vía (…)”[301].
3) a) “En sendas sentencias se exponen las distintas amenazas, vigilancia ilegal, tortura psicológica y distintos ataques de los que mi hija y yo hemos sido víctimas en razón de mi trabajo periodístico.”[302].
b) “(…) tuve que descargar la aplicación móvil y registrarme en contra de mi voluntad el día “X” de “XXX” de “XXX” en un viaje de emergencia que tuve que efectuar con destino hacia la ciudad de “B” (aunque inicialmente mi destino de viaje era otro).”[303]. |
|
Traslado probatorio |
Las accionantes se expresaron frente a las pruebas allegadas por la FGN, INS y AND, SIC e hicieron una solicitud final a la Corte Constitucional así:
-Contestación respecto a la FGN: Las accionantes cuestionaron la respuesta de la FGN en la que informó que en una noticia criminal “la señora Claudia Julieta Duque Orrego, aparece en calidad de “XXX”, no de “XXX””[304], al no demostrar diligencia respecto a la pregunta realizada por el Magistrado Sustanciador y agregando la carta del Ministerio de Relaciones Exteriores de Colombia dirigida a la Comisión Interamericana de Derechos Humanos en la hizo el recuento de los procesos que adelanta la FGN sobre “(…) la comisión de hechos que han atentado o han amenazado atentar contra la vida e integridad de la periodista Duque (…)”[305].
-Contestación respecto al INS y la AND: Las accionantes respecto a las afirmaciones de las entidades manifestaron que: (i) “(…) la cesión de los derechos patrimoniales de autor resulta insustancial e irrelevante para la discusión del caso que nos compete pues aquello no implica, por su naturaleza jurídica, la transmisión de las bases de datos.”[306]; (ii) del anexo presentado por el INS sobre el contrato interadministrativo No.485 de 2021 celebrado con el Ministerio de Salud “(…) no se describe que el Ministerios de Salud sea el nuevo responsable o encargado de los datos personales que fueron recogidos por la aplicación (…)”[307]; (iii) a la fecha de la respuesta (10 de noviembre de 2021) los usuarios de la CoronApp, ni la PTI ha sido actualizada respecto a la cesión de la aplicación por parte del INS al Ministerio de Salud[308], generando incertidumbre sobre el responsable y/o encargado de los datos recolectados; (iv) denominaron como “function creep”[309] las actuaciones del Gobierno y el INS, debido a que, este último manifestó que la finalidad de la aplicación respecto a esa entidad ya se había cumplido[310]; (v) el contrato entre el Ministerio de Salud y la AND se “(…) refiere al compromi[s]o de la AND en el tratamiento de datos a propósito del vínculo contractual entre dichas partes, pero no del tratamiento de datos de la aplicación CoronApp.”[311]; (vi) informaron que no han recibido la comunicación para confirmar su interés y aprobación frente a la supresión de datos personales en las bases de datos de CoronApp que mencionó la AND en su respuesta[312]; (vii) llamaron la atención sobre las inconsistencias en la respuestas del INS y AND quienes afirmaban que la aplicación había cumplido su finalidad y, luego, que los fines para los cuales se recopilaron los datos no habían desaparecido[313]; (viii) resaltaron que los datos personales registrados en la CoronApp fueron compartidos con terceras partes que no fueron descritas en la PTI de la aplicación, “sin que mediara ninguna previsión o condición previa” ni “un análisis mínimo de impacto en privacidad”[314] y (ix) cuestionaron que el INS y la AND enviaran a la Corte Constitucional el estado de las peticiones de eliminación de datos en la CoronApp solicitadas por terceros sin anonimizar los datos personales de estos últimos[315].
-Contestación respecto a la SIC: Las accionantes indicaron que el caso de Samsung ameritaba un llamado de atención por parte de esta Corte, debido a que, “la preinstalación no consentida se trató de una práctica que privó a cientos de usuarios sobre el control de su dispositivo móvil al punto en que no estaban habilitados ni siquiera para suprimir la aplicación de sus teléfonos móviles.”[316]. En un mismo sentido, enfatizaron en que la estrategia del INS para promover el uso de la CoronApp fue la de la obligatoriedad y, que en los meses de abril a junio de 2020 en los que se llevó a cabo “la preinstalación no consentida” de CoronApp en los dispositivos móviles de marca Samsung, la (…) SIC había concluido que CoronApp no cumplía con la ley de protección de datos colombiana (…)”[317]. Por último, señalaron, a su juicio, “(…) la ausencia de una verdadera autoridad de protección de datos independiente que sea capaz de vigilar a las entidades públicas cuando son responsables del tratamiento de datos de las personas.”[318].
-Solicitud a la Corte Constitucional: Las accionantes solicitaron “(…) tener una visión panorámica sobre las fallas que giran en torno al tratamiento de los datos de la población cuando el responsable de los datos es el Estado, especialmente aplicables en el caso del uso obligatorio de CoronApp para volar a destinos nacionales.”[319], y reiteraron sus pretensiones iniciales. |
|
INS y AND |
|
|
Con relación a los hechos mencionados en el trámite de las instancias:
1) Informe si los datos personales de las accionantes fueron recolectados a través de la aplicación CoronApp y se encuentran almacenados en la respectiva base de datos. En sentido, indique qué datos fueron recolectados y en qué fechas.
2) El Instituto Nacional de Salud y la Corporación Agencia Nacional Digital suscribieron acuerdo de transmisión de datos personales con vigencia hasta el día 31 de diciembre de 2020. Al respecto, informe si este acuerdo fue prorrogado. Si la respuesta es negativa, informe cuál es el acuerdo vigente. Sírvase adjuntar el soporte correspondiente.
3) Si no se renovó el referido acuerdo, indique ¿cuándo borró, eliminó, volvió ilegible o devolvió la información junto con todas las copias que de ella hubiere hecho en servidores, dispositivos móviles, red de almacenamiento y demás periféricos donde se hubiese almacenado la información?[320]
4) ¿Qué ocurrió con la gestión solicitada por el Instituto Nacional de Salud a la Corporación Agencia Nacional Digital, mediante correo electrónico del 2 de diciembre de 2020, sobre la supresión de los datos de las señoras Goebertus, Martínez y de la Rosa suministrados a través de la aplicación CoronApp?
a) Si se suprimieron los datos de las accionantes, informe las razones por las cuales accedieron a dicha solicitud. b) Si no accedieron a la solicitud de supresión, informe las razones por las cuales no aceptaron la solicitud. |
1) “(…) sea lo primero indicar (…) que el primero (01) de octubre de 2021 el Instituto Nacional de Salud suscribió, en calidad de cedente, un contrato interadministrativo de cesión total de derechos patrimoniales de Autor de la Obra CoronApp Colombia a favor del Ministerios de Salud y Protección Social, el cual puede ser consultado en la plataforma de SECOP II bajo en número de contrato MSPS-485-202. Este contrato se realizó teniendo en cuenta que la aplicación para esa fecha ya había cumplido, en los que al Instituto Nacional de Salud-INS respecta, con la finalidad para la cual fue creada, sin embargo, considerando que la aplicación puede tener una utilidad para enfrentar la pandemia que persiste por la Covid-19, al se entregada al Ministerio de Salud y Protección Social, se busca que, todos los servicios tecnológicos se coloquen a disposición de la población desde el Gobierno Nacional, de manera centralizada por dicho Ministerio como responsable de la política en materia de salud pública.”[321].
En tabla en el que se identifica “Etapas”[322]; “Definición”[323] y “Fechas Recolección de Datos”[324], se entregó información sobre las fechas, horas y etapa del proceso en las que las accionantes ingresaron sus datos a la aplicación, los cuales fueron recolectados por la misma[325].
2) El acuerdo de transmisión de datos fue prorrogado 3 veces así: (i) por 6 meses hasta el 30 de junio de 2021; (ii) por 2 meses hasta el 31 de agosto de 2021; y finalmente, (iii) por 12 días hasta el 12 de septiembre de 2021[326].
Adicionalmente, las entidades informaron que, en virtud de la cesión de los derechos patrimoniales de autos de CoronApp por parte del Instituto Nacional de Salud al Ministerio de Salud, este último suscribió con la Agencia Nacional Digital contrato interadministrativo No 720 de 2021, el día 20 de octubre de 2021, el cual tiene por objeto “Contratar los servicios para brindar al Ministerio de Salud y Protección Social el apoyo en la operación y soporte técnico que se requieran en la administración, aprovisionamiento de Infraestructura en nube pública y en la transferencia en la plataforma en el sistema CORONAPP, que facilite el análisis de información y contribuya al mejoramiento continuo de la calidad de la atención en salud”[327].
3) La Agencia Nacional Digital, mediante memorando del 17 de septiembre de 2021, solicitó al Instituto Nacional de Salud “informar los mecanismos o procesos seleccionados y dispuestos por la Entidad para realizar la transferencia de la información de CoronApp, en cumplimiento a lo establecido en el Memorando de Entendimiento y el Acuerdo de Transmisión de Datos personales suscrito”[328]. A través de comunicación del 5 de octubre de 2021, el Instituto Nacional de Salud informó sobre el contrato interadministrativo de cesión de derechos patrimoniales de autor de la aplicación CoronApp al Ministerio de Salud celebrado el 1 de octubre de 2021, por lo que, “sugirió consultar directamente al Ministerio, en su nueva calidad de responsable del tratamiento de la información recolectada en CoronApp Colombia, sobre la eliminación o devolución de los datos. En virtud de lo anterior, entre el Ministerio de Salud y Protección Social y la Agencia Nacional Digital, el pasado 20 de octubre de 2021, suscribieron el contrato interadministrativo No 720 de 2021 (…)”[329].
4) Luego de exponer los fines y cómo funciona el tratamiento de los datos suministrados por los usuarios de CoronApp, así como, los protocolos y las medidas técnicas de seguridad adoptadas por la Agencia Nacional Digital y la política de tratamiento de información de la CoronApp[330], las entidades informaron que “las accionantes no realizaron la solicitud de supresión de datos personales directamente frente al Instituto Nacional de Salud, en calidad de Responsable del Tratamiento de CoronApp, o ante la Agencia Nacional Digital en calidad de encargados del tratamiento de datos personales (…)”[331]. En un mismo sentido, señalaron que “las accionantes continúa utilizando las funcionalidades de CoronApp, conforme al reporte dado en la respuesta del punto 1 del presente cuestionario, sin que a la fecha se hayan recibido reclamos, derechos de petición, y solicitudes frente al tratamiento de los datos personales”[332].
Por último, manifestaron que “Teniendo en cuenta los hechos presentados (…) la Agencia Nacional Digital procedió con el envío de comunicado No AND-EXT-0452-2921 dirigido Juanita María Goebertus Estrada, Alejandra Martínez Hoyos, Sol Marina de la Rosa Flórez y Claudia Julieta Duque, con la finalidad de confirmar su interés y aprobación frente a la supresión de datos personales en las bases de datos de CoronApp (…) Por lo que una vez se reciba la confirmación e interés de los titulares sobre la supresión de los datos, la Agencia Nacional Digital procederá con su eliminación conforme a los establecido en (…) [la] Ley 1581 de 2012 (…)”[333]. |
|
Con relación al funcionamiento de la aplicación CoronApp:
5) Explique, de manera detallada, cada una de las etapas del proceso de recolección de los datos personales a través de la aplicación CoronApp, y del tratamiento de estos, esto es, desde la oferta o descarga de la App en los dispositivos móviles de los usuarios, hasta la devolución o eliminación de la información. Adicionalmente, sírvase informar:
a) De acuerdo con la Ley 1581 de 2012, el Decreto 1377 de 2013 y el principio de limitación de la recolección previsto en la política de tratamiento de datos de la aplicación CoronApp[334], informe:
i. ¿Qué tipo o clase de datos recolecta la aplicación CoronApp? Indique el dato y la categoría a la que pertenece. ii. ¿Cuál es la pertinencia de cada dato recolectado (información personal, información de salud, información de vuelos, localización geográfica, acceso a la red, entre otros) por la aplicación CoronApp para el cumplimiento del objetivo de la misma (vigilancia en salud pública en el marco de las diferentes etapas para afrontar la pandemia del Covid-19)?
b) ¿Cuáles son las funcionalidades de la aplicación CoronApp? Explique en qué consiste cada una de ellas.
c) Teniendo en cuenta el carácter facultativo de las personas para responder preguntas que versen sobre datos sensibles[335] y si la aplicación CoronApp solicita información al respecto[336], indique a este despacho si ¿se informó o ha informado a los titulares que no están obligados a autorizar el tratamiento de los datos mencionados[337]? Además, indique si se informó o ha informado a los titulares, de forma explícita y previa, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del tratamiento de estos[338].
d) Actualmente ¿quién o quiénes son los responsables del tratamiento de los datos personales consignados en las bases de datos? Indique cuáles son los deberes y las responsabilidades respecto de cada una de las funcionalidades de la aplicación CoronApp y del tratamiento de los datos recolectados a través de esta.
e) Actualmente ¿quién o quiénes son los encargados del tratamiento de los datos personales consignados en las bases de datos? Indique cuáles son los deberes y las responsabilidades respecto de cada una de las funcionalidades de la aplicación CoronApp y del tratamiento de los datos recolectados a través de esta.
6) ¿Cuál es la entidad, los requisitos y el procedimiento para que el titular de la información pueda reclamar la supresión del dato personal recolectado por la CoronApp?
7) En cuanto a la geolocalización y tecnologías de detección de cercanía de la CoronApp, sírvase informar:
a) ¿Cómo funciona la geolocalización y tecnologías de detección de cercanía de la CoronApp? En ese sentido, ¿podría dicha función suministrar la localización en tiempo real del usuario de la aplicación (rastreo digital)? b) ¿Qué medidas de seguridad ha implementado el responsable y/o encargado de tratamiento de los datos para que la función de geolocalización no sea utilizada ilegalmente por sujetos no autorizados y en perjuicio de los derechos de los titulares del dato? c) En la política de tratamiento de datos de la CoronApp se indica “Sólo se activarán cuando así lo deseen los usuarios y voluntariamente programe su equipo o dispositivo para dicho efecto”. De acuerdo con esto, ¿el responsable y/o encargado del tratamiento de datos en ninguna circunstancia podría activar la geolocalización y tecnologías de detección de cercanía de la CoronApp? Justifique la respuesta. d) ¿Cuál es la finalidad con la que se incorporó la función de geolocalización en la aplicación si de acuerdo con la política de tratamiento de información sólo el usuario pueda activarla cuando lo desee? e) ¿El responsable y/o el encargado del tratamiento de datos ha utilizado la función de geolocalización y tecnologías de detección de cercanía de la CoronApp? Si la respuesta es afirmativa, ¿para qué la ha utilizado y cómo ha contribuido a la finalidad de la aplicación? f) A partir de los datos recolectados a través de la aplicación CoronApp y almacenados en la base de datos, ¿el responsable y/o encargado del tratamiento de datos puede establecer o no una huella digital (rutas de desplazamiento, historial de lugares visitados, entre otros) de los titulares de los datos? Justifique la respuesta positiva o negativa.
8) De conformidad con la Resolución 777 del 2 de junio de 2021, y el informe rendido por el DAPRE y Min Salud, “la herramienta CoronApp Colombia deja de ser necesaria para la verificación del estado de salud de los viajeros de vuelos nacionales”[339]. En ese sentido, y en aplicación del principio de temporalidad de la política de tratamiento de datos según el cual “una vez se cumpla la finalidad del tratamiento, los datos recolectados a través de CoronApp serán eliminados de manera definitiva”[340], ¿ya se eliminaron o suprimieron los datos recolectados por la aplicación CoronApp?
a) Si la respuesta es afirmativa, informe las razones por las cuales se eliminaron los datos recolectados por la aplicación CoronApp. Sírvase adjuntar el soporte correspondiente.
b) Si la respuesta es negativa, sírvase informar lo siguiente:
i. De los datos personales recolectados a través de la aplicación CoronApp ¿qué tipos de datos personales siguen almacenados en las bases de datos? ii. ¿Cuánto tiempo y cuál es la finalidad por la cual cada uno de los datos personales recolectados deberían permanecer almacenados en las bases de datos? iii. En ese sentido, ¿qué uso le están dando a los datos personales los responsables y/o encargados del tratamiento de la información? iv. Si la aplicación CoronApp ya no hace parte de los protocolos de bioseguridad para el transporte aéreo, ¿por qué deben permanecer almacenados los datos recolectados? ¿cuál es el deber legal o contractual que así lo impone? v. Si la respuesta a la anterior pregunta se relaciona con el tratamiento de datos por fines científicos, estadísticos o históricos, ¿cuáles serán los datos que permanecerán almacenados?; ¿cómo se utilizarán esos datos?; y ¿cómo será el procedimiento para el tratamiento de estos?
9) En cuanto a la anonimización referida en la política de tratamiento de información de la CoronApp, sírvase informar:
a) ¿Cuáles son las herramientas de anonimización a las que se refiere dicha política de la CoronApp? b) Ilustre mediante ejemplos reales cómo funciona o funcionaría la anonimización de los datos personales recolectados por la aplicación. c) Según la política de tratamiento de información, “por regla general se utilizarán herramientas de anonimización”[341] para que los datos personales recolectados no estén asociados o vinculados a una persona en particular. Asimismo, menciona que “excepcionalmente se tratará la información de forma no anonimizada cuando es rigurosamente necesario conocer la identidad del titular del dato”[342]. Teniendo en cuenta lo anterior, indique a este despacho ¿cuáles son esas situaciones excepcionales en las que la información de los datos personales de los titulares no se trataran de forma anonimizada?
10) Teniendo en cuenta los principios de acceso y circulación restringida previstos en la política de tratamiento de información[343], ¿cuáles entidades (públicas o privadas) han accedido a los datos personales recolectados a través de la aplicación CoronApp? Indique cada entidad y la razón por la cual tuvo acceso a los datos.
11) ¿En la recolección y tratamiento de datos personales almacenados por la aplicación se previeron medidas especiales respecto de sujetos expuestos a un riesgo excepcional? Justifique la respuesta.
12) ¿Cuántos reclamos relacionados con la supresión de datos personales han recibido el Instituto Nacional de Salud o la Corporación Agencia Nacional Digital? Informe acerca del estado de dichas reclamaciones. Sírvase aportar los soportes correspondientes.
13) ¿Cuántas quejas en contra del Instituto Nacional de Salud o la Corporación Agencia Nacional Digital se han presentado ante la Superintendencia de Industria y Comercio por la recolección y tratamiento de datos personales relacionados con la CoronApp? En ese sentido ¿ha informado a la SIC alguna eventual violación a los códigos de seguridad o riesgo respecto a la administración de la información de los titulares[344]? Explique la respuesta.
14) De acuerdo con lo mencionado en la política de tratamiento de datos sobre la “Responsabilidad demostrada (accountability) frente al tratamiento de datos personales”[345], informe detalladamente a este despacho ¿Cuáles han sido las estrategias, procedimientos y herramientas que ha adoptado para demostrar ante la Superintendencia de Industria y Comercio el cumplimiento de sus obligaciones legales respecto al tratamiento de datos personales y cómo éstas han mejorado la función sobre el tratamiento de los datos?
15) La política de tratamiento de información establece que la transferencia y/o transmisión de información se contemplan todas las medidas de protección y seguridad de la información establecidas en la Ley 1581 de 2012 y en las políticas del Instituto Nacional de Salud. Por ello, y de acuerdo con el principio de seguridad incluido en dicha política[346], ¿cuáles han sido las medidas que ha implementado para evitar la pérdida, consulta, uso o acceso no autorizado o fraudulento a la información y datos personales de los cuales es responsable y/o encargado? |
5) Las entidades explicaron que mientras el Instituto Nacional de Salud fue el responsable de los datos se tuvo una estructura de 5 etapas para la recolección de los datos de la aplicación así: - Etapa 1. Descarga de la aplicación. “La aplicación permitía acceder a la información sanitaria, recomendaciones de salubridad, así como de cuidado en casa e información de la pandemia de manera informativa a la cual se podía acceder incluso sin necesidad de registrarse.”[347].
- Etapa 2. Registro. “Con el objetivo de realizar el registro en la aplicación, el usuario debía suministrar voluntariamente los siguientes datos: Nombres, apellidos, tipo de documento (cédula de ciudadanía, tarjeta de identidad, cédula de extranjería, PEP- venezolanos, pasaporte y visa), número de documento y número de celular. Así mismo, con el objetivo de registrar un familiar, se debían ingresar los datos indicados anteriormente.”[348].
- Etapa 3. Auto reporte. “Si la persona se registraba, aceptando voluntariamente los términos y condiciones, podía realizar el auto reporte donde informaba acerca de los síntomas[349], factores de riesgo[350] y antecedentes[351]. De igual forma, se indagaba sobre sintomatología compatible con infección respiratoria aguda, antecedentes de posibles contactos y viajes nacionales e internacionales adelantados.”[352].
- Etapa 4. Clasificación del usuario. “Una vez ingresada la información, la App categorizaba al usuario como Alerta[353], Advertencia[354] o Normal[355], de acuerdo con el algoritmo de riesgo de CoronApp que se encontraba en concordancia con el Protocolo del evento y el autodiagnóstico realizado.”[356].
- Etapa 5. Generación del Estatus de movilidad. “Una vez realizado el reporte voluntario de síntomas (autodiagnóstico), el usuario debía suministrar la información relativa a las garantías para la medida de aislamiento que le eran aplicables de conformidad con el Decreto No. 749 de 2020 (…) en el cual se presentaban las siguientes variantes: (…) ¿Voy a realizar un viaje?; Tipo de viaje”[357]. La selección de viaje correspondía a aéreo o terrestre, dependiendo la elección se debía dar información respecto al primero de la fecha y numero del vuelo y silla y, del segundo, empresa de transporte, número de pasabordo y silla, origen y destino[358].
Sumado a lo anterior, las entidades resaltaron que “la aplicación no almacenaba información al momento de la descarga, solamente obtenía información de usuarios registrados voluntariamente. La información sobre sus movimientos y actividades eran definidas por el usuario de conformidad a los términos y condiciones establecidos para la aplicación”[359]. Asimismo, explicaron que en la fase de mitigación cesó la funcionalidad de auto reporte, en razón a que para cumplir con la función Sanidad Portuaria, se expedía “un código QR se obtenía a través de un algoritmo en el cual se establecía que CoronApp revisara desde la fecha de la consulta y hasta 12 días atrás si existía un resultado positivo para PCR o Antígeno en el sistema SISMUESTRAS del INS”[360]. Posteriormente, con la Resolución 777 del 2 de junio de 2021 “la herramienta Coronapp Colombia dej[ó] de ser obligatoria para la verificación del estado de salud de los viajeros de vuelos nacionales y su utilidad se centra en la validación de pruebas para los viajeros internacionales que se dirijan a destinos que solicitaban prueba Covid-19[361].”[362].
