CIRCULAR 22 DE 2025

(julio 1)

<Fuente: Archivo interno entidad emisora>

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

En complemento al requisito de cargue de evidencias en la plataforma SECOP II, se recuerda que la Política de Seguridad y Privacidad de la Información del Ministerio/Fondo Único de TIC, indica que toda información clasificada o reservada debe almacenarse exclusivamente en los sistemas o repositorios institucionales de la entidad, los cuales cuentan con controles para salvaguardar su confidencialidad, integridad y disponibilidad. En consecuencia, los lineamientos vigentes exhortan evitar el cargue, transferencia o almacenamiento de este tipo de información en plataformas abiertas al público o en la plataforma SECOP II.

Esta restricción está respaldada por la Agencia de Colombia Compra Eficiente, que en el Concepto C-765 de 2024 aclara que, cuando un documento contractual contenga información sensible, clasificada o reservada, las entidades deben abstenerse de publicarla para proteger su reserva legal^[1]. Conforme al artículo 24 de la Ley 1437 de 2011, solo deben publicarse los documentos o apartes que no estén cubiertos por causales de reserva, y si la totalidad del documento está amparada por reserva, la entidad puede omitir su publicación.

Por lo tanto, los expedientes contractuales deben diferenciar claramente las piezas o anexos que contienen información reservada o clasificada, tales como anexos técnicos, entregables o requerimientos específicos de productos y servicios, los cuales no deben ser divulgados en SECOP ni en ningún sistema externo^[2], de manera que, aquellos documentos que sean públicos y contengan extractos de información clasificada o reservada deben ser