Por último, resaltaron que “El tratamiento realizado por el INS obedeció siempre a una finalidad legítima, la cual se encuentra sustentada, en el caso particular, en la recolección de datos necesarios para la adopción de políticas públicas relacionadas con la pandemia generada por COVID-19. El INS recolectó, uso y trató los datos públicos, semiprivados, privados y sensibles de los usuarios de CoronApp Colombia, de manera leal y lícita, para realizar la vigilancia en salud pública en el marco de las diferentes etapas para afrontar la pandemia por COVID-19, y para cumplir las finalidades específicas expuestas siempre en los términos y condiciones de la aplicación. Respecto a la devolución o eliminación de la información, (…) el INS (…) entregó al MSPS la facultad de disponer sin limitaciones sobre los derechos sobre CoronApp Colombia, razón por la cual la decisión de devolver o eliminar los datos contenidos en la aplicación quedó en cabeza del Ministerio en su calidad de responsable del tratamiento de estos.”[363].
a) i. Las entidades informaron que “los datos recolectados en su momento por parte del INS bajo la aplicación CoronApp”[364] correspondían a “datos personales”[365], “datos personales sensibles relativos a la salud de responsabilidad forzada cuyo suministro no esta obligatorio”[366] y “dato personal privado”[367]. Por último, informaron que “una vez se recolectaban los datos personales, por regla general se utilizaron herramientas de anonimización de la información para no asociarla o vincularla a una persona particular”[368] y, “respecto a los datos sensibles relacionados con la salud pública, geolocalización y datos de menores de edad, las personas no se encontraban obligadas a autorizar su tratamiento en virtud del Artículo 8 del Decreto 1377 de 2013.”[369].
ii. Las entidades manifestaron que la pertinencia de los datos consistió en lo siguiente:
-La información personal para “Crear y activar el registro de usuario en CoronApp de manera voluntaria [y] Permit[ir] al usuario el ingreso a CoronApp y uso de sus funcionalidades”[370]. -La información de salud “permitía que el usuario reportara [su] estado de salud y [el de] sus familiares en tercer grado de consanguinidad y primero de afinidad que habitan en la misma vivienda del usuario [, así como,] permiti[ó] monitorear síntomas, signos de alarma y riesgo y vulnerabilidad relacionados con la enfermedad (…) COVID-19.”[371]. -La localización geográfica “permitía reconocer la localización geográfica del usuario y la ubicación del dispositivo únicamente para el envío del reporte de salud al momento que el usuario realizaba el autodiagnóstico dispuesto en CoronApp[372] (…) [, además del] envío de comunicaciones y código de verificación para el registro del usuario a través de SMS”[373]. -La información de vuelos “generaba el estatus de movilidad (…) [y] permitía la consulta por parte de las autoridades del (…) [mismo,] a través de un código QR.”[374]. Al respecto, las entidades informaron que la exigencia de CoronApp “en el ámbito nacional para le transporte aéreo y voluntaria en el caso internacional”[375] fue una decisión del Gobierno Nacional, debido a que, “consideró que CoronApp, dado su desarrollo, ofrecería esta funcionalidad para generar los pasaportes de movilidad.”[376].
-El acceso a red permitía acceso y ver red, así como, conectarse a redes wifi, “con la finalidad de actualización de las cifras que mostraba la aplicación en su momento, envío de los reportes de salud de los usuarios al servidor, entre otras asociadas a las funcionalidades de la aplicación. El acceso a la red es un mecanismo para que los datos se suministren, no es un dato en sí mismo.”[377].
b) CoronApp ha tenido varias funcionalidades, de acuerdo con los diferentes momentos de la pandemia. Primero, se utilizó la funcionalidad de auto reporte “para la identificación temprana de potenciales conglomerados”[378]; luego, con la apertura gradual de los aeropuertos se generó la funcionalidad de emitir código QR para viajeros, “de acuerdo con el nivel de riesgo reportado en el auto reporte”[379]. Por último, y en la fase de mitigación en donde la funcionalidad de auto reporte cesó, debido a su inutilidad para el momento de la pandemia, se desarrolló “por parte de la AND la función de verificación de viajeros aéreos que están con pruebas positivas en aislamiento”[380].
c)Las entidades informaron que “mientras el INS actuó como responsable de la información contenida en la aplicación, estableció en su Política de Tratamiento de Información (…) la no obligatoriedad de suministrar datos sensibles relativos a la salud”[381]. Adicionalmente, manifestó que los documentos (PTI y términos y condiciones de CoronApp) “se encontraban publicados en la aplicación para conocimiento de la ciudadanía de forma visible al inicio del proceso de instalación de esta, de modo que previo al registro y diligenciamiento de datos, los ciudadanos podían acceder de forma explícita y previa a su contenido, en el cual se les informaba la no obligatoriedad de suministrar datos personales sensibles y la finalidad de su tratamiento.”[382].
e) En virtud del contrato interadministrativo de cesión de derechos patrimoniales de autor de la obra CoronApp Colombia entre el INS y el Ministerio de Salud, las entidades informaron que “el responsable del tratamiento de datos sobre CoronApp se encuentra a cargo del Ministerio de Salud y Protección Social. Así mismo, actualmente, se encuentra en elaboración y validación jurídica la suscripción de un nuevo Acuerdo de Trasmisión de Datos entre el Ministerio de Salud y Protección Social y la Agencia Nacional con la finalidad de dar cumplimiento a los parámetros establecidos en el contrato interadministrativo 720 de 2021 y a las obligaciones y responsabilidades que se establecen en la Ley 1581 de 2021.”[383].
6) “Mientras el INS fue responsable de la información contenida en CoronApp Colombia actuó como la entidad responsable de tramitar las consultas y reclamos de la ciudadanía en materia de habeas data (…)”[384] de acuerdo a los términos y condiciones a la PTI. Por lo que, los legitimados para ejercer los derechos de conocer, actualizar y rectificar y/o suprimir sus datos personales eran las personas habilitadas conforme al articulo 20 del Decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015) y, las consultas y reclamos debían presentarse en los canales habilitados por el INS con la siguiente información: “a. Nombre completo (nombres y apellidos); b. Tipo y número de documento de identificación; c. Copia de documento de identificación; d. Datos de contacto y medio para recibir respuesta a la solicitud (dirección física y/o correo electrónico) e informar sobre el estado del trámite; e. Motivo(s) o hechos(s) que da(n) lugar a la solicitud con una descripción precisa y completa de los hechos que dan lugar al reclamo. f. Documentos y demás pruebas pertinentes que quiera hacer valer. g. En caso de presentar el reclamo a nombre de un tercero, deberá remitir: i. Nombre completo (nombres y apellidos) del tercero que autoriza; ii. Copia de documento de identificación del tercero que autoriza; iii. El documento de autorización del titular (tercero que autoriza) para este trámite. h. Firma (si aplica).”[385].
7) a) “Con anterioridad a la cesión de la aplicación, la funcionalidad se encontraba activada con base en los indicado en el documento de términos y condiciones[386] (…) [, así mismo,] CoronApp no tiene la funcionalidad de generar una huella digital (…)”[387].
b) Las entidades se limitaron a copiar y pegar lo que relaciona la PTI sobre “Datos de Localización y tecnologías de cercanía” y “Datos anonimizados”[388].
c) “(…) el ciudadano es el que activa las funcionalidades de geolocalización, las conexiones a bluetooth o sensores de localización del dispositivo. La desactivación de estas funcionalidades por defecto se determinó como requerimiento por parte del INS.”[389].
d) “La función de geolocalización se incorporó con la finalidad de que, mediante los datos referenciados geográficamente de manera voluntaria por los usuarios en el momento del auto reporte, se construyeran mapas de localización como alertas.”[390].
e) “Al inicio de la pandemia, en las fases introducción y contención, a partir de la fecha de inicio de síntomas y la ubicación geográfica de los usuarios que voluntariamente accedían a la herramienta, las entidades territoriales (de salud), podían localizar zonas de especial interés por la magnitud de casos confirmados y auto reportes (zonas de calor/ posibles conglomerados) mediante las diferentes estrategias de vigilancia y control que permitían un mayor impacto de contención o mitigación. (…) Estos mapas eran utilizados anonimizando los casos individuales.”[391].
f) “CoronApp no tiene la funcionalidad de generar una huella digital (…)”[392].
8) “Si bien la verificación del estado de salud de los viajeros para vuelos nacionales a través de la aplicación ya no es necesaria, los fines para los cuales se recopilaron los datos no han desaparecido (…) todo bajo el entendido que la pandemia no ha finalizado.”[393].
a) “Teniendo en cuenta la calidad de responsable del Tratamiento de Datos que ostenta el Ministerio de Salud y Protección Social, le corresponde al Ministerio determinar el proceso de eliminación o supresión de los datos personales, cuando considere que la finalidad con la que fueron recolectados se haya cumplido (…)”[394].
b) i. “Al momento de la cesión de CoronApp Colombia, los datos personales que se encontraban almacenados eran los mencionados en la estructura de datos.”[395].
ii. “Hasta el 1 de octubre de 2021, fecha en la que el INS actuó como responsable del tratamiento de los datos, (…)”[396] se siguió con lo expresamente establecido en los términos y condiciones de la aplicación.
iii. “(…) es el Ministerio quien actualmente puede informar del uso que se le están dando a los datos personales.”[397].
iv. “Mientras el INS fue el propietario de la aplicación los datos recolectados permanecieron almacenados teniendo en cuenta que la Pandemia por Covid-19 no ha finalizado, y la información recolectada a través de CoronApp, al ser parte del sistema de vigilancia de salud pública, podría resultar útil para actividades que desplegara el Ministerio de Salud y Protección Social para afrontar la enfermedad por Sars Cov-2, así como para el análisis del comportamiento del virus que debían realizar las entidades de salud del país.”[398].
v. En virtud del contrato de cesión, es el Ministerio de Salud quien debe definir la posibilidad de conservar datos por fines científicos, estadísticos o históricos[399].
9) a) “En el documento de arquitectura de datos de la Corporación Agencia Nacional Digital, se especifica la herramienta de anonimización en el numeral 6.2 (…)”[400].
b) “Un ejemplo del manejo de información anonimizada de la herramienta se aprecia en algunos de los tableros de mando diseñados para el análisis y toma de decisiones por parte de las entidades territoriales, en donde se presenta la información totalizada frente al número de alertas y advertencias sin usar en ningún momento datos personales.”[401].
c) “Al inicio de la pandemia, en la fase de introducción y contención, los datos obtenidos a través del registro voluntario de los usuarios, se usaban con fines de seguimiento, en este sentido, las personas que generaban voluntariamente alertas o advertencias de acuerdo con el autodiagnóstico realizado, eran contactadas por la entidad territorial de salud, en el marco de sus competencias, con el fin de identificar atención previa en el servicio de salud, verificar el estado de salud, así como la canalización precisa de casos potenciales que requirieran ser dirigidos a centros asistenciales para iniciar su atención, identificación de posibles conglomerados de casos, en tiempo y lugar, que facilitaban priorizar la acción de las autoridades sanitarias como identificar potenciales cadenas de contagio, entre otras. De otra parte, el artículo 13 de la Ley 1581 de 2012[402] establece a su vez de forma taxativa las personas a quienes se les puede suministrar información que contiene datos personales (…) Esta es otra de las situaciones excepcionales en los que la información no se trataría de forma Anonimizada (…)”[403].
10) En la fase de introducción y contención, conforme al artículo 13 de la Ley 1581 de 2012, se le suministró información que contiene datos personales “(…) a las Entidades públicas en ejercicio de sus funciones, razón por la cual se compartió información con las secretarías de salud departamentales y distritales (…)”[404]. Adicional a ellos, el Comité de Propiedad Intelectual del INS autorizó el suministro de información recolectada a través de CoronApp a las siguientes entidades, “las cuales presentaron solicitud formal al INS, indicando conexidad directa de la información requerida con sus funciones (…)”[405]: Ecopetrol; Secretaria Distrital de Salud de Bogotá; Grupo de Energía de Bogotá S.A. ESP -GEB; Transportadora de Gas Internacional S.A. ESP – TGI; DANE; Interconexión Eléctrica S.A. E.S.P (Grupo ISA); Suramericana S.A.; Celsia S.A. ESP; Departamento Administrativo de la Presidencia de la República y Oleoducto Central S.A – Ocensa[406].
11) “(…) en la recolección y tratamiento de datos de CoronApp se tomaron medidas de forma específica respecto a un tipo de sujetos de especial protección, los cuales son los niños, niñas y adolescentes, acorde a la normatividad vigente (…)”[407].
12) “Conforme a la información consignada en el Grupo de Atención al Ciudadano del INS, esta Entidad recibió un total de ocho (8) reclamos en los cuales los titulares solicitaban la supresión de sus datos de CoronApp Colombia. El estado de cada una de ellas se remite en archivo Excel adjunto, así como los soportes de las solicitudes recibidas y las respuestas correspondientes.”[408].
13) Las entidades informaron que mientras fueron responsables del tratamiento de los datos recolectados en la aplicación CoronApp no tuvieron conocimiento de quejas presentadas en contra de ellas ante la SIC[409]. Asimismo, mencionaron que “No se han presentado violaciones de códigos de seguridad o riesgo respecto a la administración de información de los titulares”[410].
14) El INS informó que, mientras fue responsable del tratamiento de los datos recolectados en la aplicación CoronApp, adoptó: (i) “Políticas”[411]; (ii) “Términos y condiciones del aplicativo CoronApp Colombia”[412]; (iii) “Sobre la recolección, almacenamiento, uso, circulación y supresión o disposición de la información personal, incluyendo los requisitos para obtener la autorización de los titulares”[413]; (iv) “Acceso y corrección de datos personales”[414]; (v) “Conservación y eliminación de la información personal”[415]; (vi) “El uso responsable de la información, incluyendo controles de seguridad, administrativos, físicos y tecnológicos”[416]; (vii) “Inclusión en todos los medios contractuales de la entidad de una clausula de confidencialidad y de manejo de información (…)”[417] y (viii) “Presentación de quejas, denuncias y reclamos”[418].
15) La AND adoptó, como encargado de CoronApp protocolos y medidas técnicas de seguridad para evitar la adulteración y divulgación de la información, tales como: tener definidas políticas y procedimientos de seguridad de la información a nivel interno; contar con un software de seguridad perimetral; control de acceso limitado a la aplicación e infraestructura; diferentes capas de seguridad a nivel de infraestructura de la aplicación, entre otros[419]. |
|
Ministerio de Salud y de la Protección Social |
|
|
1) Teniendo en cuenta que el DAPRE y el Ministerio de Salud y la Protección Social informaron en sede de revisión que “actualmente la herramienta [entiéndase CoronApp-Colombia] se encuentra en proceso de cesión del INS al [Min Salud] y se está considerando su utilidad en las pruebas de laboratorio para los viajeros internacionales que se dirijan a destinos que solicitan prueba negativa de Sars-Cov-2 / de Covid-19”[420], ¿La administración de la herramienta CoronApp-Colombia ya fue cedida al Min Salud? Si la respuesta es afirmativa, informe ¿se hizo la transferencia de los datos personales recolectados a través de la aplicación a dicho ministerio? ¿qué tipo de datos se transfirieron y para qué finalidad?
2) ¿Cuáles son las razones por las cuales la descarga y uso de la aplicación CoronApp ya no hace parte de los protocolos de bioseguridad para el transporte aéreo? En otros términos, ¿cuáles fueron las razones por las cuales, en este punto específico, se expidió la Resolución No. 777 de 2 de junio de 2021? |
No se recibió respuesta por parte del Ministerio de Salud y de la Protección Social. |
|
FGN y PGN |
|
|
Se sirvan informar si la señora Claudia Julieta Duque Orrego ha presentado denuncias o quejas por la presunta comisión de delitos en su contra por razón del ejercicio de su profesión de periodista. Si la respuesta es afirmativa, sírvase informar el estado de dichas actuaciones y adjuntar los soportes correspondientes. |
La Dirección Seccional de Boyacá de la Fiscal General de la Nación, informó que la noticia criminal “XXXXXXXXXX”, que cursó en el despacho de la Fiscalía 42 de la Unidad de Conciliación Preprocesal – Grupo de Querellables Tunja “no cumple con los criterios del numeral 4” del presente auto, debido a que la señora Claudia Julieta Duque aparece en calidad de “XXX” y no de “XXX”[421]. |
|
El coordinador del Grupo de Gestión Electrónica Documental – GED de la Procuraduría General de la Nación suministró datos generales de “X” radicados dentro de su sistema que corresponden a “quejas o denuncias que posiblemente tengan relación con la señora Claudia Julieta Duque Orrego”[422]. |
|
|
Traslado probatorio |
1.La Dirección de Atención al Usuario, Intervención Temprana y Asignaciones de la Fiscalía General de la Nación indicó que consultados los sistemas misionales SPOA y SIJUF con el nombre de Claudia Julieta Duque se encontraron “XX” resultados. Aclarando que lo anterior, “no constituye certificación en virtud del articulo 3.3 del Decreto Ley 4057 de 2011”[423].
2.La Dirección Seccional de Bogotá de la Fiscalía General de la Nación informó que comunicó el auto a la Dirección Especializada contra Violaciones de Derechos Humanos para que diera la correspondiente respuesta[424].
3.La Dirección Especializada contra Violaciones a los Derechos Humanos de la Fiscalía General de la Nación dio traslado del oficio OPTB-1643/2021 a el Grupo de Trabajo Nacional de Amenazas[425]. |
|
OPAIN S.A., Aeropuertos de Oriente S.A.S. y Airplan S.A.S. |
|
|
1) Mientras estuvo vigente la recomendación y posibilidad de verificar el estado de salud de los viajeros a través de la aplicación CoronApp antes de ingresar a las instalaciones aeroportuarias (Resolución 1517 de 2020), ¿disponía de otra alternativa para el diligenciamiento de la mencionada información sin que fuese necesaria la descarga y uso de la aplicación? ¿en qué consistía la otra opción? Sírvase adjuntar los soportes correspondientes.
2) Remitir copia de los respectivos Protocolos de Bioseguridad Internos de los años 2020 y 2021 para el ingreso al aeropuerto y el transporte aéreo de pasajeros. |
1. Airplan S.A.S informó que “mientras estuvo vigente la recomendación y posibilidad de verificar el estado de salud de los viajeros a través de la aplicación CoronApp antes de ingresar a las instalaciones aeroportuarias, como la misma normatividad no permitía ningún método alternativo, la sociedad no dispuso de ninguna otra opción para el diligenciamiento de la mencionada información.”[426].
Por su lado, Aeropuertos de Oriente S.A.S. mencionó que “Teniendo en cuenta que la Resolución 1517 de 2020, emitida por el Ministerio de Salud, no contemplaba alternativas diferentes al diligenciamiento de la aplicación CoronApp para el ingreso a los aeropuertos, (…) Aeropuertos de Oriente S.A.S no disponía de otra alternativa para el diligenciamiento de la mencionada información sin que fuese necesaria la descarga y uso de la aplicación.”[427]. |
|
Traslado probatorio |
Aeropuertos de Oriente S.A.S., en vista de las pruebas aportadas, menciono que no maneja ni controla los datos sensibles suministrados por los usuarios en la aplicación CoronApp y, reiteró que, implementó la verificación del diligenciamiento de la encuesta para el seguimiento del viaje de pasajeros en la aplicación CoronApp, conforme a la Resolución No. 1517 de 2020. Por último, informó que a partir de la vigencia de la Resolución 777 de 2021 no incluye en sus protocolos de bioseguridad el diligenciamiento del cuestionario de la CoronApp[428]. |
|
SIC |
|
|
1) ¿La SIC ha recibido quejas en contra del Instituto Nacional de Salud, la Corporación Agencia Nacional Digital y/o operadores aeroportuarios por la presunta infracción al régimen de protección de habeas data en el recaudo, tratamiento y almacenamiento de los datos personales a través de la CoronApp? Si la respuesta es afirmativa, sírvase informar el estado de dichas actuaciones y adjuntar el soporte correspondiente. Adicionalmente, informe si ha puesto en conocimiento de la Procuraduría General de la Nación este tipo de quejas.
2) En el ejercicio de las funciones previstas en la Ley 1581 de 2012, ¿la SIC ha realizado monitoreo o auditorías a las estrategias, procedimientos y herramientas utilizadas por el Instituto Nacional de Salud y de la Corporación Agencia Nacional Digital para el tratamiento de los datos personales recolectados a través de la CoronApp? Si la respuesta es afirmativa, sírvase informar el estado de dichas actuaciones y adjuntar el soporte correspondiente. |
1) La SIC informó que, a la fecha, solo se ha recibido una denuncia anónima que tramitó bajo el radicado 20-173282. La anterior estuvo sustentada en que un equipo de marca Samsung, después de la última actualización de su sistema operativo, instaló de forma predefinida y sin posibilidad de borrado, la aplicación CoronApp. La Dirección de Investigaciones para la Protección de Datos Personales, luego de adelantar el procedimiento respectivo y valorar las pruebas allegadas, concluyó que “la pre-carga [de la aplicación CoronApp] no afectaba los derechos de los titulares ni al Régimen de Protección de Datos por cuanto no accedió a información considerada personal y/o sensible, ni a funcionalidades que podían afectar la privacidad (…)”[429].
2)La SIC manifestó que, en virtud de la función establecida en el artículo 1 del Decreto 4886 del 2011, el 1 de mayo de 2020 recomendó al INS, AND y Consejería Presidencial para Asuntos Económicos y de Transformación Digital: (i) elaborar una PTI especial y única para la aplicación CoronApp; (ii) inscribir oportunamente la base de datos de CoronApp ante la SIC en el Registro Nacional de Bases de Datos; (iii) realizar una auditoría para establecer los niveles de seguridad de la aplicación y (iv) Dar a conocer al ciudadano, de manera fácil y antes que el mismo suministre sus datos personales, la PTI[430].
El 6 de mayo de 2020 reiteró la solicitud de elaborar una PTI especial, remitiendo una propuesta de borrador. Sin embargo, el 28 de mayo de 2020, al verificar que la PTI de la CoronApp no cumplía con el 64,7% de los requisitos legales que exige la regulación colombiana sobre el tratamiento de datos personales, recomendó varios ajustes a la misma, las cuales fueron incorporadas por las entidades encargadas y comunicadas a la SIC el 18 de junio de 2020[431]. |
|
Anexos allegados |
|
Accionante: Claudia Julieta Duque |
|
La accionante Claudia Julieta Duque anexó a su respuesta lo siguiente:
1.Sentencia T-1037 del 23 de octubre de 2008 (M.P. Jaime Córdoba Triviño) emitida por la Corte Constitucional.
2. Sentencia SC3-20032366 del 26 de marzo de 2020 (M.P. José Élver Muñoz Barrera) emitida por la Sección Tercera, Subsección C del Tribunal Administrativo de Cundinamarca[432].
Traslado probatorio
Las accionantes adjuntaron con su respuesta al traslado probatorio el siguiente documento:
3. Carta del Ministerio de Relaciones Exteriores de Colombia dirigida a la Secretaria Ejecutiva de la Comisión Interamericana de Derechos Humanos que atiende la solicitud relacionado con las medidas cautelares MC-339-09 en favor de Claudia Julieta Duque Orrego y “Celeste” con fecha del 23 de junio de 2021[433]. |
|
INS y AND |
|
Las entidades anexaron a su respuesta los siguientes documentos:
1.Acuerdo de Transmisión de Datos Personales suscrito entre el Instituto Nacional de Salud – INS y la Corporación Agencia Nacional de Gobierno Digital firmado el 10 de marzo de 2020[434].
2. Otrosí No. 1 al Acuerdo de Transmisión de Datos Personales suscrito entre el Instituto Nacional de Salud – INS y la Corporación Agencia Nacional de Gobierno Digital – AND firmado el 30 de diciembre de 2020[435].
3. Otrosí No. 2 al Acuerdo de Transmisión de Datos Personales suscrito entre el Instituto Nacional de Salud – INS y la Corporación Agencia Nacional de Gobierno Digital – AND firmado el 29 de junio de 2021[436].
4. Otrosí No. 3 al Acuerdo de Transmisión de Datos Personales suscrito entre el Instituto Nacional de Salud – INS y la Corporación Agencia Nacional de Gobierno Digital – AND firmado el 31 de agosto de 2021[437].
5.Clausulado anexo al contrato interadministrativo de cesión de derechos patrimoniales de autor No. 485 de 2021, suscrito entre el Ministerio de Salud y Protección Social e Instituto Nacional de Salud (INS)[438].
6. Memorando de la AND dirigido al INS del 17 de septiembre de 2021 sobre la “Transferencia de información recolectada en virtud de CoronApp”, radicado No. AND-EXT-0368-2021[439].
7. Memorando del INS dirigido a la AND del 5 de octubre de 2021 respondiendo al radicado No. AND-EXT-0368-2021[440].
8. Resolución 1607 del 22 de diciembre de 2013 “Por la cual se adopta el Reglamento de Propiedad Intelectual del Instituto Nacional de Salud-INS, la política para la protección de datos personales establecida en la ley estatutaria No 1582 de 2012 y se dictan otras disposiciones.”[441].
9. Resolución 0457 del 3 de junio de 2020 “Por medio de la cual se adiciona el anexo No. 02 de la Resolución 1607 de 2014 y se actualiza la Política de Tratamiento de Datos Personales del Instituto Nacional de Salud”[442].
10. Solicitudes y respuesta a entidades para suministrar información recolectada a través de la CoronApp, en las que se adjuntan 10 solicitudes y 10 autorizaciones[443].
11. Listado de reclamos y soportes, en el que se adjuntan 11 archivos pdf y un reporte de PQRSD que contiene 8 solicitudes[444]. |
|
Aeropuertos de Oriente S.A.S. y Airplan S.A.S. |
|
Los operadores aeroportuarios anexaron a su respuesta los siguientes documentos:
1.Certificado de existencia y representación legal de Aeropuertos de Oriente S.A.S[445].
2. Certificado de existencia y representación legal de Airplan S.A.S[446].
3. Protocolo de bioseguridad para el transporte de pasajeros por vía aérea del Aeropuerto Internacional José María Córdova[447]. |
|
SIC |
|
La SIC anexó a su respuesta los siguientes documentos:
1.Iniciación de actuación administrativa y requerimiento a Samsung, Google y INS, por parte del Director de Investigación de Protección de Datos Personales[448].
2. Certificado de existencia y representación legal de Samsung Electronics Colombia S. A[449].
3. Información sobre CoronApp dirigida a Samsung por la AND[450].
4. Acuerdo de licencia de usuario final para el software de Samsung[451].
5. Términos y condiciones de uso de CoronApp[452].
6. Elementos destacados de la política de privacidad de Samsung[453].
7. Respuesta al requerimiento con fecha del 23 de julio de 2020 dirigido al Director de Investigación de Protección de Datos Personales por parte de Samsung[454]. 8. Actualización de base de datos de CoronApp en el Registro Nacional de Base de Datos dirigido a la SIC por parte del INS[455].
9. Verificación del cumplimiento de requisitos legales de la PTI de CoronApp dirigida al INS, AND y Consejería Presidencial para Asuntos Económicos y de Transformación Digital por parte de la SIC[456].
10. Memorando del Director de Investigación de Protección de Datos Personales de la SIC al Superintendente Delegado para la Protección de Datos Personales, remitiendo oficios de la AND sobre la PTI del 8 de mayo de 2020[457].
11. Memorando dirigido a la Consejería Presidencial para Asuntos Económicos y de Transformación Digital por parte de la SIC para que remita certificación y resultados de la auditoria externa a CoronApp[458].
12. Memorando dirigido al INS por parte de la SIC informando un error al cargar la PTI de CoronApp en el Registro Nacional de Bases de Datos[459].
13. Respuesta al radicado No. 20-145155- -5-0. Requerimientos CoronApp dirigido a la SIC por parte de la AND[460].
14. Verificación del cumplimiento de los requisitos legales de la PTI de CoronApp dirigido a la SIC por parte de la AND del 30 de mayo y 1 de junio de 2020[461].
15. PTI de la CoronApp[462].
16. Documento dirigido a la INS por parte de la SIC en la que consta el tramite de registro de una base de datos con una información personal[463].
17. Denuncia anónima[464].
18. Documento sobre la autorización precarga aplicación CoronApp en móviles dirigido a Samsung por parte del INS[465].
19. Preguntas en el marco de investigación adelantada por la SIC a Samsung[466].
20. Solicitud de prórroga para allegar información dirigida a la SIC por parte de Samsung y respectiva respuesta[467].
21. Documento dirigido a Samsung por parte de la SIC en la que informa el archivo de la actuación administrativa adelantada[468]. |
|
Identificación detallada de las pruebas solicitadas en auto del 3 de diciembre de 2021 |
Respuestas allegadas |
|
Ministerio de Salud y de la Protección Social |
|
|
1) ¿Cuáles son las razones por las cuales la descarga y uso de la aplicación CoronApp ya no hace parte de los protocolos de bioseguridad para el transporte aéreo? En otros términos, ¿cuáles fueron las razones por las cuales, en este punto específico, se expidió la Resolución No. 777 de 2 de junio de 2021?
2) El día 27 de octubre de 2021, el INS y la AND en respuesta unificada a las preguntas del auto del 8 de octubre de 2021 informaron que “el primero (01) de octubre de 2021 el Instituto Nacional de Salud suscribió, en calidad de cedente, un contrato interadministrativo de cesión total de derechos patrimoniales de Autor de la obra CoronApp Colombia a favor del Ministerio de Salud y Protección Social”[469] y afirmaron que “este contrato [el de cesión total de derechos patrimoniales de autor de la obra CoronApp] se realizó teniendo en cuenta que la aplicación para esa fecha ya había cumplido, en lo que al Instituto Nacional de Salud-INS respecta, sin embargo, considerando que la aplicación puede tener una utilidad para enfrentar la pandemia que persiste por la Covid-19, al ser entregada al Ministerio de Salud y Protección Social, se busca que, todos los servicios tecnológicos se coloquen a disposición de la población desde el Gobierno Nacional (…)”[470]. Al respecto, sírvase informar si el contrato administrativo de cesión total de derechos patrimoniales de autor de la aplicación CoronApp incluyó o no la transferencia de la base de los datos personales recolectados y tratados por el INS.
Si la respuesta es afirmativa, sírvase informar lo siguiente:
a) ¿Qué tipo de datos se transfirieron y cuál es la finalidad?
b) ¿Quién es el Reponsable del tratamiento de los datos personales transferido? Indique cuáles son los deberes y las responsabilidades respecto de cada una de las funcionalidades de la aplicación CoronApp y del tratamiento de los datos recolectados a través de esta.
c) ¿Quién es el Encargado del tratamiento de los datos personales transferido? Indique cuáles son los deberes y las responsabilidades respecto de cada una de las funcionalidades de la aplicación CoronApp y del tratamiento de los datos recolectados a través de esta.
d) ¿Existe actualmente una nueva política para el tratamiento de los datos recolectados a través de la aplicación CoronApp? Si la respuesta es afirmativa, sírvase allegar copia de la respectiva política.
e) ¿Cuál es la entidad, los requisitos y el procedimiento para que el titular de la información pueda reclamar la supresión del dato personal recolectado por la aplicación CoronApp?
f) En lo que respecta a la cesión de la aplicación CoronApp realizada por el INS al MSPS, se indica que, aún cuando esta ya cumplió con su finalidad original, puede tener una nueva utilidad para enfrentar la pandemia que persiste por la Covid-19. Al respecto, explique:
i. ¿Cuál es el nuevo alcance y uso de la aplicación CoronApp? ii. ¿Cuál es la finalidad por la que cada uno de los datos personales recolectados deberían permanecer almacenados en las bases de datos? iii. ¿Por cuánto tiempo estarán almacenados los datos personales que fueron recolectados y/o que serán recolectados con fundamento en la nueva finalidad? iv. ¿Cuál es el deber legal o contractual que lo impone?
3) El artículo 2.2.2.25.2.2. del Decreto 1074 de 2015[471] dispone que “[e]n caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere a la sección 3 de este capítulo, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento”. En ese sentido, informe:
a) ¿El MSPS comunicó a los titulares los datos personales recolectados a través de la aplicación CoronApp las novedades sobre la identificación del actual o actuales Responsables y/o Encargados del tratamiento de los datos? Si la respuesta es afirmativa, sírvase explicar cómo lo hizo y anexe los respectivos soportes.
b) Atendiendo al principio de libertad, ¿los actuales Responsables y/o Encargados del tratamiento de los datos personales obtuvieron una nueva autorización de los titulares? Si la respuesta es afirmativa, sírvase explicar cómo lo hizo y anexar los respectivos soportes.
4) El día 27 de octubre de 2021, el INS y la AND en respuesta unificada a las preguntas del auto de día 8 de octubre de 2021 afirmaron que “este contrato [el de cesión total de derechos patrimoniales de autor de la obra CoronApp] se realizó teniendo en cuenta que la aplicación para esa fecha ya había cumplido, en lo que al Instituto Nacional de Salud-INS respecta (…)”[472]. Sobre este particular, informe si ya fueron eliminados o no los datos recolectados y tratados por el INS. Sírvase explicar su respuesta. |
1) Al respecto el Ministerio de Salud señaló que: “Colombia, a partir de las recomendaciones que la Organización Mundial de la Salud (OMS) (…) aplicó las medidas reglamentadas por la Resolución 777 de 2021 con un enfoque basado en el respeto a la dignidad, los derechos humanos y los derechos fundamentales y libertades de los viajeros. (…) Es así que, respetando el principio de proporcionalidad y buscando garantizar la ejecución de viajes internacionales esenciales y continuar con la reactivación económica de todos los sectores donde se desarrolla la vida cotidiana de la población colombiana se establecieron normas de autocuidado y se actualizó el protocolo de bioseguridad que garantice la aplicación de medidas no farmacológicas, acompañadas también como se ha mencionado de aumento en la aplicación de dosis de las vacunas y del fortalecimiento de acciones del Programa de Pruebas, Rastreo y Aislamiento Selectivo Sostenible - PRASS en el que dentro de su ejecución contempla a través del Centro de Contacto Nacional de Rastreo – CCNR el seguimiento telefónico a viajeros ejecutado diariamente. (…) Desde el inicio de su operación se ha gestionado el seguimiento de más de 2 millones de viajeros ejecutada diariamente por un equipo de más de 1.200 agentes rastreadores. Todas las llamadas realizadas son grabadas previo consentimiento del ciudadano y en estricto cumplimiento de lo establecido en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.”.
2) “Esta Aplicación NO ALMACENA DATOS QUE NO HAYAN SIDO PREVIAMENTE CARGADOS EN LOS APLICATIVOS SISPRO del Ministerio de Salud y Protección Social como Ente Rector del Sector Salud los cuales son tratados conforme a la normativa vigente. La aplicación MINSALUD DIGITAL, solamente consulta los datos ya guardados en los aplicativos del MSPS y los cruza en diferentes fuentes de información que ya son del MSPS con el fin de entregar información de valor al ciudadano. En virtud de lo anterior se debe aclarar que se transfirieron datos únicamente de registro de los ciudadanos que estaban usando CoronApp con el único propósito de poder mantener compatibilidad con la nueva versión de MINSALUD DIGITAL; estos datos principalmente correspondían al correo electrónico y el documento de identificación y la fecha de registro, sin embargo no fueron usados dentro del contenido de la nueva versión.”.
a) “Se transfirieron datos como el tipo de identificación, el número de identificación, la fecha de registro de la información y el correo electrónico del usuario. Esto para garantizar que en el proceso de migración de versiones, no se perdiera información que serviría para generar una positiva experiencia de usuario.”.
b) “El responsable del tratamiento de datos es el MSPS de acuerdo con la política de privacidad y protección de la información del Ministerio (…) y que se encuentra establecida en la aplicación MINSALUD DIGITAL, la cual debe ser aceptada previamente por el usuario de la aplicación, de manera libre y voluntaria, antes de hacer uso o navegar en la nueva versión.”.
c) “Los deberes y responsabilidades de las partes se encuentran descritos en el documento de Política de Privacidad y Protección de Datos del MSPS (…)”.
d) “Es la misma que se tiene en el MSPS disponible en: http://url.minsalud.gov.co/pppdmsps”
e) “Los titulares que consideren que la información debe ser objeto de corrección, actualización o supresión, cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley Estatutaria 1581 de 2012, podrán presentar un reclamo ante el Ministerio, el cual será tramitado según el artículo 15 de la misma ley y en los términos y a través de los canales dispuestos en la Política (…)”.
f) i. “MINSALUD DIGITAL le permite realizar los trámites con el Ministerio con facilidad y eficacia; y se consolida como un canal de comunicación directo entre los ciudadanos y el Ministerio, haciendo que la colaboración social sea un elemento más en la gestión de la misma. En esta App no solo encontrará sus Certificados Digitales de Vacunación (programa regular y contra COVID-19) sino que garantizaremos la transparencia, los datos abiertos y la participación ciudadana. (…) Esta aplicación móvil permitirá que los ciudadanos tengan varios servicios que requieren en su día a día. El primero es la posibilidad de descargar el Certificado Digital de Vacunación COVID-19, que actualmente sólo puede ser descargado desde el portal de Mi Vacuna. También los ciudadanos podrán acceder rápidamente a los servicios de establecimiento de PQRS y conocer cómo se realizan los principales trámites en el Ministerio de Salud y Protección Social, pero quizás lo más importante es que los ciudadanos podrán conocer cuáles son las rutas de prevención de enfermedades, mediante la Big Data, y cruces de información de los aplicativos misionales del Ministerio, esta App podrá caracterizar al ciudadano y presentarle una información sobre los procedimientos que debe realizarse según el sexo, la edad, y las comorbilidades que pueda presentar. Aprovechando que CoronApp ya se encuentra desarrollado y más de 15 millones de usuarios la tienen instalada en sus celulares, se aprovechará para evolucionar los servicios y poner al alcance del ciudadano más funcionalidades. MINSALUD DIGITAL es una nueva versión de CORONAPP que tiene nuevos servicios de consulta de información en los sistemas SISPRO.”.
ii. “Esta Aplicación NO ALMACENA DATOS QUE NO HAYAN SIDO PREVIAMENTE CARGADOS EN LOS APLICATIVOS SISPRO. La aplicación MINSALUD DIGITAL, solamente consulta los datos ya guardados en los aplicativos del MSPS y los cruza en diferentes fuentes de información que ya son del MSPS con el fin de entregar información de valor al ciudadano.”.
iii. “El tiempo que el MSPS determine según la evolución de la pandemia.”.
iv. Pregunta no respondida.
3) a) “La aplicación actualizó su versión, es decir que en cada aparato electrónico en que la misma hubiese sido instalada, al momento de usar la nueva versión, todos los usuarios deben iniciar el proceso de registro y aceptar los términos de uso descritos en el literal b) de la respuesta al numeral 2. Por lo tanto, esta actualización no afectó el contenido de la autorización dada anteriormente al INS.”.
b) “Los usuarios deben aceptar la Política de Privacidad y Protección de Datos Personales en el momento en que se registran y según la actualización de la aplicación (Minsalud Digital), es decir que al usar el cambio de versión, deben aceptar la Política por lo que se genera un código de verificación enviado a su correo electrónico.”.
4) “No es del conocimiento de la Entidad si el INS eliminó o no dato algún, o si era procedente o no algún tipo de eliminación. En los numerales 7 y 8 del Contrato Interadministrativo se estableció como obligación a cargo del CONTRATISTA – CEDENTE lo siguiente: “(…) 7. Cumplir con las políticas de seguridad de la información y los lineamientos dados por EL MINISTERIO relacionados con el Sistema de Gestión de Seguridad de la Información. 8. Firmar un compromiso de confidencialidad y no divulgación con respecto a toda la información obtenida por EL CONTRATISTA durante la ejecución del contrato, cuando a ello hubiere lugar. (…)”. |
|
AND |
|
|
1) De acuerdo con la respuesta al auto de pruebas de día 8 de octubre de 2021, el día 12 de septiembre de 2021 finalizó el Acuerdo de Transmisión de datos personales celebrado entre la AND y el INS. Al respecto, sírvase informar: a) ¿La información recolectada a través de la aplicación CoronApp ya fue borrada, eliminada, vuelto ilegible o devuelto junto con todas las copias que de ella hubiere hecho en servidores, dispositivos móviles, red de almacenamiento y demás periféricos donde se hubiese almacenado? Si la respuesta es negativa, explique: i. ¿Cuánto tiempo y cuál es la finalidad por la cual cada uno de los datos personales recolectados deberían permanecer almacenados en las bases de datos? ii. ¿Qué uso le están dando a los datos personales los responsables y/o encargados del tratamiento de la información? iii. ¿Por qué deben permanecer almacenados los datos recolectados? iv. ¿Cuál es el deber legal o contractual que así lo impone? Si la respuesta es afirmativa, explique: i. ¿A qué entidad fue devuelta la información o entregada la constancia de la eliminación de los datos almacenados? Sírvase anexar los soportes correspondientes. |
La AND se limitó a reiterar lo informado en la respuesta al auto del 8 de octubre de 2021[473], adicionando a lo anterior que, en virtud del Acuerdo Marco de Nuble Pública celebrado con el proveedor Clouxter S.A.S.[474], se “(…) realizó la transferencia de los ID de la cuenta asignada a CoronApp al MSPS, lo que contempla las credenciales de administración y control de la plataforma al MSPS incluida la información registrada en la base de datos diseñada el sistema CoronApp, en virtud de la cuenta asignada por el proveedor de servicios en la nube a CoronApp, toda vez que el Ministerio de Salud y Protección Social, actualmente tiene la facultad de disponer de los derechos sobre CoronApp Colombia, y ostenta la calidad de responsable del tratamiento de la información recolectada en CoronApp Colombia.”[475]. Por último, aclaro que la AND no cuenta con ninguna copia de la información almacenada en CoronApp. |
|
SIC |
|
|
1) En el marco de sus competencias constitucionales y legales, en especial aquellas relacionadas con el régimen de protección del derecho al habeas data, sírvase pronunciar sobre los hechos que motivaron la presente acción de tutela. Para tal efecto, por intermedio de la Secretaría General, remítasele copia de los documentos que integran el expediente digital del proceso de tutela. En especial, demanda de tutela, informes rendidos por las autoridades accionadas y fallos de tutela de primera y segunda instancia.
2) ¿Cuál es el procedimiento[476] que adelanta la SIC/Delegatura de Protección de Datos cuando se presenta queja en contra de una autoridad pública por la presunta vulneración al régimen de protección de datos personales? Sírvase describir en qué consiste en el requisito de procedibilidad, las etapas del procedimiento ante la SIC y los términos de cada una estas. Así mismo, explique ¿cómo funciona la distribución de competencias entre la SIC y la Procuraduría General de la Nación cuando se presentan ese tipo de quejas en contra de autoridades públicas?
3) En el caso de que la entidad pública se abstenga de responder o niegue la solicitud de supresión de datos personales elevada por el titular del dato, (i) ¿qué tipo de medidas[477] puede ordenar la SIC/Delegatura de Protección de Datos para proteger el derecho al habeas data?; (ii) ¿puede ordenar la supresión de los datos personales almacenados en bases de datos cuando los Responsables o Encargados son entidades públicas y se compruebe la violación al régimen de protección de habeas data?
4) Luego del 2 de junio de 2020[478], ¿asesoró o realizó vigilancia a los datos recaudados, tratados y almacenados a través de la aplicación CoronApp? ¿Inició alguna investigación producto de la vigilancia mencionada? |
1) La SIC manifestó que: (i) no le constan los hechos narrados por las accionantes; (ii) que las últimas no presentaron reclamación alguna ante la SIC respecto a los hechos objeto de tutela y que esa entidad no fue vinculada al proceso. Por último, mencionó que los ciudadanos “(…) cuentan con dos mecanismos para buscar la protección de su derecho fundamental de habeas data (i)la acción de tutela o (2) la vía administrativa establecida en la Le. 1582 de 2012 (…)”[479].
2) La SIC informó que el procedimiento que adelanta la Delegatura de Protección de Datos Personales para atender las quejas es “el Procedimiento Administrativo general consagrado en el Titulo II de la Ley 1437 de 2011”[480] desarrollados en las siguientes etapas:
i. “El Titular de la información (persona natural) puede presentar una reclamación ante el responsable o encargado del tratamiento, para lo cual los numerales 1, 2 y 3 del artículo 15 de la Ley 1581 de 2012 señalan el trámite para presentar los reclamos con el fin de agotar el requisito de procedibilidad.”[481].
ii. “Teniendo en cuenta la regulación en mención, dentro de las quejas presentadas por los titulares, esta Superintendencia procede a revisar la documentación anexa a las quejas, a fin de establecer si el ciudadano ha presentado la reclamación ante el Responsable o el Encargado del Tratamiento, relacionado con la protección de su derecho de habeas data.”[482].
iii. “De acuerdo con la queja presentada, la Superintendencia de Industria y Comercio al advertir la existencia de la reclamación, su respuesta o la afirmación del titular de no haber recibido respuesta, procede, en caso de encontrar mérito a iniciar una actuación administrativa.”[483].
iv. “De lo contrario, esta Dirección procederá a rechazar la solicitud. No obstante, el ciudadano podrá presentar una nueva reclamación, adjuntando prueba mediante la cual acredite que presentó reclamo previo ante el Responsable o el Encargado del Tratamiento (con constancia de radicación), así como la respuesta desfavorable suministrada por la misma o la afirmación de que su requerimiento no fue atendido en el término legal.”[484].
v. “Si la queja presentada por el ciudadano está acompañada con la prueba que demuestre que el titular cumplido con el requisito de procedibilidad, la Superintendencia de Industria y Comercio corre traslado de la misma al Responsable o Encargado del Tratamiento para que, en ejercicio de su derecho de defensa y contradicción, en el término de rinda explicaciones y aporte las pruebas que pretenda hacer valer.”[485].
vi. “Vencido dicho término, la Superintendencia de Industria y Comercio, entra a resolver de plano el asunto, a menos que se haga necesario practicar pruebas de oficio o a petición de parte.”[486].
vii. Contra la decisión administrativa adoptada proceden los recursos de reposición y apelación[487]. Por último y, respecto a la distribución de competencias entre la SIC y la PGN, indicó que, de acuerdo al parágrafo del artículo 23 de la Ley 1581 de 2012, el régimen sancionatorio de la Ley Estatutaria sólo le es aplicable a las personas de naturaleza privada, en lo que resta conserva las funciones señaladas en el articulo 21 de la Ley 1581 de 2012 frente a las entidades públicas[488].
3) La SIC mencionó que la solicitud de supresión de datos “no resulta procedente cuando el titular tiene un deber legal o contractual de permanecer en la base de datos como (…) [lo] consagra(…) el inciso segundo del artículo 9 del [D]ecreto 1377 de 2011 (…)”[489], y que, en cumplimiento de las funciones de la SIC “(…) ha impartido, entre otras, 105 órdenes administrativas a entidades públicas (…)”[490].
4)La SIC se limitó a reiterar lo informado en la respuesta al auto del 8 de octubre de 2021. |
|
PGN |
|
|
1) ¿La PGN ha recibido quejas trasladadas de la SIC en contra de algún servidor público por la presunta infracción al régimen de protección de habeas data en el recaudo, tratamiento y almacenamiento de los datos personales a través de la CoronApp? Si la respuesta es afirmativa, sírvase informar el estado de dichas actuaciones y adjuntar el soporte correspondiente.
2) ¿La PGN ha recibido quejas de ciudadanos en contra de algún servidor público por la presunta infracción al régimen de protección de habeas data en el recaudo, tratamiento y almacenamiento de los datos personales a través de la CoronApp? Si la respuesta es afirmativa, sírvase informar el estado de dichas actuaciones y adjuntar el soporte correspondiente. |
No se recibió respuesta por parte de la Procuraduría General de la Nación. |
|
Traslado probatorio |
|
|
Aeropuertos de Oriente S.A.S |
Aeropuertos de Oriente S.A.S reiteró la información brindada en la respuesta y traslado probatorio del auto del 8 de octubre de 2021. Adicional a esto, solicitó a la Corte declarar que Aeropuertos de Oriente no vulneró los derechos fundamentales de las accionantes y negar la segunda pretensión de la acción de tutela, “(…) por cual la aplicación CoronApp ya no es de uso obligatorio, circunstancia que constituye un hecho superado.”[491]. |
|
Accionantes |
Respecto a la respuesta de la AND, las accionantes manifestaron que fue “(…) vaga e imprecisa en aclarar por qué, pese a la conclusión del memorando entre ambas entidades y la culminación de dicho plazo, los datos personales en todo caso fueron transferidos a una tercera entidad (Ministerio de Salud y Protección Social). Evento que no estaba previsto en la política de tratamiento de datos (…) y que (…) [no] fue notificado a nosotras (…)”[492]. Asimismo, indicaron que la AND “(…) debió eliminar los datos personales registrados en la aplicación (…) a más tardar el 1 de octubre de 2021, fecha en que concluyó el último memorando suscrito entre ésta y el Instituto Nacional de Salud.”[493]. Además, reiteraron que en la respuesta conjunta la AND y el INS “(…) sostuvieron que la finalidad de la aplicación, así como del tratamiento de datos, se había concretado al fin.”[494], por lo que, afirmaron que no entendían por qué fueron transferidos sus datos sin previo aviso a un tercero, y que, vía tutela han insistido por más de un año en que sus datos sean eliminados[495].
Por último, reiteraron el fenómeno “function creep” e informaron que la aplicación CoronApp ahora tiene otro nombre, MinSalud Digital, cuyo fin es “(…) ser el puente digital de comunicación entre la ciudadanía y el Ministerio de Salud.”[496]. En ese sentido, indicaron que no fueron notificadas de dicho cambio; desconocen la política a cargo de MinSalud; la finalidad para lo cual serán empleados sus datos; la temporalidad de los mismos y los mecanismos y canales para ejercer sus derechos de cancelación y retiro de los datos de la aplicación MinSalud Digital, antigua CoronApp[497]. |
|
AND |
La AND reiteró que la información recolectada a través de CoronApp Colombia, en el momento que el INS y la AND fueron responsable y encargado del tratamiento de datos, fue recolectada únicamente para la mitigación de la emergencia ocasionada por el Covid-19, conforme a todas las medidas de protección, seguridad de la información y principios establecidos en la Ley 1581 de 2012.
Por último, concordaron con lo señalado por la SIC, indicando que desde la AND “fueron contempladas las actividades que lograron el cumplimiento de los fines legítimos consagrados en la salvaguarda de la salud publica y la protección de los datos personales de los usuarios de la aplicación.”[498]. |
|
Anexos allegados |
|
AND |
|
La AND anexó a su respuesta los siguientes documentos:
1.Memorando de la AND dirigido al INS del 17 de septiembre de 2021 sobre la “Transferencia de información recolectada en virtud de CoronApp”, radicado No. AND-EXT-0368-2021[499].
2. Memorando del INS dirigido a la AND del 5 de octubre de 2021 respondiendo al radicado No. AND-EXT-0368-2021[500].
3. Correos electrónicos que refiere el “traslado de las cuentas ID al” Ministerio de Salud[501].
4. Acuerdo Marco de Nube Pública[502].
El Ministerio de Salud anexó a su respuesta los siguientes documentos:
1.Politica de privacidad y protección de datos personales del Ministerio de Salud y Protección Social.
2.Poder general de la apoderada del Ministerio de Salud |
|
Aeropuertos del Oriente S.A.S. |
|
Aeropuertos del Oriente S.A.S. en su respuesta al traslado probatorio anexó:
1. Certificado de existencia y representación legal de Aeropuertos de Oriente S.A.S[503]. |
[1] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 2.
[2]Expediente digital: Consec. 4, “TUTELA No. 2020-00319 ESCRITO MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 7.
[3] “En la publicación de sus providencias, las Salas de la Corte o el Magistrado sustanciador, en su caso, podrán disponer que se omitan nombres o circunstancias que identifiquen a las partes”
[4] En casos similares la Corte ha mantenido la reserva de algunos datos en protección de la seguridad personal del accionante, como en las sentencias: T-123 de 2019, T-126 de 2018, entre otras.
[5] “El derecho a la intimidad hace parte de la esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la libertad personal y familiar, sin más limitaciones que los derechos de los demás y el ordenamiento jurídico. En este sentido, la intimidad corresponde al “área restringida inherente a toda persona o familia, que solamente puede ser penetrada por extraños con el consentimiento de su titular o mediando orden dictada por autoridad competente, en ejercicio de sus funciones y de conformidad con la Constitución y la ley”. Por lo anterior, el derecho a la intimidad hace referencia al ámbito personalísimo de cada individuo o familia, es decir, a aquellos fenómenos, comportamientos, datos y situaciones que normalmente están sustraídos a la injerencia o al conocimiento de extraños. Este derecho implica la facultad de exigir de los demás el respeto de un ámbito exclusivo que incumbe solamente al individuo, que es resguardo de sus posesiones privadas, de sus propios gustos y de aquellas conductas o actitudes personalísimas que no está dispuesto a exhibir, y en el que no caben legítimamente las intromisiones externas. El derecho fundamental a la intimidad se proyecta en dos DIMENSIONES: (i) como secreto que impide la divulgación ilegítima de hechos o documentos privados, o (ii) como libertad, que se realiza en el derecho de toda persona a tomar las decisiones que conciernen a la esfera de su vida privada. (…) En todo caso, el derecho a la intimidad se caracteriza por su carácter de “disponible”; lo cual significa que el titular de esta prerrogativa, puede decidir hacer pública información que se encuentra dentro de esa esfera o ámbito objeto de protección. De esta manera, en aquellos casos en los cuales existe de por medio una aceptación expresa o tácita en dar a conocer informaciones o circunstancias que recaen en ésta esfera íntima, podría aceptarse la intromisión de un tercero. El derecho a la intimidad plantea diferentes esferas o ámbitos, como son el personal, familiar, social y gremial, todos ellos comprendidos en el artículo 15 Superior, y que están manifestadas concretamente: (i) relaciones familiares; (ii) costumbres; (iii) prácticas sexuales; (iv) salud; (v) domicilio; (vi) comunicaciones personales; (vii) espacios para la utilización de datos a nivel informático; (viii) creencias religiosas; (ix) secretos profesionales; y en general (x) todo comportamiento del sujeto que únicamente puede llegar al conocimiento de otros, siempre y cuando el mismo individuo decida relevar autónomamente su acceso al público.” (Subrayado fuera del texto original). Sentencia C-881 de 2014.
[6] Operadora del aeropuerto El Dorado de Bogotá.
[7] Operadora de los aeropuertos Simón Bolívar y Palonegro de Santa Marta y Bucaramanga.
[8] Operadora del aeropuerto José María Córdova de Medellín.
[9] Expediente digital: Consec. 1. “TUTELA No. 2020-00319 AUTO ADMITE MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 1.
[10] La actora manifestó que, debido a su labor como Representante a la Cámara, el 2 de octubre de 2020, realizó viaje Bogotá-Santa Marta y, el 30 de octubre de 2020 se movilizó en la ruta Bogotá-Bucaramanga. Expediente digital: Consec. 4, “TUTELA No. 2020-00319 ESCRITO MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 2 a 3. Consec. 21, “07anexo4.pdf”, págs. 1 y 2.
[11] Adujo que, por motivos personales, los días 1 y 14 de octubre de 2020, utilizó la ruta ida y regreso Medellín-Bogotá. Expediente digital: Consec. 4, “TUTELA No. 2020-00319 ESCRITO MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 3 a 4. Consec. 20, “06Anexo3.pdf”, págs. 1 y 2.
[12] Manifiestó que, debido a su trabajo como abogada, el 17 de octubre de 2020, viajó en la ruta Bogotá-Medellín. Expediente digital: Consec. 4, “TUTELA No. 2020-00319 ESCRITO MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 5. Consec. 22, “08Anexo5.pdf”, pág. 1.
[13] La señora Alejandra Martínez Hoyos, el 1 de octubre de 2020, manifestó que en el trayecto Bogotá-Medellín le fue solicitada la descarga y uso de la CoronApp, sin embargo, se opuso a hacerlo y, después de insistir por un determinado tiempo en su oposición, se le permitió entrar y dirigirse a la sala de su vuelo sin descargar y usar la aplicación referida. Posteriormente, el 14 de octubre del mismo año, refiere la accionante que viajó junto con su hijo menor de regreso a la ciudad de Bogotá, y en el aeropuerto José María Córdoba nuevamente le exigieron que mostrara la descarga de la aplicación CoronApp, requerimiento que le hizo el personal de vigilancia. Señaló que ante la presión y la hostilidad de los funcionarios que atendieron su situación, finamente se rindió, y descargó la aplicación CoronApp de manera obligada para poder ingresar a aeropuerto. Expediente digital: Consec. 21, “07anexo4.pdf”, pág. 3. Consec. 20, “06Anexo3.pdf”, págs. 3. Consec. 22, “08Anexo5.pdf”, págs. 2 a 3.
[14] El 2 de diciembre, luego de que el Juzgado 43 Administrativo Oral del Circuito de Bogotá D.C. negara su solicitud de medida provisional, la señora Claudia Julieta Duque Orrego indicó que “por motivos de urgencia laboral” debía viajar vía aérea el 6 de diciembre de 2020 en la ruta “A”-“Z”.
[15] Expediente digital: Consec. 4, “TUTELA No. 2020-00319 ESCRITO MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 6.
[16] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 6 a 7. Consec. 23, “014Anexo 1. Reserva viaje Avianca.pdf”.
[17] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 6 a 7.
[18] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 13.
[19] “Por medio de la cual se dicta el protocolo de bioseguridad para el manejo y control del riesgo del coronavirus COVID-19 en los sectores aeroportuario y aeronáutico del territorio nacional, exclusivamente para el transporte doméstico de personas por vía aérea, se deroga la Resolución 1054 de 2020, y se dictan otras disposiciones”.
[20] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 7, 8 y 17 a 19.
[21] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 10 a 11.
[22] En la exposición de este segmento, las accionantes propusieron un test de proporcionalidad indicando que la descarga y el uso de la aplicación CoronApp como condición para utilizar el transporte aéreo era desproporcionada, debido a que, (i)“no se sabe cómo la obligatoriedad del uso y descarga de CoronApp para pasajeros a nivel nacional contribuye al cuidado de la salud pública” (idoneidad); (ii) “existen otras medidas idóneas que permit[e]n lograr el fin que se desea vinculado al cuidado de la salud pública en el tránsito aéreo nacional por lo que la obligatoriedad de descarga y uso de CoronApp no se justifica” (necesidad); y (iii) “el sacrificio del derecho a la intimidad que supone la obligatoriedad de descarga y uso de la aplicación CoronApp como requisito para viajar vía área a nivel nacional, no logra compensar la satisfacción del fin propuesto que apunta al cuidado de la salud pública” (proporcionalidad). Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 19 a 22.
[23] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 22 a 27.
[24] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 27 a 31.
[25] Expediente digital: Consec. 1, “TUTELA No. 2020-00319 AUTO ADMITE MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[26] Expediente digital: Consec. 15, “TUTELA No. 2020-00319 RESPUESTA MINSALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[27]Específicamente manifestó que las medidas estaban relacionadas con: “(i) crear y activar el registro de usuario en CoronApp; (ii) permitir al usuario el ingreso a CoronApp y uso de sus funcionalidades; (iii) realizar reporte del estado de salud de los usuarios y sus familiares en tercer nivel de consanguinidad y primero de afinidad que viven en la misma vivienda del usuario, conforme lo establecido en el inciso c) del artículo 10 de la Ley 1581 de 2012 El reporte del estado de salud de menores de edad sólo podrá ser realizado por sus padres o representantes legales; (iv) monitorear síntomas, signos de alarma de afección respiratoria y riesgos en salud pública asociados al coronavirus COVID-19; (v) acceder a la geolocalización de usuarios y la ubicación del dispositivo para despliegue de esfuerzos de diagnóstico; (vi) acceder a la conexión Bluetooth del dispositivo para identificación de cercanía con otros dispositivos móviles que utilizan CoronApp, con el propósito de identificar potenciales cadenas de contagio del COVID-19; (vii) envío de comunicaciones y código de verificación a través de SMS; (viii) generar el estatus de movilidad, conforme a las excepciones establecidas en la Resolución No. 464 de 2020 del Ministerio de Salud y Protección Social y en los Decretos 531 de 2020 y 593 de 2020; (ix) permitir la consulta por parte de las autoridades del estatus de movilidad, a través de un código QR; y (x) crear y mantener la base de datos de los usuarios de CoronApp.” Expediente digital: Consec. 15, “TUTELA No. 2020-00319 RESPUESTA MINSALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 3.
[28] Al respecto señaló que la CoronApp cuenta con los siguientes controles: “Seguridad de acceso: La información de acceso proporcionada no es compartida, revendida con terceros, ni reutilizada con otros fines a los mencionados anteriormente [;]Recopilación de la información: Al crear el perfil de usuario, CoronApp solicita información de salud, la cual es almacenada en la infraestructura dispuesta para ello, de manera segura [;]Acceso a la red y dispositivos: Usted es el responsable del acceso a la red de datos necesaria para utilizar CoronApp[;]Usted es el responsable de adquirir y actualizar el hardware compatible o los dispositivos necesarios para acceder y utilizar CoronApp[;]Uso compartido de la información: La información obtenida desde CoronApp puede ser compartida o transferida con los fines de salud, estadísticos, generación de reportes, entre otros que se encuentran dentro de la finalidad con Entidades Gubernamentales, de Salud y demás que se requieran para mejorar la aplicación, el uso y consumo de la misma.”. Expediente digital: Consec. 15, “TUTELA No. 2020-00319 RESPUESTA MINSALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 4.
[29] Expediente digital: Consec. 15, “TUTELA No. 2020-00319 RESPUESTA MINSALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 5
[30] Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[31] Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 5.
[32] Expediente digital: Consec. 28, “Anexo 1 Términos y Condiciones CoronApp.pdf”.
[33] Expediente digital: Consec. 28, “Anexo 1 Términos y Condiciones CoronApp.pdf”, pág. 1.
[34] Las secretarias de salud también pueden revisar el cuadro de mando de CoronApp en el portal SIVIGILA, la cual es la base de datos de información recolectada y procesada por el INS. Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 8.
[35] Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 6.
[36] Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 6.
[37] Expediente digital: Consec. 31, “Anexo 4 Acuerdo de Transmisión de Datos Personales.pdf”.
[38] Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 6. Consec. 31 “Anexo 4 Acuerdo de Transmisión de Datos Personales.pdf”.
[39] Decreto 1377 de 2013. “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”.
[40] Resolución 1607 de 2014, Resolución 457 de 2020 y la Política de Tratamiento de Información relacionada con CoronApp Colombia. Expediente digital: Consec. 35 “Anexo 8 Resolución 1607 de 2014 - Política para la Protección de Datos INS.pdf”. Consec. 36 “Anexo 9 Resolución 0457 de 2020 - Protección de Datos.pdf”. Consec. 29 “Anexo 2 Política de Tratamiento de Información CoronApp.pdf”
[41] Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 16.
[42] Expediente digital: Consec. 34, “Anexo 7 Copia de Correo con Solicitud a la AND.pdf”.
[43] En los los fallos de tutela no hubo referencia al informe rendido por el MinTIC. Tampoco reposa en el expediente digital documento suscrito por dicha cartera.
[44] Expediente digital: Consec. 12, “TUTELA No. 2020-00319 RESPUESTA AERONAUTICACIVIL MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[45] Expediente digital: Consec. 13, “TUTELA No. 2020-00319 RESPUESTA AGENCIA DIGITAL MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[46] “Se tienen definidas políticas y procedimientos de seguridad de la información a nivel interno; Se cuenta con software de seguridad perimetral para la aplicación, donde se puede detectar y contener y filtrar diferentes tipos de ataques como SQL Injection, cross site scripting, entre otros; El control de acceso a la aplicación e infraestructura se tiene limitado y solo se puede ingresar por los administradores; A nivel de infraestructura de la aplicación, cuenta con diferentes capas de seguridad; Se realizan pruebas de seguridad de manera constante, con el fin de fortalecer los niveles de seguridad de la aplicación y su infraestructura tecnológica; Se cuenta con buenas prácticas de seguridad para la administración y afinamiento de la infraestructura y desarrollo de código; Se cuenta con controles administrativos, estratégicos, tácticos y tecnológicos en seguridad para el transporte, almacenamiento y procesamiento; Cumplimiento de la normativa relacionada con seguridad de la información”. Expediente digital: Consec. 13, “TUTELA No. 2020-00319 RESPUESTA AGENCIA DIGITAL MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”. pág. 3.
[47] Expediente digital: Consec. 13, “TUTELA No. 2020-00319 RESPUESTA AGENCIA DIGITAL MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”. pág. 3.
[48] Expediente digital: Consec. 13, “TUTELA No. 2020-00319 RESPUESTA AGENCIA DIGITAL MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”. pág. 4.
[49] Expediente digital: Consec. 16, “TUTELA No. 2020-00319 RESPUESTA SOCIEDAD CONCESIONARIA OPERADORA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[50] Expediente digital: Consec. 16, “TUTELA No. 2020-00319 RESPUESTA SOCIEDAD CONCESIONARIA OPERADORA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 2.
[51] Expediente digital: Consec. 11, “TUTELA No. 2020-00319 RESPUESTA AEREO ORIEN MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[52] Expediente digital: Consec. 11, “TUTELA No. 2020-00319 RESPUESTA AEREO ORIEN MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 5.
[53] Expediente digital: Consec. 11, “TUTELA No. 2020-00319 RESPUESTA AEREO ORIEN MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 8.
[54] Expediente digital: Consec. 107, “RDO 2344 RESPUESTA ACCION DE TUTELA 2020-00319 CORONAPP.pdf”.
[55] Expediente digital: Consec. 107, “RDO 2344 RESPUESTA ACCION DE TUTELA 2020-00319 CORONAPP.pdf”, pág. 9.
[56] Expediente digital: Consec. 5, “TUTELA No. 2020-00319 FALLO PRIMERA INSTANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[57] Refiriéndose al Instituto Nacional de Salud. Expediente digital: Consec. 5, “TUTELA No. 2020-00319 FALLO PRIMERA INSTANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 20
[58] Expediente digital: Consec. 5, “TUTELA No. 2020-00319 FALLO PRIMERA INSTANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 20.
[59] Expediente digital: Consec. 5, “TUTELA No. 2020-00319 FALLO PRIMERA INSTANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 21 y 22.
[60] Expediente digital: Consec. 7, “TUTELA No. 2020-00319 IMPUGNACION MAG HENRY ALDEMAR BARRETO MOGOLLON - copia.pdf”.
[61] Expediente digital: Consec. 23, “014Anexo 1. Reserva viaje Avianca.pdf”.
[62] Expediente digital: Consec. 7, “TUTELA No. 2020-00319 IMPUGNACION MAG HENRY ALDEMAR BARRETO MOGOLLON - copia.pdf”, pág. 3.
[63] El 18 de diciembre de 2020, la impugnación fue concedida por el juzgado de primera instancia. Expediente digital: Consec. 2, “TUTELA No. 2020-00319 AUTO CONCEDE IMPUGNACION MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[64] Refiriéndose a Claudia Julieta Duque Orrego.
[65] Sobre el particular, mencionaron que: “se ha evidenciado que el poder ejecutivo es uno de los agresores de la prensa, al realizar monitoreo de redes sociales para etiquetar y perfilar a periodistas”. Así mismo, hicieron referencia a la Resolución 6 de 2021 en la que la Comisión Interamericana de Derechos Humanos “concede las medidas cautelares solicitadas por los perfilamientos del Ejército colombiano”. Expediente digital: Consec. 3, “TUTELA No. 2020-00319 ESCRITO COADYUVANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, págs. 6 y 7.
[66] Expediente digital: Consec. 3, “TUTELA No. 2020-00319 ESCRITO COADYUVANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[67] Sección Tercera – Subsección B.
[68] Expediente digital: Consec. 6, “TUTELA No. 2020-00319 FALLO SEGUNDA INSTANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[69] Expediente digital: Consec. 6, “TUTELA No. 2020-00319 FALLO SEGUNDA INSTANCIA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 45.
[70] El Magistrado Franklin Pérez Camargo salvó el voto frente a la decisión de la Sección Tercera, Subsección B del Tribunal Administrativo de Cundinamarca, al considerar que la acción de tutela era procedente y su solución debía guiarse por la normatividad reglamentaria y la Constitución Política, debido a que,: (i) no se observó “un análisis del objeto y ámbito de aplicación establecidos en la Ley 1581 del 2012”; y (ii)la Resolución 1517 de 2020 dispone que existen otros mecanismos de seguimiento y medidas de prevención para los pasajeros que son menos invasivas de su intimidad y privacidad, sin vulnerar los protocolos de bioseguridad. Expediente digital: Consec. 17, “TUTELA No. 2020-00319 SALVAMENTO DE VOTO MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”.
[71] Expediente digital: Consec. 110, “8197643_2021-04-30_GASPAR PISANU_7_REV.pdf”. Consec. 111, “8197643_2021-05-06_CENTRO POR LA JUSTICIA Y EL DERECHO INTERNACIONAL CEJIL_8_REV.pdf”. Consec. 112, “8197643_2021-05-06_SOFIA MICAELA REYMUNDO_8_REV.pdf”, Consec. 113, “8197643_2021-05-10_CARLOS LARA_7_REV.pdf”. Consec. 114, “8197643_2021-05-10_DANIEL DUQUE VELASQUEZ_8_REV.pdf”. Consec. 115, “8197643_2021-05-11_DANNY RAYMAN LABRIN_7_REV.pdf”. Consec. 119, “8197643_2021-05-13_GRECIA MACIAS LLANAS_7_REV.pdf”. Consec. 116, “8197643_2021-05-12_FUNDACION KARISMA Y OTROS_8_REV.pdf”. Consec. 117, “8197643_2021-05-13_ALEJANDRO DELGADO_6_REV.pdf”. Consec. 118, “8197643_2021-05-13_DILMAR VILLENA FERNANDEZ BACA Y OTRO_7_REV.pdf”. Consec. 122, “8197643_2021-06-11_CAMILO ALBERTO ENCISO VARGAS REP LEG DEL INSTITUTO INTERNACIONAL DE ESTUDIOS ANTICORRUPCION_6_REV.pdf”. Consec. 123, “8197643_2021-05-31_ANGIE DANIELA YEPES GARCIA COORDINADORA GRUPO DE ACCIONES PUBLICAS GAP_11_REV 2.pdf”.
[72] Las Fundaciones para la Libertad de Prensa, Karisma, El Veinte, Linterna Verde; el Centro de Internet y Sociedad de la Universidad del Rosario; y el Instituto de Estudios Anticorrupción.
[73] El Centro por la Justicia y el Derecho Internacional; Asociación por los Derechos Civiles de Argentina; LA Fundación Datos Protegidos y Derechos Digitales de Chile; Red en Defensa de los Derechos Digitales de México; IFEX-ALC; Hiperderecho del Perú.
[74] En concreto, hicieron referencia al alcance de la excepción a la autorización para el tratamiento de datos que consagra el literal c del artículo 10 de la Ley 1581 de 2012 en casos de emergencias sanitarias, así como, la afectación de las garantías del ejercicio del periodismo por el rastreo digital del contagio.
[75] Expediente digital: Consec. 123, “8197643_2021-05-31_ANGIE DANIELA YEPES GARCIA COORDINADORA GRUPO DE ACCIONES PUBLICAS GAP_11_REV 2.pdf”, pág. 8.
[76]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 12 de agosto de 2021 a las 11:27 am.
[77] Al respecto expresaron que: “las accionantes en su conjunto siguen estando registradas en la aplicación CoronApp-Colombia frente a la cual conservan dudas sobre la posibilidad de la cancelación o eliminación de sus datos dado que la política de privacidad de la app expresa que aquello no procederá si (i) la persona tiene un deber legal de estar registrada allí, siendo ese deber desconocido para las accionantes o (ii) solo si la Superintendencia de Industria y Comercio determina que dicha supresión procede por el evento de incumplimiento de la política de privacidad de CoronApp, por lo que la autonomía de la persona de querer borrar sus datos a su voluntad y discreción se encuentra actualmente suspendida en un limbo legal”. “Memorial Corte Constitucional [cerrado].pdf”, pág. 3.
[78] “Memorial Corte Constitucional [cerrado].pdf”, pág. 3.
[79] Insistieron en que la Sala debe considerar: “que nada descarta que, frente a nuevas y más agresivas variantes del COVID-19, las autoridades decidan echar mano a las herramientas digitales ya desplegadas para volver a fortalecer los controles a la movilidad humana a través, nuevamente, de su imposición obligatoria sin que existan lineamientos o pautas jurisprudenciales que las oriente a futuro”. “Memorial Corte Constitucional [cerrado].pdf”, págs. 3 y 4.
[80] Frente al Ministerio de Salud e INS solicitaron que se les requiriera para que entreguen información frente a la “evidencia sobre la efectividad de la entrega de datos personales en la aplicación CoronApp y el rastreo digital de contactos en las actividades de transporte aéreo nacional, respondiendo en concreto a (i) cuántas personas que tuvieron que volar y que se registraron, se contactó con posterioridad, (ii) cuántos contagios fueron prevenidos a través del uso obligatorio de la aplicación, y (iii) cómo contribuyó el registro obligatorio en la aplicación móvil a la estrategia epidemiológica a nivel nacional.”. Así mismo, se le indicara al INS dar “información sobre cuántas personas han podido retirar sus datos personales de la aplicación CoronApp luego de haberse registrado allí como producto de la obligación para abordar aeronaves; así como información sobre el ejercicio del derecho a la cancelación de los datos en la aplicación CoronApp y el procedimiento vigente.”. Y, a los aeropuertos para que brinden información así: “durante la vigencia de las resoluciones que hacían obligatorio el uso de CoronApp, entrega de los protocolos de información suministrada a los pasajeros de transporte aéreo nacional sobre sus derechos al habeas data y alternativas disponibles previo y posteriormente al registro en la aplicación CoronApp. Después de la vigencia de la resolución que eliminó dicho requisito, copia de la actualización de dichos protocolos.”. “Memorial Corte Constitucional [cerrado].pdf”, pág. 5.
[81] Referenciaron las siguientes: “Organizaciones académicas: al Grupo de Acciones Públicas GAP de la Universidad del Rosario, el GECTI de la Universidad de los Andes, la Universidad Nacional, la Universidad Externado, la Universidad Libre, entre otras.
Organizaciones de la sociedad civil: a la Comisión Colombiana de Juristas, a la Fundación para la Libertad de Prensa, a la organización El Veinte, a la Fundación Karisma, al Centro de Internet y Sociedad ISUR de la Universidad del Rosario, a Dejusticia, a Linterna Verde, a Derechos Digitales, a Artículo 19, al Centro de Estudios para la Libertad de Expresión CELE, a la coalición de organizaciones de la sociedad civil Al Sur.
Organizaciones internacionales que se han dedicado en concreto al análisis de aplicaciones para el covid-19 y su impacto en la privacidad: Future of Privacy, Centre for Democracy and Technology CDT de Estados Unidos, al Ada Lovelace Institute; así como al Media Defense, a Privacy International y a la Electronic Frontier Foundation.”. “Memorial Corte Constitucional [cerrado].pdf”, págs. 5 y 6.
[82]Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, pág. 1.
[83] Expediente digital: Consec. 168, “AUTO T-8.197.643 Pruebas 08 Oct-21.pdf”.
[84] Expediente digital: Consec. 280, “AUTO T-8.197.643 Suspension.pdf”.
[85] Relacionadas con hechos del trámite de instancia, actuaciones frente a la reclamación de eliminación o supresión de datos personal y soportes de circunstancias particulares.
[86] Respecto a los hechos mencionados en el trámite de instancias y el funcionamiento de la aplicación CoronApp.
[87] Relacionadas con la cesión y transferencia de datos de la aplicación CoronApp y consideraciones de la Resolución No. 77 de 2 de junio de 2021.
[88] Expediente digital: Consec. 294, “AUTO T-8.197.643 Reiteración de pruebas.pdf”.
[89]Relacionadas con la cesión total de los derechos patrimoniales, transferencia y tratamiento de los datos recolectados a través de la aplicación CoronApp y consideraciones de la Resolución No. 77 de 2 de junio de 2021.
[90] Respecto a la finalización del Acuerdo de Transmisión de Datos Personales celebrado con el INS.
[91] Relacionadas con las competencias constitucionales y legales y procedimientos de la SIC respecto a asuntos del régimen de protección de datos personales y su pronunciamiento sobre los hechos que motivaron la presente acción de tutela.
[92] Respecto a quejas trasladas de la SIC o de ciudadanos por infracción al régimen de protección de habeas data en el recaudo, tratamiento y almacenamiento de los datos personales a través de la CoronApp.
[93] Corte Constitucional, sentencias T-119 de 2015, T-250 de 2015, T-446 de 2015, T-548 de 2015, y T-317 de 2015.
[94] Decreto 2591 de 1991, artículo 8. La tutela como mecanismo transitorio. “Aun cuando el afectado disponga de otro medio de defensa judicial, la acción de tutela procederá cuando se utilice como mecanismo transitorio para evitar un perjuicio irremediable. En el caso del inciso anterior, el juez señalará expresamente en la sentencia que su orden permanecerá vigente sólo durante el término que la autoridad judicial competente utilice para decidir de fondo sobre la acción instaurada por el afectado. En todo caso el afectado deberá ejercer dicha acción en un término máximo de cuatro (4) meses a partir del fallo de tutela. (…)”.
[95] Al regular la acción de tutela, la Constitución establece quiénes son los legitimados para interponerla. Establece al respecto el artículo 86: “[t]oda persona tendrá acción de tutela para reclamar […], por sí misma o por quien actúe en su nombre, la protección inmediata de sus derechos constitucionales fundamentales” (Subrayado fuera del texto original). En desarrollo de esta norma, el artículo 10 del Decreto 2591 de 1991 reguló las distintas hipótesis de legitimación en la causa por activa, de la siguiente forma: “La acción de tutela podrá ser ejercida, en todo momento y lugar, por cualquiera persona vulnerada o amenazada en uno de sus derechos fundamentales, quien actuará por sí misma o a través de representante. Los poderes se presumirán auténticos” (subrayado fuera de texto original).
[96] El artículo 5 del Decreto 2591 de 1991 dispone que “[l]a acción de tutela procede contra toda acción u omisión de las autoridades públicas, que haya violado, viole o amenace violar cualquiera de los derechos de que trata el artículo 2 de esta ley. (…)”.
[97] Corte Constitucional, sentencia T-987 de 2012.
[98] De conformidad con el Decreto 260 de 2004, la Unidad Administrativa Especial de Aeronáutica Civil, es la autoridad en materia aeronáutica en todo el territorio nacional y le compete regular, administrar, vigilar y controlar el uso del espacio aéreo colombiano por parte de la aviación civil. Le corresponde también la prestación de servicios aeronáuticos y, con carácter exclusivo, desarrollar y operar las ayudas requeridas para que la navegación en el espacio aéreo colombiano se efectúe con seguridad. La administración de la infraestructura aeronáutica la puede realizar de manera directa o a través de contratos de concesión.
[99] Los operadores aeroportuarios accionados manifestaron que, en virtud de los contratos de concesión celebrados con la Aerocivil y, posteriormente, subrogados a la Agencia Nacional de Infraestructura (ANI), asumieron, entre otras obligaciones, la administración, operación, explotación comercial, mantenimiento, y modernización y expansión de los aeropuertos ubicados en las ciudades de Bogotá D.C., Cúcuta, Bucaramanga, Barrancabermeja, Valledupar, Santa Marta, Riohacha, Medellín, Rionegro, Quibdó, Montería, Carepa y Corozal.
[100] El numeral 3 del artículo 42 del Decreto 2591 de 1991 dispone que la tutela procede contra acciones u omisiones de particulares “[c]uando aquél contra quien se hubiere hecho la solicitud esté encargado de la prestación de servicios públicos”.
[101] Corte Constitucional, sentencia C-543 de 1992.
[102] La actora manifestó que, debido a su labor como Representante a la Cámara, el 2 de octubre de 2020, realizó viaje Bogotá-Santa Marta y, el 30 de octubre de 2020 se movilizó en la ruta Bogotá-Bucaramanga.
[103] Adujo que, por motivos personales, los días 1 y 14 de octubre de 2020, utilizó la ruta ida y regreso Medellín-Bogotá.
[104] Manifestó que, debido a su trabajo como abogada, el 17 de octubre de 2020, viajó en la ruta Bogotá-Medellín.
[105] Según consta en el auto admisorio de la demanda de tutela del día 1º de diciembre de 2020. Expediente digital: “TUTELA No. 2020-00319 AUTO ADMITE MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 1.
[106] El 2 de diciembre, luego de que el juez de tutela de primera instancia negara su solicitud de medida provisional, la señora Duque Orrego indicó que “por motivos de urgencia laboral” debía viajar vía aérea el 6 de diciembre de 2020 en la ruta A-Z.
[107] Corte Constitucional, sentencia T-211 de 2009.
[108] La idoneidad y efectividad de los medios de defensa judicial no pueden darse por sentadas ni ser descartadas de manera general, sin consideración a las circunstancias particulares del asunto sometido a conocimiento del juez. En otros términos, no es posible afirmar que determinados recursos son siempre idóneos y efectivos para lograr determinadas pretensiones sin consideración a las circunstancias del caso concreto.
[109] Corte Constitucional, sentencias C-748 de 2011, C-032 y C-282 de 2021, entre otras.
[110] Ley 1266 de 2008, “[p]or la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.” Esta normativa constituye una regulación parcial del derecho al hábeas data porque se circunscribe al dato financiero. En la sentencia C-1011 de 2008 la Corte efectuó́ el análisis de constitucionalidad previo del proyecto de ley y determinó que esta norma tiene carácter sectorial, pues solo está dirigido a la regulación de la administración de datos personales de contenido comercial, financiero y crediticio.
[111] Ley 2157 de 2021, “[p]or medio de la cual se modifica y adiciona la ley estatutaria 1266 de 2008, y se dictan disposiciones generales del habeas data con relación a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.”
[112] Ley 1581 de 2012, “[p]or la cual se dictan disposiciones generales para la protección de datos personales.”
[113] Esta referencia normativa tan solo es enunciativa, pues existen otras leyes estatuarias que contienen disposiciones específicas sobre el tratamiento de datos personales v.gr. Ley 2097 de 2 de julio de 2021, “Por medio de la cual se crea el registro de deudores alimentarios morosos (redam) y se dictan otras disposiciones”, cuyo control de constitucionalidad fue realizado a través de la sentencia C-032 de 2021.
[114] Corte Constitucional, sentencia C-748 de 2011.
[115] Corte Constitucional, sentencias C-748 de 2011 y T-234 de 2021.
[116] En sede de revisión ante la Corte, la SIC informó que aplica el procedimiento administrativo general consagrado en el Título III de la Ley 1437 de 2011 para dar trámite a las quejas presentadas por los ciudadanos para la protección de su derecho al habeas data.
[117] Entre otras, (1) la Resolución No. 20995 del 15 de mayo 2020, emitida por la Dirección de Investigación de Protección de Datos Personales de la SIC, en la que ordenó al Fondo de Previsión Social del Congreso de la República que “documentara, implementara, y monitoreara una política de seguridad de la información que contenga medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”, decisión que fue confirmada en grado de apelación, a través de la Resolución No. 32866 del 28 de mayo de 2021, por el Superintendente Delegado para la Protección de Datos Personales. (2) La Resolución 20999 del 15 de mayo de 2020, expedida por la Dirección de Investigación de Protección de Datos Personales de la SIC, en la que ordenó a la Personería Municipal de Manizales que “(…) documente, implemente y monitoree una política de seguridad de la información que contenga medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”, decisión confirmada en sede de apelación, mediante la Resolución No. 52391 del 31 de agosto de 2020, por el Superintendente Delegado para la Protección de Datos Personales. (3) La Resolución 28304 del 16 de julio de 2019, emitida por la Dirección de Investigación de Protección de Datos Personales de la SIC, en la que ordenó al Departamento Administrativo de la Función Pública que “(…) adelante los procedimientos necesarios para la supresión y/o eliminación de los datos personales recolectados a través del “Formulario de Gerencia Pública” correspondiente a: i) los links o valores de las redes sociales de las que hacen uso los gerentes públicos para fines específicamente personales (no oficiales); ii) su orientación sexual; iii) su calidad de hombre o mujer cabeza de familia y; iv) su condición de desplazado, almacenados en sus bases de datos.”, decisión que fue confirmada en grado de apelación, a través de la Resolución 61017 del 30 de septiembre de 2020, por el Superintendente Delegado para la Protección de Datos Personales. (4) La Resolución 69434 del 4 de diciembre de 2019, expedida por la Dirección de Investigación de Protección de Datos Personales de la SIC y, modificada en grado de apelación, mediante la Resolución 43761 del 31 de julio de 2020, emitida por el Superintendente Delegado para la Protección de Datos Personales, en la que ordenó al Municipio de Cajibío, entre otras, “(…) proceda a evaluar si el sistema biométrico de la huella dactilar es adecuado, pertinente y no excesivo en relación con la finalidad perseguida por el ente municipal. O, por el contrario, si existen otros mecanismos menos lesivos o invasivos para los Titulares, es decir, que no requiera el procesamiento de un dato biométrico, pero que al mismo tiempo, le permitan cumplir con las obligaciones legales a las que ese ente territorial está sujeto. En el evento que el sistema biométrico no sea estrictamente necesario para el fin perseguido, el MUNICIPIO DE CAJIBÍO, CAUCA, deberá implementar un sistema menos lesivo para los derechos y libertades de las personas (…) [y] (…) contar con una alternativa, que no requiera el tratamiento de datos sensibles, en los casos en que los empleados se rehúsen a suministrar su huella en el sistema biométrico.”.
[118] Corte Constitucional, sentencia C-748 de 2011.
[119] Corte Constitucional, sentencias T-234 de 2021, T-509 de 2020, T-490 de 2018, T-139 de 2017, entre otras.
[120] Corte Constitucional, sentencia C-748 de 2011.
[121] La jurisprudencia constitucional ha reiterado que el perjuicio irremediable se caracteriza “(i) por ser inminente, es decir, que se trate de una amenaza que está por suceder prontamente;(ii) por ser grave, esto es, que el daño o menoscabo material o moral en el haber jurídico de la persona sea de gran intensidad;(iii)porque las medidas que se requieren para conjurar el perjuicio irremediable sean urgentes; y(iv)porque la acción de tutela sea impostergable a fin de garantizar que sea adecuada para restablecer el orden social justo en toda su integridad”. Corte Constitucional, sentencia T-896 de 2007.
[122] Operadores aeroportuarios accionados: OPAIN S.A., Aeropuertos de Oriente S.A.S., y Airplan S.A.
[123] Expresamente, las accionantes manifestaron: “si surgiese la duda en torno a la posible conveniencia del medio de control de nulidad (art. 137 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo) para controvertir, como vía alternativa a la tutela, la obligatoriedad en la descarga y uso de CoronApp para volar a destinos nacionales, habría que mencionar que la disputa que planteamos en este escrito no surge propiamente del texto de un Decreto Legislativo o Resolución, es decir, no estamos controvirtiendo el contenido de un acto administrativo expedido formalmente para que se declare su nulidad sino que ponemos en duda el actuar de entidades privadas que cumplen una función pública que, en la provisión de un servicio público esencial, están efectuando una lectura errónea de un acto administrativo cuyo contenido al ser leído de manera armónica con la Constitución, solo puede derivar en la práctica que favorece la recomendación o invitación al pasajero de vuelos con destinos nacionales a que descargue la aplicación CoronApp sin que abstenerse a hacerlo le signifique la consecuencia de no ingresar a los aeropuertos en cuestión.” Demanda de tutela, pág. 16.
[124] La norma referida establece que la Aerocivil tiene la facultad de “sancionar administrativamente a los particulares, personas naturales o jurídicas relacionadas con el sector, por la violación de los reglamentos aeronáuticos y las demás normas que regulan las actividades del sector aeronáutico”
[125] Ley 105 de 1993, artículos 47 y siguientes.
[126] Ley 105 de 1993, artículo 55.
[127] Ibídem.
[128] La Aerocivil, a través de su cuenta oficial de Twitter, en los meses de octubre y noviembre de 2020, publicó mensajes indicando que “todos los pasajeros y personal aeroportuario que transiten las terminales aéreas, deberá tener instalada en su celular la aplicación #CoronApp.” Entre otros, se pueden consultar los siguientes enlaces: https://twitter.com/AeroCivilCol/status/1329786583130619905?s=20; https://twitter.com/AeroCivilCol/status/1331236133867425793?s=20; https://twitter.com/AeroCivilCol/status/1327234876815400960?s=20; : https://twitter.com/AeroCivilCol/status/1323993743519850497?s=20; https://twitter.com/AeroCivilCol/status/1323642923225882624?s=20; https://twitter.com/AeroCivilCol/status/1321834646259310592?s=20
[129] Decreto 2591 de 1991, art. 42, establece: “Procedencia. La acción de tutela procederá contra acciones u omisiones de particulares en los siguientes casos: (...) 6. Cuando la entidad privada sea aquella contra quien se hubiere hecho la solicitud en ejercicio del hábeas data, de conformidad con lo establecido en el artículo 15 de la Constitución.
[130] Expediente digital: Consec. 174, “Respuesta oficio OPTB-1633- [cerrado].pdf”, pág. 3.
[131] La periodista suscribió las otras pretensiones formuladas por las accionantes encaminadas a que el juez constitucional dictara las medidas necesarias para que las autoridades públicas y los operadores aeroportuarios ya no exigieran la descarga y uso de la aplicación CoronApp para ingresar a los aeropuertos y acceder al servicio de transporte aéreo.
[132] Proceso bajo radicado 25000-23-26-000-2012-00198-00.
[133] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”; Consec. 228, “RESPUESTA T-8.197.643- CORONAPP DATOS PERSONALES (1).pdf”; Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”
[134] Sobre ello, podrían consultarse las sentencias T-199 de 2019 (riesgo periodistas) y C-116 de 2021 (parámetros constitucionales para calificar la vulnerabilidad de un grupo - periodistas), entre otras.
[135] Corte Constitucional, sentencia T-616 de 2019.
[136] Corte Constitucional, sentencias T-060 de 2019 y T-085 de 2018.
[137] “ARTÍCULO 26. CESACIÓN DE LA ACTUACIÓN IMPUGNADA. Si, estando en curso la tutela, se dictare resolución, administrativa o judicial, que revoque, detenga o suspenda la actuación impugnada, se declarará fundada la solicitud únicamente para efectos de indemnización y de costas, si fueren procedentes (…)”
[138] Corte Constitucional, sentencia SU-522 de 2019.
[139] Corte Constitucional, entre otras, sentencias T–170 de 2009, T–498 de 2012 y T–070 de 2018.
[140] Corte Constitucional, sentencia T-015 de 2019.
[141] Corte Constitucional, entre otras, sentencias T-047 de 2016, T-013 de 2017 y T-085 de 2018.
[142] Corte Constitucional, entre otras, sentencias T-256 de 2018 y T-387 de 2018.
[143] Corte Constitucional, sentencia T-070 de 2018.
[144] Salvo lo dispuesto en el artículo 25 del Decreto 2591 de 1991, ver sentencia SU-256 de 1996.
[145] Corte Constitucional, sentencia T-213 de 2018.
[146] Corte Constitucional, sentencia SU-522 de 2019.
[147] Corte Constitucional, entre otras, sentencias T-544 de 2017 y T-213 de 2018. No obstante, en la sentencia T-443 de 2015, reiterada recientemente en la Sentencia T-180 de 2019, la Corte diferenció las situaciones que pueden darse cuando se configura una carencia actual de objeto por el fallecimiento del titular de los derechos. De esta manera, explicó que ante tal situación, el juez puede pronunciarse en varios sentidos, a saber: (i) en aplicación de lo dispuesto en el artículo 68 del CGP, puede aplicarse la figura de la sucesión procesal, en virtud de la cual, el proceso puede continuar con la familia o herederos del causante, cuando la vulneración alegada continúe produciendo efectos, incluso después de su muerte; (ii) si la vulneración o amenaza ha tenido lugar, y tiene relación directa con el objeto de la tutela, esto es, que el fallecimiento del titular sea consecuencia de la acción u omisión que se pretendía corregir con el mecanismo de amparo constitucional, se puede producir un pronunciamiento de fondo, en caso de considerarse necesario, para efectos de determinar si se configuró la vulneración alegada, y unificar y armonizar la jurisprudencia, o disponer las medidas correctivas a que haya lugar; y (iii) por último, se puede dar que la muerte del titular no se encuentre relacionada con el objeto de la acción, y la prestación solicitada tenga un carácter personalísimo, no susceptible de sucesión. En este caso, sería inocua cualquier orden del juez, y procede la declaración de la carencia actual de objeto como consecuencia del carácter personalísimo de la prestación.
[148] Corte Constitucional, sentencia T–544 de 2017.
[149] Corte Constitucional, sentencia T-758 de 2003.
[150] Corte Constitucional, sentencia T-060 de 2019.
[151] Corte Constitucional, sentencias T-401 de 2018 y T-379 de 2018.
[152] En la sentencia T-585 de 2010, la Corte Constitucional conoció de un caso en que la accionante solicitaba la realización de un procedimiento de interrupción voluntaria del embarazo. Sin embargo, en sede de revisión se pudo constatar que “la accionante no había seguido adelante con el embarazo”. Sin embargo, tal situación no obedeció a un obrar diligente de la EPS accionada, por lo que el caso no encajaba en las hipótesis de hecho superado ni daño consumado.
[153] Corte Constitucional, sentencia T-200 de 2013.
[154] Corte Constitucional, sentencia SU-522 de 2019.
[155] Ibídem.
[156] “Por el cual se adoptan medidas de bioseguridad para mitigar, evitar la propagación y realizar el adecuado manejo de la pandemia del Coronavirus COVID-19, en el marco del Estado de Emergencia Económica, Social y Ecológica”.
[157] Articulo 1, Decreto Ley 539 de 2020.
[158] “Por el cual se imparten instrucciones en virtud de la emergencia sanitaria generada por la pandemia del Coronavirus COVID – 19, y el mantenimiento del orden público y se decreta el aislamiento selectivo con distanciamiento individual responsable”.
[159] Artículo 5, Decreto 1168 de 2020.
[160] Considerando, Resolución 1517 de 2020.
[161] Ibidem.
[162] Expediente digital: Consec. 9, “TUTELA No. 2020-00319 MEDIDA CAUTELAR MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 11.
[163] Expediente digital: Consec. 18, “04Anexo1.pdf”.
[164] El operador del Aeropuerto el Dorado informó: (i) “Para poder viajar deberás diligenciar tu estado de salud y los datos de tu vuelo en la aplicación CoronApp.”; (ii) “Descarga y utiliza la aplicación del gobierno nacional CoronApp (…) ya que deberás presentarlo al ingreso del aeropuerto”; (iii) “No olvides descargar la aplicación #CoronApp antes de llegar e ingresar al @BOG_ELDORADO”Expediente digital: Consec. 19, “05Anexo2.pdf”, págs. 1 a 6.
[165] El operador Aeropuerto José María Córdova informó: (i) “Recuerda que todo pasajero que transite por los aeropuertos del país, debe tener instalada en su celular la aplicación CoronApp Colombia.”; (ii) “Recuerda que presentar el reporte de salud en #CoronApp y código QR, es uno de los requisitos establecidos en la Resolución 1517 de 2020 del @MinSaludCol para el ingreso al Aeropuerto.” Expediente digital: Consec. 19, “05Anexo2.pdf”, págs. 6 a 13.
[166] Expediente digital: Consec. 15, “TUTELA No. 2020-00319 RESPUESTA MINSALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 5.
[167] Expediente digital: Consec. 14, “TUTELA No. 2020-00319 RESPUESTA INSTITUTO NAL DE SALUD MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 16.
[168] El operador aeroportuario de la ciudad de Bogotá pidió su desvinculación, al considerar que “en cumplimiento de la obligación impuesta por la Resolución mencionada [1517 de 2020] en relación con la CoronApp, se definió (…) que, como parte de los requisitos de ingreso se hace la validación del diligenciamiento de la encuesta de viaje en la aplicación (…). Sin embargo, en el mismo protocolo se estableció un plan alternativo para los viajeros que por algún motivo no puedan bajar la aplicación o que manifiesten su desacuerdo con este requisito.” Expediente digital: Consec. 16, “TUTELA No. 2020-00319 RESPUESTA SOCIEDAD CONCESIONARIA OPERADORA MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”, pág. 2.
[169] Expediente digital: Consec. 11, “TUTELA No. 2020-00319 RESPUESTA AEREO ORIEN MAG HENRY ALDEMAR BARRETO MOGOLLON.pdf”; Consec. 107, “RDO 2344 RESPUESTA ACCION DE TUTELA 2020-00319 CORONAPP.pdf”.
[170] “Por medio de la cual se unifican los protocolos de bioseguridad para el manejo y control del riesgo del coronavirus COVID-19, en el transporte nacional e internacional de personas por vía aérea”.
[171] “Por medio de la cual se definen los criterios y condiciones para el desarrollo de las actividades económicas, sociales y del Estado y se adopta el protocolo de bioseguridad para la ejecución de estas”.
[172] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”.
[174] Expediente digital: Consec. 270, “03-01-20211111000011978 COMUNICACION ADO PRUEBAS v1 DG.pdf”, pág. 3.
[175] Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, pág. 30.
[176] Expediente digital: Consec. 166, “Amicus_Fundación Karims_ exp. T-8.197.643 [versión cerrada].pdf *”, pág. 6.
[177] En ese sentido, Aeropuertos del Oriente S.A.S manifestó que, en cumplimiento de lo dispuesto en la Resolución No. 777 de 2021, no está verificando el diligenciamiento de la aplicación CoronApp para el ingreso al aeropuerto. Expediente digital: Consec. 270, “03-01-20211111000011978 COMUNICACION ADO PRUEBAS v1 DG.pdf”.
[178]https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/OT/asis04-politica-privacidad-proteccion-datos-msps.pdf
[179] “A partir de 1995, surge una tercera línea interpretativa que apunta al habeas data como un derecho autónomo y que es la que ha prevalecido desde entonces (…)”. Corte Constitucional, sentencia C-748 de 2011.
[180] Corte Constitucional, sentencia C- 1011 de 2008, reiterada en la sentencia T-490 de 2018.
[181] Ibídem.
[182] En la sentencia C-748 de 2011, que realizó el control previo de constitucionalidad al proyecto de Ley Estatutaria 1581 de 2012, la Corte precisó que “las garantías previstas en el artículo 4 son principios que ya habían sido recogidos por la jurisprudencia constitucional como garantías derivadas del derecho fundamental al habeas data y, por tanto, incluso en ausencia de una ley que lo disponga, son de aplicación obligatoria al tratamiento de todo tipo de dato personal”. En ese sentido, en la sentencia T-729 de 2002, la Corte ya había sistematizado algunos de los principios que establece explícitamente la Ley Estatutaria 1581 de 2012, tales como el principio de finalidad, libertad, veracidad y circulación restringida.
[183] Corte Constitucional, sentencia T-139 de 2017.
[184] “E[ste] principio encierra el principal objetivo de la regulación estatutaria: someter el tratamiento de datos a lo establecido en las normas, fijar límites frente a los responsables y encargados del tratamiento y garantizar los derechos de los titulares de los mismos.” Corte Constitucional, sentencia C-748 de 2011.
[185] “(…) los datos personales deben ser procesados con un propósito específico y explícito. En ese sentido, la finalidad no sólo debe ser legítima sino que la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular. Por ello, se deberá informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos. Cualquier utilización diversa, deberá ser autorizada en forma expresa por el Titular.” Ibidem.
[186] “El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.” Ibidem.
[187] “La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error”. Ibidem.
[188] “(…) en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.” Ibidem.
[189] “[El tratamiento de los datos] (…) sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley. Además, se prohíbe que los datos personales, salvo información pública, se encuentren disponibles en Internet, a menos que se ofrezca un control técnico para asegurar el conocimiento restringido.”. Ibidem.
[190] “(…) la información sujeta a tratamiento por el responsable o encargado, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”. Ibidem.
[191] “Todas las personas que intervengan en el tratamiento de datos personales (…) están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación (…)”. Ibidem.
[192] Corte Constitucional, sentencia C-748 de 2011.
[193] Corte Constitucional, sentencia C-748 de 2011.
[194] Corte Constitucional, sentencia C-748 de 2011.
[195] Sistematizados en la sentencia T-729 de 2002 y reiterados en la sentencia C-748 de 2011.
[196] “(…) los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos.”. Ibidem.
[197] “(…) la información que se registre o se divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra prohibido el registro y divulgación de datos parciales, incompletos o fraccionados. Con todo, salvo casos excepcionales, la integridad no significa que una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.”. Ibidem.
[198] “(…) cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos”. Ibidem.
[199] “(…) tanto el acopio, el procesamiento y la divulgación de los datos personales, debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara o determinable.”. Ibidem.
[200] “(…) la información desfavorable al titular debe ser retirada de las bases de datos siguiendo criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservación indefinida de los datos después que han desaparecido las causas que justificaron su acopio y administración.”. Ibidem.
[201] “(…) las administradoras deben mantener separadamente las bases de datos que se encuentren bajo su administración, de tal forma que queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos.”. Ibidem.
[202] “(…) aquél que ordena que el dato no podrá ser utilizado más allá del tiempo para el que fue previsto (…)”. Corte Constitucional, Sentencia C-748 de 2011.
[203] La prohibición de discriminación por las informaciones recaudadas en las bases de datos, el principio de interpretación integral de los derechos constitucionales, la obligación de indemnizar los perjuicios causados por las posibles fallas en el proceso de administración de datos, el principio de la proporcionalidad del establecimiento de excepciones y principio de autoridad independiente. Corte Constitucional, sentencia C-748 de 2011, “Otros principios que se entienden incluidos en la Ley Estatutaria”.
[204] Cfr. Sentencia C-748 de 2011. Esa posición ha sido reiterada, entre muchas otras, en las Sentencias T-580 de 1995, T-448 de 2004, T-526 de 2004, T-657 de 2005, T-T-684 de 2006, C-1011 de 2008, T-017 de 2011.
[205] En la sentencia C-748 de 2011, la Corte precisón que el principio de libertad consiste en que “el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.”
[206] "Por la cual se regulan los Estados de Excepción en Colombia"
[207] “Para la Corte, esto se logra a través de dos condiciones: (i) el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información, habida consideración que ese grupo de condiciones permite la protección adecuada del derecho. En relación con el primero señaló la Corporación que “la modalidad de divulgación del dato personal prevista en el precepto analizado devendrá legítima, cuando la motivación de la solicitud de información esté basada en una clara y específica competencia funcional de la entidad.” Respecto a la segunda condición, la Corte estimó que una vez la entidad administrativa accede al dato personal adopta la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que de forma lógica le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política y en consecuencia deberán: ‘(i) guardar reserva de la información que les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal; (ii) informar a los titulares del dato el uso que le esté dando al mismo; (iii) conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria.’”. Corte Constitucional, sentencia C-1011 de 2008, reiterada en la sentencia C-748 de 2011.
[208] Corte Constitucional, sentencia C-748 de 2011.
[209] Corte Constitucional, sentencia C-980 de 2010, reiterada en las sentencias T-283 de 2018, T-002 de 2019, T-595 de 2019, entre otras.
[210] Ibidem.
[211] Ibidem.
[212] Sentencia T-595 de 2019.
[213] Sentencia T-283 de 2018.
[214] Expediente digital: Consec. 34, “Anexo 7 Copia de Correo con Solicitud a la AND.pdf”.
[215] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 11.
[216] El artículo 29 de la Constitución establece que “el debido proceso se aplicará a toda clase de actuaciones judiciales y administrativa”. En desarrollo de lo anterior, la Corte Constitucional ha definido el debido proceso administrativo como “el conjunto complejo de condiciones que le impone la ley a la administración, materializado en el cumplimiento de una secuencia de actos por parte de la autoridad administrativa, (…) cuyo fin está previamente determinado de manera constitucional y legal”, el cual busca “i) asegurar el ordenado funcionamiento de la administración, (ii) la validez de sus propias actuaciones y, (iii) resguardar el derecho a la seguridad jurídica y a la defensa de los administrados”. Ver, entre otras, sentencia C-980 de 2010, reiterada en las sentencias T-283 de 2018, T-002 de 2019, y T-595 de 2019.
[217] La Corte ha determinado que la dilación injustificada se presenta cuando la duración de un procedimiento supera el plazo razonable. De acuerdo con la jurisprudencia constitucional, la razonabilidad del plazo se establece en cada caso particular, teniendo en cuenta (i) la complejidad del asunto; (ii) la actividad procesal del interesado; (iii) la conducta de la autoridad competente; y (iv) la situación jurídica de la persona interesada. Por consiguiente, esta Corte ha sostenido que el derecho al debido proceso administrativo se entiende vulnerado cuando las autoridades, en ejercicio de función administrativa, no siguen estrictamente los actos y procedimiento establecidos en la ley para la adopción de sus decisiones y, por ejemplo, dilatan las mismas en el tiempo sin justificación, desconociendo las garantías reconocidas a los administrados. Entre otras, ver sentencias T-283 de 2018 y T-595 de 2019.
[218] Ibídem.
[219]Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”
[220]Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, pág. 30.
[221]De acuerdo con el artículo 15 de la Ley 1581 de 2013. Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, pág. 29.
[222]Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, pág. 30.
[223]Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, pág. 30.
[224] Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, págs. 1 a 8.
[225] Las entidades indicaron que en esta etapa primo el “auto reporte para la identificación temprana” de los casos, generando diagnósticos que entraban “en proceso de verificación nacional por parte de las autoridades sanitarias consistente en validar si la alerta o advertencia ya había sido atendida en una Institución Prestadora de Servicios de Salud en caso de que efectivamente fuera requerido (…) para luego enviar aquellos casos no registrados por las instituciones de salud a las secretarías de salud departamentales y distritales, de manera que lo integraran con sus otras fuentes participativas”. Por último, mencionaron que “una de las grandes bondades de la vigilancia comunitaria con herramientas digitales es la georreferencia de los casos y su rápida identificación en tiempo real, la cual en fase de contención contribuyó a sumar esfuerzos en el seguimiento y control para evitar la propagación del virus, situación que, a través de otros medios como formularios en papel, por ejemplo, no se hubiese logrado con la misma oportunidad.”. Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, págs. 11 a 16.
[226] En esta etapa, “funcionalidad de auto reporte cesa, dado que, para ese momento de la pandemia, ya no tiene utilidad”. Por lo que, se desarrolló “la función de verificación de viajeros aéreos que están con pruebas positivas en aislamiento” generando un código QR revisado por los aeropuertos. Expediente digital: Consec. 138,“RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, págs. 17 a 19.
[227]Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, págs. 18 a 19.
[228] Al respecto, manifestaron que (i) la restricción perseguía un fin constitucionalmente legítimo, que (ii) constituya un medio idóneo para alcanzarlo, que (iii) era necesaria, “al no existir otro medio menos lesivo y que presente una eficacia similar para alcanzar el fin propuesto”, y que, (iv) existía proporcionalidad entre los costos y los beneficios constitucionales que se obtienen con la medida enjuiciada. En concreto se hicieron afirmaciones que vale la pena resaltar respecto a la exigencia de la información a través de CoronApp para viajeros de medios de transporte aéreo, señalando que, “si bien resultaba en una restricción a la movilidad de los pasajeros, (…) [era] una medida constitucionalmente legitima que buscaba hacerle frente a la pandemia y mitigar el impacto de sus efectos”, y que, no se transgrede el núcleo esencial del habeas data, en la medida en que, “a). La recolección de la información no se hace de manera ilegal, es decir, sin el consentimiento del titular; b). La información que se suministra no induce al error, por lo que es veraz; c). Recae sobre datos sensibles que se encuentran estrictamente protegidos (…)”. Expediente digital: Consec. 138, “RV__INTERVENCION_EXPEDIENTE_T-8.197.643_JUANITA_MARIA_GOEBERTUS_Y_OTROS.zip”, documento “INTERVENCIÓN ANTE CORTE CONSTITUCIONAL TUTELA T-8.197.643 JUANITA GOEBERTUS ESTRADA Y OTROS.pdf”, págs. 23 a 28.
[229]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del magistrado sustanciador, el 27 de agosto de 2021, a las 05:00 am.
[230]Es laboratorio de tecnología y política pública con perspectiva de género. “Amicus curiae T-8’197.643_PuenteTech.pdf”, pág. 1.
[231] En concreto, la investigación abordó seis aplicaciones y plataformas: “Medellín Me Cuida” (Colombia); “CoronApp” (Colombia); “CuidAR COVID-19 Argentina” (Argentina); “COVID-19MX” (México); “CoronApp-Chile” (Chile); y “Coronavirus UY” (Uruguay).
[232] Al respecto, el laboratorio de la referencia señaló: los criterios al evaluar aplicaciones para el Covid-19 (transparencia, equidad, rendición de cuentas, confianza ciudadana) y, basado en esto, indicó la evaluación aplicada a la CoronApp y algunos cuestionamientos sobre las funcionalidades y política de tratamiento de datos de la aplicación. Por último, concluyeron que: “una aplicación no debería, por ningún motivo, hacer que los gobiernos pierdan de vista las medidas que se deben tomar, a tiempo y sin improvisar, para asegurar la protección de los derechos al hábeas data, privacidad, seguridad digital, y no discriminación que tienen los ciudadanos”. “Amicus curiae T-8’197.643_PuenteTech.pdf”, pág. 9.
[233]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 6 de septiembre de 2021 a las 07:45 am.
[234]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 6 de septiembre de 2021 a las 11:53 am.
[235]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 7 de septiembre de 2021 a las 11:47 am.
[236]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 7 de septiembre de 2021 a las 02:19 pm.
[237]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 7 de septiembre de 2021 a las 11:32 pm.
[238]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 10 de septiembre de 2021 a las 03:41 pm.
[239]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 11 de septiembre de 2021 a las 08:39 am.
[240]Una organización no gubernamental independiente y sin fines de lucro, “que se dedica a la defensa y promoción de los derechos fundamentales en el entorno digital, centrando nuestra atención en el impacto sobre estos derechos del uso y la regulación de las tecnologías digitales”. “Derechos Digitales - amicus curiae T- 8’197.643.pdf”, pág. 2.
[241] Una organización privada con ánimo de lucro, “que trabaja en materia de consultoría, asesoría e investigación en materia de protección de datos personales y privacidad”. “Heidy Balanta- Amicus curiae.pdf”, pág. 1.
[242]Organización de la sociedad civil que tiene como objetivo “generar esfuerzos conjuntos contra [la corrupción], centrados en incidir y transformar instituciones publicas y privadas, a través de coaliciones con distintos actores (…) y la divulgación de conocimientos y practicas modernas que agreguen valor”. “Expediente T- 8’197.643 – Amicus curiae.pdf”, pág. 1.
[243]Organización de la sociedad civil que “trabaja en la defensa y promoción de los derechos civiles y humanos tanto en Argentina como en América Latina.”. “Amicus curiae – Corte Constitucional Colombia (Caso CoronApp 06 09 2021).pdf”, pág. 1.
[244]“Derechos Digitales - amicus curiae T- 8’197.643.pdf”, pág. 1.
[245] Al respecto indicó: “(i) El análisis de impacto de las apps para el covid-19 en la privacidad y protección de datos de las personas, en relación con el consentimiento de las personas; (ii) El impacto en la transparencia y el acceso a la información ocasionado por las previsiones contradictorias presentes en la política de tratamiento de datos de CoronApp y los protocolos de bioseguridad aplicados en los Aeropuertos, que afirman a un mismo tiempo la libertad de las personas para usarla y la obligación de descarga y uso de la aplicación para transitar en las terminales aéreas y para abordar vuelos nacionales, respectivamente; (iii) Riesgos para el secreto profesional de personas que ejercen el periodismo producto del uso obligatorio de aplicaciones para prevención de la COVID-19”. “Derechos Digitales - amicus curiae T- 8’197.643.pdf”, pág. 5. “Heidy Balanta- Amicus curiae.pdf”, pág. 3. “Expediente T- 8’197.643 – Amicus curiae.pdf”, pág. 4. “Amicus curiae – Corte Constitucional Colombia (Caso CoronApp 06 09 2021).pdf”, pág. 4.
[246] La conclusión se realizó respecto de los problemas jurídicos uno y dos, los cuales fueron desarrollados a lo largo del documento. “Derechos Digitales - amicus curiae T- 8’197.643.pdf”, pág. 5. Así mismo, Transparencia por Colombia solicitó, entre otras cosas, “ordenar a las accionadas a aclarar de forma pública y con destino a la ciudadanía que, el uso de esta clase de aplicaciones tecnológicas es voluntaria y no obligatoria, explicando de forma pedagógica los fundamentos normativos de la protección de datos personales y la necesidad del consentimiento libre e informado en aplicaciones como CoronApp [y] al Instituto Nacional de Salud, como responsable del tratamiento de datos de CoronApp, a enviar un mensaje efectivo y trazable a cada usuario registrado en la aplicación aclarando el uso voluntario de la misma y preguntándole si desea o no permanecer en la base de datos, para que en caso negativo se proceda a borrar dicha información. Lo anterior con el fin de subsanar la recolección de datos que esté viciada por la apariencia ilegítima de obligatoriedad en el uso de CoronApp.” “Expediente T- 8’197.643 – Amicus curiae.pdf”, págs. 8 y 9.
[247]Sobre este segmento, en el documento se expone lo relacionado con la excepción del literal c, articulo 10 de la Ley 1581 de 2012. “Derechos Digitales - amicus curiae T- 8’197.643.pdf”, pág. 10. “Heidy Balanta- Amicus curiae.pdf”, pág. 4. En ese sentido, mencionan que: “Durante la pandemia, las disposiciones anteriores han sido interpretadas en forma distorsionada por diversas entidades públicas para ampliar los ámbitos de excepción, y no pedir el consentimiento para proceder directamente al tratamiento de datos personales. Sin embargo, expertos apuntan que la interpretación debe ser restrictiva, lo que quiere decir que se aplica caso a caso y no como regla general.”. Así que, “el almacenamiento y uso de datos personales -y datos sensible- (…) debe ser sometido a un análisis de proporcionalidad estricto”. “Amicus curiae – Corte Constitucional Colombia (Caso CoronApp 06 09 2021).pdf”, pág. 11.
[248]Al respecto manifestaron que: “la política de tratamiento de datos de CoronApp sigue conteniendo previsiones contradictorias que afirman a un mismo tiempo la libertad de las personas para usarla y la obligación que tienen de permanecer en ella una vez registran sus datos”. “Heidy Balanta- Amicus curiae.pdf”, pág. 4. Así mismo, indicaron que: “en el caso de Colombia, la Política de Privacidad reconoce a la titular su derecho a conocer, actualizar y rectificar sus datos personales, así como de requerir que se le informe sobre los usos hechos de ellos y de presentar quejas ante la autoridad de protección de datos. Sin embargo, cuando se trata de la cancelación, las informaciones no son claras y hay una serie de condicionantes al ejercicio de este derecho”. “Amicus curiae – Corte Constitucional Colombia (Caso CoronApp 06 09 2021).pdf”, pág. 10.
[249] Organización Internacional sin ánimo lucro. “Amicus curiae – Access Now – Habeas Data CoronApp.pdf”, pág. 1.
[250] “2021_0830_Amicus Curiae Karismo_MEM.pdf”
[251]“Asociación civil peruana sin fines de lucro dedicada a investigar, facilitar el entendimiento público y promover el respeto de los derechos y libertades en entornos digitales”. “Escrito – Amicus curiae.pdf”, pág. 1.
[252] Amparándose en el inciso segundo del artículo 13 del Decreto 2591 de 1991.
[253] Al respecto, expuso la definición y características de la autorización del titular, para luego analizar las excepciones al requerimiento de autorización e indicar sí las mismas (literales a y c del artículo 10 de la Ley 1581 de 2012) aplicaban al caso concreto. “2021_0830_Amicus Curiae Karismo_MEM.pdf”, pág. 11.
[254] Al respecto indicó: “El libre desarrollo de la personalidad protege también el ámbito de libertad sobre cómo y en qué medida utilizamos nuestros dispositivos electrónicos personales, ya sean teléfonos móviles o computadoras personales. Así, la obligación de instalar la aplicación CoronaApp impuesta por el Estado colombiano, de existir esta, afecta el libre desarrollo de la personalidad, por lo que debe superar el test de proporcionalidad para ser conforme a Derecho.”. “Escrito – Amicus curiae.pdf”, pág. 13.
[255] “Escrito – Amicus curiae.pdf”, pág. 8.
[256]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 6 de septiembre de 2021 a las 09:47 pm.
[257] Asociación que tiene como misión “el desarrollo de un ecosistema propicio para la armonía entre las tecnologías de la información y las comunicaciones (TIC) y el sector jurídico”. Así mismo dentro de sus líneas de acción “se enfoca en fomentar la discusión, creación de conocimiento y buenas prácticas en torno al Derecho de las Tecnologías Emergentes”. “Amicus curiae – Final.pdf”, pág. 2.
[258] Sobre el particular mencionó: “Las funcionalidades más comunes de las aplicaciones son las siguientes: mapas en vivo y actualizaciones de casos confirmados; alertas según la localización en tiempo real; sistemas para controlar y monitorear el aislamiento en casa y la cuarentena, reporte directo al gobierno y auto-reporte de síntomas; educación sobre COVID-19. Algunos servicios más avanzados incluyen autoevaluación del estatus psicológico diario; monitoreo de los parámetros vitales, como la temperatura, el ritmo cardíaco, el oxígeno y la presión en la sangre, a través de dispositivos médicos que funcionan mediante Bluetooth; consultas médicas virtuales (ADiLife Covid-19 in Italy); intervenciones basadas en las ciencias sociales que realizan análisis predictivos de la enfermedad según la localización específica (OpenWHO); y el seguimiento del contacto de una persona con mecanismos comunitarios (TraceTogether and mfineRadar)”. “Amicus curiae – Final.pdf”, pág. 4.
[259] Al respecto indicó las dos principales dificultades: “la precisión con la aplicación para detectar los riesgos a los cuales una persona ha estado expuesta, en lo que respecta al COVID-19. [y] la privacidad de los datos personales dentro de las aplicaciones”. Respecto al primero señaló que: la “técnica denomina[da] contact tracing (rastreo de contacto), cuya efectividad baja considerablemente frente a las infecciones que se transmiten por el aire -ya que implica que un gran número de contactos no se van a poder rastrear-, y frente a las enfermedades que son contagiosas antes de ser sintomáticas”; y respecto a la segunda: “se han planteado diferentes inquietudes que nacen de la gran cantidad de información que recolectan este tipo de aplicaciones”, lo cual “fácilmente pueden convertirse en un sistema de vigilancia si no son adecuadamente diseñadas e implementadas”. “Amicus curiae – Final.pdf”, págs. 4 y 5.
[260] Como lo es la aplicación CoronApp. “Mobile contact tracing apps” (aplicaciones móviles para el rastreo de contacto, por su traducción desde el inglés). “Amicus curiae – Final.pdf”, pág. 3.
[261] Los cuales tienen congruencia con los principios de la legislación nacionales como los principios de circulación restringida y principio de finalidad establecidos en la Ley. 1581 de 2012. “Amicus curiae – Final.pdf”, págs. 6, 7 y 10.
[262]“Minimización de datos” definida como “[un mandato que establece que] la posibilidad de colectar información sobre otros debe ser minimizada. En el siguiente lugar (...) la colecta de datos personales debe ser minimizada. Finalmente, el tiempo que la información colectada es almacenada debe ser minimizado.” “Amicus curiae – Final.pdf”, pág. 8.
[263] “Limitación al propósito” que abarca dos componentes: “El primer componente (...) requiere que el controlador especifique el propósito del procesamiento de los datos. (...) El segundo componente (...) [es] el requerimiento de limitar el procesamiento de los datos al propósito del primer componente”. “Amicus curiae – Final.pdf”, pág. 9.
[264] “Amicus curiae – Final.pdf”, pág. 3.
[265]“Amicus curiae – Final.pdf”, pág. 10.
[266]Expediente digital: Consec. 135, “Amicus Dejusticia T-8197643.pdf”.
[267]Centro de estudios jurídicos y sociales dedicado al “fortalecimiento del Estado de Derecho y a la promoción de los derechos humanos en Colombia y en el Sur Global”. Expediente digital: Consec. 135, “Amicus Dejusticia T-8197643.pdf”, pág. 1.
[268] Al respecto consideró que en el presente caso el problema jurídico es: “¿puede el concesionario de un aeropuerto, a partir de la interpretación de normas reglamentarias, exigir a los usuarios del servicio público de transporte aéreo la descarga de una aplicación como CoronApp (con lo que esto implica en términos de recolección de datos personales sensibles) y la exhibición del registro de información en dicha aplicación, como requisito para ingresar a sus instalaciones?” Expediente digital: Consec. 135, “Amicus Dejusticia T-8197643.pdf”, pág. 3.
[269] Expediente digital: Consec. 135, “Amicus Dejusticia T-8197643.pdf”, págs. 3 a 6.
[270] Expediente digital: Consec. 135, “Amicus Dejusticia T-8197643.pdf”, págs. 6 a 9.
[271] Al respecto, indicó que sugirió las siguientes alternativas para remediar la vulneración a los derechos fundamentales de las peticionarias: frente a los operadores aeroportuarios “la orden perentoria de abstenerse, en lo sucesivo, de exigir la entrega de información personal, por cualquier medio, incluida la aplicación CoronApp, como un requisito para el ingreso a las instalaciones aeroportuarias, si dicha exigencia no está definida de forma clara y precisa en una norma con fuerza formal y material de ley”; y, respecto al responsable de la base de datos personales de la aplicación, “la orden de eliminar de forma definitiva todos los datos personales de las peticionarias que hayan sido registrados en ella mediante la aplicación CoronApp”. Expediente digital: Consec. 135, “Amicus Dejusticia T-8197643.pdf”, págs. 11 a 12.
[272]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 10 de septiembre de 2021 a las 07:24 p.m.
[273]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 16 de septiembre de 2021 a las 02:21 p.m.
[274]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 17 de septiembre de 2021 a las 12:21 p.m.
[275] “(…) red compuesta por 24 organizaciones de Latinoamérica y el Caribe que comparten el objetivo común de defender y promover la libertad de expresión en la región.”. “Intervención IFEX-ALC T-8.197.643. 090921.pdf”, pág. 1.
[276] “Intervención IFEX-ALC T-8.197.643. 090921.pdf”, pág. 10.
[277] “Intervención IFEX-ALC T-8.197.643. 090921.pdf”, pág. 1.
[278] Ibidem.
[279] “(…) organización no gubernamental que presta apoyo legal y ayuda a defender los derechos de periodistas, blogueros y medios independientes alrededor del mundo”. “Amicus Media Defence Tutela T8197643”, pág. 1.
[280] La intervención de “las Organizaciones” fue presentada por “Jonathan Bock Ruiz, actuando en calidad de Director Ejecutivo de la Fundación para la Libertad de Prensa (FLIP), Raissa Carrillo Villamizar, actuando como coordinadora de Atención y Protección de Periodistas de la FLIP; Daniela Ospina Noriega, actuando en calidad de Asesora Legal de la FLIP, María Noel Leoni; Paloma Lara Castro de CEJIL, Ana Bejarano Ricaurte, integrante de la red de acceso a la justicia de El Veinte”. “140921 Intervención expediente 8.197.643”, pág. 1.
[281] En concreto, señaló que: “las opciones centralizadas tienen una interferencia sustancial en la privacidad, pues pueden llevar a la identificación de usuarios y, al combinar información de rastreo de contactos con información de otras fuentes o bases de datos, permite que la autoridad central construya perfiles robustos de las personas.”. “Amicus Media Defence Tutela T8197643”, pág. 6.
[282] La interviniente indicó que: “cualquier medida de rastreo de contactos -obligatoria o voluntaria- requiere el fundamento legal más específico y estricto, con indicaciones claras sobre quién puede acceder a la información recolectada, las excepciones, sanciones por no cumplimiento y poderes de implementación.”. “Amicus Media Defence Tutela T8197643”, pág. 7.
[283] Al respecto, manifestó que: “la interviniente considera que una obligación general de instalar una aplicación centralizada y obligatoria sería desproporcionada en términos de protección de fuentes, toda vez que permitiría el acceso intencional o accidental a información que afecta la libertad editorial y la protección de fuentes.”. “Amicus Media Defence Tutela T8197643”, pág. 11.
[284] La interviniente consideró que: “Como lo ha proclamado la UNESCO, las mujeres periodistas enfrentan riesgos en el curso de su trabajo en el mundo offline y online: en el plano físico, estos riesgos incluyen, entre otros, el acoso sexual, ataques físicos y violación, que pueden limitar su movilidad física, su libertad de expresión, su integridad personal y otros derechos; y en la esfera digital, actos de acoso y amenazas de violencia están desenfrenados. (…) [por lo que] El uso obligatorio de CoronApp por parte de periodistas como Claudia Julieta Duque presenta un dilema grave de seguridad y privacidad, que debe tenerse en cuenta a la hora de establecer excepciones y salvaguardas estrictas al funcionamiento y operación del sistema de rastreo de contactos colombiano”. “Amicus Media Defence Tutela T8197643”, pág. 14.
[285] En su escrito precisó que: “Si bien actualmente ya no se exige el uso de la aplicación para ingresar a los puntos portuarios, ello no implica que desaparezcan los riesgos que dicha obligatoriedad generó en las personas, especialmente en periodistas y personas defensoras de derechos humanos en tanto la obligatoriedad se mantuvo por casi 9 meses donde los periodistas y personas defensoras se vieron forzados a dejar una huella digital, datos personales y sensibles en un plataforma estatal por lo que sus datos ya se encuentran almacenados.”. “140921 Intervención expediente 8.197.643”, pág. 10.
[286] “Las Organizaciones” agregaron a su
escrito la sección de “Datos personales – autorización y consentimiento
(constreñimiento para dar el consentimiento con la obligación de bajar la
aplicación para viajar)” y, en general, consideraron que “el uso
obligatorio de la APP CoronApp, resulta entonces
excesivo en los términos en que
está planteado, no solo por el carácter obligatorio con el que se impuso, como
se ha
explicado, sino porque no responde a principios de legalidad, legitimidad,
necesidad y
proporcionalidad. (…) [más aún con] la preocupante historia de práctica de
vigilancia abusiva de Colombia, en especial en lo que tiene que ver a los
seguimientos ilegales de cuerpos estatales a periodistas y medios de
comunicación [por lo que] esta Corte debe evaluar la presente acción con
observación de los estándares más fuertes de protección en la jurisprudencia
interamericana e internacional de derechos humanos.”. “140921
Intervención expediente 8.197.643”, págs. 2 a 12.
[287] Y, en consecuencia, “ordenar a las entidades accionadas abstenerse de solicitar el uso de Coronapp como obligatorio en el marco de vuelos nacionales”. “140921 Intervención expediente 8.197.643”, pág. 18.
[288] “140921 Intervención expediente 8.197.643”, pág. 18.
[289] Expediente digital: Consec. 140 “Intervención GAP_ Exp. 8’197.643.pdf”.
[290] “(…) clínica jurídica de interés público con 22 años de trayectoria (…) que trabaja por la defensa de los derechos humanos y el interés público en Colombia.”. Expediente digital: Consec 140 “Intervención GAP_ Exp. 8’197.643.pdf”, pág. 1.
[291] Expediente digital: Consec 140 “Intervención GAP_ Exp. 8’197.643.pdf”, pág. 1.
[292] Expediente digital: Consec 140 “Intervención GAP_ Exp. 8’197.643.pdf”, págs. 1 a 2. Al final, el GAP concluyó que: “los derechos vulnerados invocados por las accionantes, en particular el habeas data y, a su vez, el libre desarrollo de la personalidad deben ser protegidos pues (i) se cumplió con el requisito de subsidiariedad ya que la acción de amparo fue empleada como mecanismo definitivo ante la ausencia de un medio de defensa judicial efectivo e idóneo; (ii) no se encuentra configurado el hecho superado toda vez que en el marco de una posible ola de contagios, y la reanudación del uso de CoronApp para vuelos internacionales, hace probable que se vuelva a hacer exigible en el transporte aéreo doméstico y, en todo caso, existen razones constitucionales para proferir un fallo de fondo; (iii) no se cumple a cabalidad con todos los principios que rigen el tratamiento de datos personales, (iv) se vulnera el libre desarrollo de la personalidad y (v) la medida no supera el test de proporcionalidad.”. Expediente digital: Consec 140 “Intervención GAP_ Exp. 8’197.643.pdf”, pág. 15.
[293]Documento enviado por la Secretaría General de la Corte Constitucional (salasrevisionb@corteconstitucional.gov.co) al despacho del Magistrado ponente el 28 de septiembre de 2021 a las 04:46 am.
[294] Una “organización de la sociedad civil dedicada a la incidencia en política pública así como la investigación en derechos humanos y su intersección con las tecnologías digitales”. Expediente digital: Consec. 166, “Amicus_Fundación Karims_ exp. T-8.197.643 [versión cerrada].pdf *”, pág. 1.
[295] Al respecto, indicaron que la política de datos de la aplicación afirma que la supresión de los datos solo procederá en dos eventos: “El primero, en caso de que la Superintendencia de Industria y Comercio “haya determinado que en el tratamiento por parte del INS se ha incurrido en conductas contrarias a la ley 1581 de 2012 o a la Constitución”. Y el segundo, cuando “no exista un deber legal o contractual que le imponga su permanencia en la base de datos”. Como quiera, ambos eventos anulan la posibilidad de solicitar la supresión de los datos como fruto de la mera voluntad del titular, lo que afirma su carácter arbitrario si se considera, además, que el registro en la aplicación por parte de las titulares tampoco fue plenamente libre, ni consentido”. Expediente digital: Consec. 166, “Amicus_Fundación Karims_ exp. T-8.197.643 [versión cerrada].pdf *”, págs. 2 y 5.
[296] Expediente digital: Consec. 166, “Amicus_Fundación Karims_ exp. T-8.197.643 [versión cerrada].pdf *”, pág. 7.
[297] Expediente digital: Consec. 166, “Amicus_Fundación Karims_ exp. T-8.197.643 [versión cerrada].pdf *”, pág. 7.
[298] Expediente digital: Consec. 166, “Amicus_Fundación Karims_ exp. T-8.197.643 [versión cerrada].pdf *”, pág. 7.
[299] Expediente digital: Consec. 166, “Amicus_Fundación Karims_ exp. T-8.197.643 [versión cerrada].pdf *”, pág. 8.
[300] Expediente digital: Consec. 174, “Respuesta oficio OPTB-1633- [cerrado].pdf”, pág. 2.
[301] Expediente digital: Consec. 174, “Respuesta oficio OPTB-1633- [cerrado].pdf”, pág. 3.
[302] Expediente digital: Consec. 174, “Respuesta oficio OPTB-1633- [cerrado].pdf”, pág. 5.
[303] Expediente digital: Consec. 174, “Respuesta oficio OPTB-1633- [cerrado].pdf”, pág. 5.
[304] Expediente digital: Consec. 185, “Correo_ Rta Fiscalia.pdf”, pág. 1.
[305] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 3.
[306] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 5.
[307] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 6.
[308] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 6.
[309] Expusieron que se refería a “(…) la ampliación del espectro funcional de una tecnología que se dijo que sería desplegada para servir al propósito A y con el tiempo, se transforma en una aplicación totalmente distinta para servir a los propósitos B, C, D, sin efectuar la eliminación de los datos que recabó en principio para la realización del fin inicial, y sin notificar del impacto de dicho cambio en la privacidad de las personas registradas, entre otros. Más aún, de una forma en que los usuarios pierden toda trazabilidad sobre su información personal.”. Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 8.
[310] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, págs. 7 y 8.
[311] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 8.
[312] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 8.
[313] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, págs. 9 y 10.
[314] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, págs. 10 y 11.
[315] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, págs. 11 y 12.
[316] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 12.
[317] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 13.
[318] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 14.
[319] Expediente digital: Consec. 274, “Respuesta oficio OPTB-1643_2021 [cerrado]-1.pdf”, pág. 15.
[320] Pág. 18, PTI. Pág. 5, Acuerdo de Transmisión de Datos entre INS y AND.
[321] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 1 y 2.
[322] Señalando las siguientes: “2 Registro”; “3 Auto reporte”; “4 Clasificación de Usuario” y “5 Generación del Estatus de movilidad”.
[323] Mostrando las siguientes ubicadas respectivamente según la etapa: “Estructura de los datos de CoronApp al momento de registro”; “Datos personales sensibles relativos a la salud: Fase 1, 2 y 3”; “Categorizaba al usuario como Alerta, Advertencia o Normal, de acuerdo con el algoritmo de riesgo” e “Información acerca de vuelos”.
[324] Indicando las fechas y hora en las que cada una de las accionantes ingreso sus datos en cada una de las etapas.
[325] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 1 y 2.
[326] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 5.
[327] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 5 y 6.
[328] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 6.
[329] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 7.
[330] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 8 a 10.
[331] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 10.
[332] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 11.
[333] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 11.
[334] Pág. 10, PTI.
[335] Literal b, artículo 12 de la Ley 1581 de 2012.
[336] Pág. 9, PTI.
[337] Numeral 1, artículo 6 del Decreto 1377 de 2013.
[338] Numeral 2, artículo 6 del Decreto 1377 de 2013.
[339] Pág. 18, Intervención conjunta ante la Corte Constitucional del DAPRE y Ministerio de Salud (14/09/2021).
[340] Pág. 24, PTI.
[341] Pág. 7, PTI.
[342] Pág. 8, PTI.
[343] Pág. 12, PTI.
[344] Pág.18, PTI.
[345] Pág. 9, PTI.
[346] Pág. 12, PTI.
[347] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 12.
[348] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 12.
[349] Estructura de los datos de CoronApp fase 1: Fiebre; dolor de garganta; congestión nasal; tos; dificultad para respirar; fatiga; escalofrío; dolor musculo; ninguno. Estructura de los datos de CoronApp fase 2: Fiebre cuantificada en °C; tos reciente o que empeora; leve dificultad para respirar; dificultad para ponerse de pie; mareo; diarrea; ninguno de los anteriores. Estructura de los datos CoronApp fase 3: Fiebre más de dos días; tos con expectoración; dificultad extrema para respirar; dolor persistente en el pecho; dificultad para hablar, me falta el aire; labios o cara azul; mareo muy intenso; dolor en el cuerpo difícil de soportar; ninguno de los anteriores.
[350] Estructura de los datos de CoronApp fase 1: He estado en contacto con alguien que tiene algún síntoma; hice un viaje internacional en los últimos 30 días; hice un viaje nacional en los últimos 30 días; soy profesional del sector salud; ninguna de las anteriores. Estructura de los datos de CoronApp fase 2: He recibido atención una vez; he visitado al médico más de una vez; no ha recibido atención médica. Estructura de los datos de CoronApp fase 3: Tuve contacto con personas enfermas respiratorias graves; vive solo, sola; ninguna de las anteriores.
[351] Estructura de los datos de CoronApp fase 1: Diabetes; hipertensión; enfermedad del corazón; falla renal que requiere diálisis; EPOC; uso de corticoides; inmunodeficiencia; cáncer de cualquier tipo; sobrepeso u obesidad; desnutrición; fumador; hipotiroidismo; otras enfermedades pulmonares; enfermedades autoinmunes.
[352] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 12.
[353] “Uno o más síntomas del riesgo fase 2 más factores de riesgo fase 3”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 15.
[354] “Hasta 7 síntomas sin importar factores de riesgo, con o sin fiebre y/o multiconsulta de síntomas”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 15.
[355] “Ningún síntoma”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 15.
[356] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 15.
[357] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 15.
[358] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 15 y 16.
[359] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 16.
[360] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 16.
[361] “Dicho código lo generaba la herramienta Coronapp, consultando en el sistema SisMuestras del INS, si la persona tenía una prueba en las últimas 72 horas o menos y si dicha prueba era negativa, en cuyo caso arrojaba un QR verde. Si al realizar la búsqueda no había pruebas reportadas o el resultado era positivo la herramienta arrojaba un QR rojo.”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 17.
[362] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 16 y 17.
[363] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 17.
[364] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 17.
[365] Refiriéndose a “datos básicos” como nombres, apellidos y tipo y números de documentos y a “datos georreferenciados” como lugar de registro y teléfono. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 18.
[366] Señalando los datos de la estructura de los datos de CoronApp fase 1, 2 y 3 relacionados con los síntomas, factores y antecedentes. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 18 a 21.
[367] Indicando los datos sobre el tipo de viaje (aéreo o terrestre) y la identificación de número y fecha de vuelo y silla, empresa de transporte, número de pasabordo y silla, origen y destino. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 21 y 22.
[368] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 22.
[369] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 22.
[370] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 23.
[371] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 23.
[372] “(…) con la finalidad de identificación de alertas tempranas y despliegue de esfuerzos de diagnóstico, tales como: identificación de atención previa en el servicio de salud, verificación del estado de salud por parte de las Entidades Administradoras de Planes de Beneficios (EAPB), canalización precisa de casos potenciales que requieren ser dirigidos a centros asistenciales para iniciar su atención, identificación de posibles conglomerados de casos, en tiempo y lugar, que facilitaban priorizar la acción de las autoridades sanitarias como identificar potenciales cadenas de contagio, entre otras. Esta funcionalidad se encontraba desactivada y solo se activaba al momento de reportar el Autodiagnóstico de salud, para ubicar el lugar desde donde se realizaba el reporte, para efectos de las finalidades antes mencionadas.”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 23.
[373] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 23.
[374] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 24.
[375] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 24.
[376] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 24.
[377] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 24.
[378] “Este autoreporte realizado por los ciudadanos entraba a un proceso de verificación nacional por parte de las autoridades sanitarias consistente en validar si el caso ya fue atendido, por el hecho de estar registrado en el sistema de vigilancia (Sivigila) o en el reporte de laboratorio (SisMuestras), para luego enviar aquellos casos no registrados por las instituciones de salud a las secretarías de salud departamentales y distritales, que lo integran con sus otras fuentes participativas, (Líneas de atención al usuario, chat, entre otras estrategias de comunicación disponibles.) promoviendo la consulta a los servicios de salud asignados por las Entidades Administradoras de Planes de Beneficio EAPB. Esta actividad permitió que desde las secretarías departamentales se brindara orientación a la ciudadanía que había reportado alertas y se desplegaran acciones tendientes a la identificación de posibles casos y remisión de acuerdo con las estrategias y rutas de atención establecidas. Para esta actividad se disponía en la plataforma SIVIGILA 4.0, de tableros de control que presentaban la información recolectada anonimizada de manera gráfica, para facilitar el análisis y la toma de decisiones. Estos tableros permitían hacer filtros de información por sectores geográficos y por series de tiempo.” Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 24 y 26.
[379] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 26.
[380] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 28.
[381] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 29.
[382] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 29 y 30.
[383] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 31 y 32.
[384] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 32.
[385] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 32.
[386] “Con el fin de evitar la propagación del virus, CoronApp puede realizar: Localización geográfica de usuarios y la ubicación del dispositivo, la cual es activada a través del GPS del dispositivo móvil, únicamente para el envío del reporte de salud al momento que los usuarios realizan el autodiagnóstico dispuesto en CoronApp. Esta información, utilizada únicamente por las autoridades sanitarias, permite la generación de alertas tempranas y despliegue de esfuerzos de diagnóstico, tales como: identificación de atención previa en el servicio de salud, verificación del estado de salud por parte de las Entidades Administradoras de Planes de Beneficios (EAPB), canalización precisa de casos potenciales que requieren ser dirigidos a centros asistenciales para iniciar su atención, identificación de posibles conglomerados de casos, en tiempo y lugar, que faciliten priorizar la acción de las autoridades sanitarias, identificar potenciales cadenas de contagio, entre otras. Esta funcionalidad se encuentra desactivada y solo se activa al momento de reportar el Autodiagnóstico de salud, para ubicar el lugar desde donde se realiza el reporte, para efectos de las finalidades antes mencionadas. CoronApp no recopila información sobre los movimientos y actividades de un usuario mediante el uso de sensores de ubicación (tales como GPS), puntos de acceso Wifi y estaciones de base, a menos que voluntariamente lo decida cada usuario de CoronApp.”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 33 y 34.
[387] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 33 y 34.
[388] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 35.
[389] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 35.
[390] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 35.
[391] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 36.
[392] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 36.
[393] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 36.
[394] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 38.
[395] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 39.
[396] “El tiempo del tratamiento de los datos recolectados a través de CoronApp, toda vez que hacen parte del sistema de vigilancia de salud pública, es determinado por las actividades que despliegue el Ministerio de Salud y Protección Social y el Instituto Nacional de Salud para afrontar la enfermedad del COVID-19, así como para el análisis del comportamiento del virus que deban realizar las entidades de salud del país (…)”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 39.
[397] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 40.
[398] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 40.
[399] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 40.
[400] “Estructura bodega de datos CoronApp 2. Al respecto se indica frente al proceso de anonimización: “Cuenta con estructuras de datos similares a las que tiene la bodega 1 como son: DataRow Epihack, DataMart Emparejamiento, DataSummary V1, DataRow Diagnosisdb y DataRow resultado_caso, con la diferencia que los datos personales se encuentran cifrados por medio del algoritmo de encriptación Pretty Good Privacy "OpenPGP (RFC 4880) standard" asimétrico con llave pública y llave privada + clave, en específico en las siguientes tablas: resultado_caso, nucleo_familiar, usuarios. Es la base de datos a la cual se brinda acceso por medio de VPN a los consumidores de datos como el instituto nacional de salud. Cuenta con una vista de la tabla cruce_usuarios llamada v_cruce_usuarios que posee la misma información de la tabla en mención excluyendo los datos de identificación de las personas”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 40 y 41.
[401] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 41.
[402] “Artículo 13. Personas a quienes se les puede suministrar la información. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas: a) A los Titulares, sus causahabientes o sus representantes legales; b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial; c) A los terceros autorizados por el Titular o por la ley.”.
[403] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 42 y 43.
[404] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 43.
[405] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 43.
[406] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 43 a 47.
[407] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 47.
[408] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 48.
[409] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 48.
[410] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 48.
[411] Al respecto mencionó las regulaciones internas del INS frente a diferentes materias relacionadas con la recolección de datos y propiedad intelectual, tales como la Resolución 1607 de 2014, la Resolución 0186 de 2019, la Resolución 457 de 2020 y la Política de Tratamiento de la Información del aplicativo CoronApp Colombia. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 49 y 50.
[412] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 50.
[413] Sobre el particular, explicó que el INS se rige por el Decreto 3518 de 2006 “Por el cual se crea y reglamenta el Sistema de Vigilancia en Salud Pública y se dictan otras disposiciones”, en el cual se contemplan (Capitulo III) “los procesos básicos de la vigilancia en salud pública”. Asimismo, reitero disposiciones de la Resolución 457 de 2020 sobre el tratamiento y la finalidad de los datos personales y la PTI de la CoronApp. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 50 a 52.
[414] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 53 a 55.
[415] En concreto, señaló el articulo 8 de la Resolución 1607 de 2014 y el numeral VII del artículo 8 de la Resolución 186 de 2019. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 55.
[416] Haciendo mención, de nuevo, a las disposiciones de la Resolución 186 de 2019 y a la PTI de la CoronApp. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 55 y 56.
[417] “El Procedimiento Operativo Estandarizado de Confidencialidad, Imparcialidad e Integridad del INS, POE-A07.0000-003, Establece los lineamientos con el fin de asegurar la confidencialidad, imparcialidad, e integridad del personal que hace parte del Instituto Nacional de Salud (INS), sin importar su tipo de vinculación. Aplica a todo el talento humano que, independientemente del tipo de vinculación, realice actividades para el cumplimiento de las funciones de la entidad o que requieran acceder a la información confidencial del INS como material o insumo para la realización de sus actividades.”. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 56.
[418] Explica el procedimiento para la interposición de PQRSDFA. Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 57 a 60.
[419] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 60 y 61.
[420] Pág. 18.
[421] Expediente digital: Consec. 185, “Correo_ Rta Fiscalia.pdf”, pág. 1.
[422] Expediente digital: Consec. 226, “Radicado_S-2021-054631.pdf”.
[423] Expediente digital: Consec. 278, “RESPUESTA Expediente T-8.197.643.pdf”.
[424] Expediente digital: Consec. 275, “Correo_ Rta Fiscalia.pdf”.
[425] Expediente digital: Consec. 276, “Correo_ Rta Fiscalia.pdf”.
[426] Expediente digital: Consec. 184, “RDO 1806 ACCION DE TUTELA JUANITA GOEBERTUS ESTRADA Y OTRAS.pdf”.
[427] Expediente digital: Consec. 179, “03-01-20211021000011851 Comunicacion de Respuesta Oficio OPTB-1633-2021 Corte Constitucional MR.pdf”.
[428] Expediente digital: Consec. 270, “03-01-20211111000011978 COMUNICACION ADO PRUEBAS v1 DG.pdf”.
[429] Expediente digital: Consec. 228, “RESPUESTA T-8.197.643- CORONAPP DATOS PERSONALES (1).pdf”.
[430] Expediente digital: Consec. 228, “RESPUESTA T-8.197.643- CORONAPP DATOS PERSONALES (1).pdf”, págs. 4 y 5.
[431] Expediente digital: Consec. 228, “RESPUESTA T-8.197.643- CORONAPP DATOS PERSONALES (1).pdf”, págs. 5 a 7.
[432] Expediente digital: Consec. 172, “Adjunto 1_ respuesta Claudia Julieta Duque Orrego.pdf”. Ref:25000-23-26-000-2012-00198-00. Aprobada en sesión de la fecha. Acta No. 26. Demandante: Claudia Julieta Duque Orrego y otros – Demandado Nación – Fiscalía General de la Nación y otros. Tema: Chuzadas del DAS. Interceptaciones, seguimientos, desprestigio, asedio, entre otras conductas ilegales. Persecución y violación de derechos fundamentales a periodista. Falta de protección ante amenazas. No inclusión como víctima en proceso disciplinario adelanta por la Procuraduría contra funcionarios del DAS. Mora en la investigación penal por parte de la Fiscalía General de la Nación. Valoración de prueba trasladada de proceso penal. Perjuicios inmateriales derivados de vulneración de bienes o derechos convencionales o constitucionales. Daño a la salud psicológica.
[433] Expediente digital: Consec. 272, “Carta MinExterior a la CIDH - Casos Claudia Julieta Duque.pdf”.
[434] Expediente digital: Consec. 188, “Anexo 01 Acuerdo de Transmision de Datos Personales.pdf”.
[435] Expediente digital: Consec. 189, “Anexo 02 Otrosi No. 1.pdf”.
[436]Expediente digital: Consec. 190, “Anexo 03 Otrosi No. 2.pdf”.
[437] Expediente digital: Consec. 191, “Anexo 04 Otrosi No. 3.pdf”.
[438] Expediente digital: Consec. 192, “Anexo 05 Clausulado Contrato Interadministrativo.pdf”.
[439] Expediente digital: Consec. 193, “Anexo 06 Memorando AND-EXT-0368-2021.pdf”.
[440] Expediente digital: Consec. 194, “Anexo 07 Memorando INS 2021004434.pdf”.
[441] Expediente digital: Consec. 195, “Anexo 08 Resolucion 1607 de 2014 - Politica para la Proteccion de Datos INS.pdf”.
[442] Expediente digital: Consec. 196, “Anexo 09 Resolucion 0457 de 2020 - Proteccion de Datos.pdf”.
[443] Expediente digital: Consec. 198 a 212, “Autorizacion CELSIA y Ecopetrol.pdf”; “Autorizacion DANE e ISA.pdf”; “Autorizacion DAPRE.pdf”; “Autorizacion GEB- TGI Y SURA.pdf”; “Autorizacion OCENSA.pdf”; “Autorizacion Secretaria salud.pdf”; “Solicitud Celsia.pdf”; “Solicitud DANE.PDF”; “Solicitud DAPRE.pdf”; “Solicitud Ecopetrol Salud.pdf”; “Solicitud GEB.pdf”; “Solicitud ISA.pdf”; “Solicitud OCENSA.pdf”; “Solicitud Sura.pdf”; “Solicitud TGI.pdf”.
[444] Expediente digital: Consec. 213 a 224, “2020-1680.pdf”; “2020-1680A.pdf”; “2020-2980.pdf”; “2020-2983.pdf”; “2020-4160.pdf”; “2020-4466.pdf”; “2020-4466A.pdf”; “2020-4615.pdf”; “2020-4615A.pdf”; “2020-5217.pdf”; “2020-6202.pdf”; “Reporte PQRSD.xlsx”.
[445] Expediente digital: Consec. 178, “1.10. Camara de Comercio ADO - Octubre 2021(1).pdf”.
[446] Expediente digital: Consec. 182, “CAMARA DE COMERCIO - AIRPLAN.pdf”.
[447] Expediente digital: Consec. 181, “ANEXO RDO 1806-.PDF”
[448] Expediente digital: Consec. 229, 248 y 249 “20-173282-6.pdf”; “20173282--0000400001.pdf” y “20173282--0000500001.pdf”.
[449] Expediente digital: Consec. 230, “Anexo No. 1 Camara de Comercio Samsung.pdf”.
[450] Expediente digital: Consec. 231, “Anexo No. 2 AND-EXT-00167 Informacion sobre CoronApp - Samsumg Electronics Colombia, Dra Aura Mendez.pdf”.
[451] Expediente digital: Consec. 232, “Anexo No. 3 Acuerdo de Licencia de Usuario Final para el Software de Samsung (EULA.pdf”.
[452] Expediente digital: Consec. 233, “Anexo No. 4 Terminos y condiciones CoronApp.pdf”.
[453] Expediente digital: Consec. 234, “Anexo No. 5 Politicas de Tratamiento de Datos Personales y avisos de privacidad.pdf”.
[454] Expediente digital: Consec. 235, “Respuesta - Requerimiento de informacion SIC.pdf”.
[455] Expediente digital: Consec. 237, “2020-002453.pdf”.
[456] Expediente digital: Consec. 238, “20145155--0000000001.pdf”.
[457] Expediente digital: Consec. 239, “20145155--0000400001.pdf”.
[458] Expediente digital: Consec. 240, “20145155--0000500001.pdf”.
[459] Expediente digital: Consec. 241, “20145155--0000600001.pdf”.
[460] Expediente digital: Consec. 242, “20145155--0000800005.pdf”.
[461] Expediente digital: Consec. 243 y 244, “AND-EXT-00189 Verificacion Cumplimiento de Requisitos legales de la PTI de CoronApp - SIC, Dr. Andres Barreto.pdf” y “AND-EXT-00195 Verificacion Cumplimiento de requisitos Legales de la PTI de CoronApp - SIC, Dr. Andres Barreto.pdf”.
[462] Expediente digital: Consec. 245, “POLITICA DE TRATAMIENTO DE INFORMACION CORONAPP COLOMBIA[2].PDF”.
[463] Expediente digital: Consec. 246, “ReporteFinalizacion (Actualizacion 896).pdf”.
[464] Expediente digital: Consec. 247, “20173282--0000000001.pdf”.
[465] Expediente digital: Consec. 251, “20173282--0000600001.pdf”.
[466] Expediente digital: Consec. 252, “20173282--0000800005.pdf”.
[467] Expediente digital: Consec. 253 y 254, “20173282--0000900001.pdf” y “20173282--0001100001.pdf”.
[468] Expediente digital: Consec. 255, “20173282--0001200001.pdf”.
[469] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, pág. 1.
[470] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 1 y 2.
[471] Compilatorio del Decreto 1377 de 2013.
[472] Expediente digital: Consec. 187, “RESPUESTA UNIFICADA REVISIÓN TUTELA EXPEDIENTE T -8 197 643.pdf”, págs. 1 y 2.
[473] “La Agencia Nacional Digital, mediante memorando del 17 de septiembre de 2021, solicitó al Instituto Nacional de Salud “informar los mecanismos o procesos seleccionados y dispuestos por la Entidad para realizar la transferencia de la información de CoronApp, en cumplimiento a lo establecido en el Memorando de Entendimiento y el Acuerdo de Transmisión de Datos personales suscrito”. A través de comunicación del 5 de octubre de 2021, el Instituto Nacional de Salud informó el sobre el contrato interadministrativo de cesión de derechos patrimoniales de autor de la aplicación CoronApp al Ministerio de Salud celebrado el 1 de octubre de 2021, por lo que, “sugirió consultar directamente al Ministerio, en su nueva calidad de responsable del tratamiento de la información recolectada en CoronApp Colombia, sobre la eliminación o devolución de los datos. En virtud de lo anterior, entre el Ministerio de Salud y Protección Social y la Agencia Nacional Digital, el pasado 20 de octubre de 2021, suscribieron el contrato interadministrativo No 720 de 2021 (…)”. Expediente digital: Consec. 297, “AND-EXT-0555 Expediente T-8.197.643.pdf”.
[474] “(…) cuyo objeto [fue] “Adquirir el derecho de uso de la nube pública requerido en el marco del desarrollo de los proyectos adelantados por la corporación agencia nacional de gobierno digital͟”. Expediente digital: Consec. 297, “AND-EXT-0555 Expediente T-8.197.643.pdf”, pág. 4.
[475] Expediente digital: Consec. 297, “AND-EXT-0555 Expediente T-8.197.643.pdf”, pág. 4.
[477] Numeral 5, artículo 17 del Decreto 4886 de 2011 “Por medio del cual se modifica la estructura de la Superintendencia de Industria y Comercio, se determinan las funciones de sus dependencias y se dictan otras disposiciones.”
[478] Respuesta al último requerimiento de la SIC al INS y AND. “RESPUESTA T-8.197.643- CORONAPP DATOS PERSONALES.pdf”, pág. 6.
[479] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, págs. 2 y 3.
[480] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 3.
[481] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 3.
[482] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 4.
[483] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 4.
[484] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 4.
[485] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 4.
[486] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 4.
[487] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 5.
[488] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 5.
[489] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 6.
[490] Expediente digital: Consec. 304, “Respuesta Corte Constitucional T-8.197.6 (2) (1).pdf”, pág. 6.
[491] Expediente digital: Consec. 310, “03-01-20220118000012341 Respuesta T-8197643 MR NR.pdf”, pág. 4.
[492] Expediente digital: Consec. 308, “Respuesta oficio OPTB-005-2022 - Tutelantes.pdf”, pág. 2.
[493] Expediente digital: Consec. 308, “Respuesta oficio OPTB-005-2022 - Tutelantes.pdf”, pág. 2.
[494] Expediente digital: Consec. 308, “Respuesta oficio OPTB-005-2022 - Tutelantes.pdf”, pág. 2.
[495] Expediente digital: Consec. 308, “Respuesta oficio OPTB-005-2022 - Tutelantes.pdf”, pág. 2.
[496] Expediente digital: Consec. 308, “Respuesta oficio OPTB-005-2022 - Tutelantes.pdf”, pág. 3.
[497] Expediente digital: Consec. 308, “Respuesta oficio OPTB-005-2022 - Tutelantes.pdf”, pág. 3.
[498] “AND-EXT-029 Expediente T-8.197.643 Acción de tutela interpuesta por Juanita Goebertus y otros – Corte Constitucional (1).pdf”, pág. 5.
[499] Expediente digital: Consec. 193, “Anexo 06 Memorando AND-EXT-0368-2021.pdf”.
[500] Expediente digital: Consec. 194, “Anexo 07 Memorando INS 2021004434.pdf”.
[501] Expediente digital: Consec. 300 “Anexo 3.pdf”.
[502] Expediente digital: Consec. 301 “Anexo 4.pdf”.
[503] Expediente digital: Consec. 178, “1.10. Camara de Comercio ADO - Octubre 2021(1).pdf”.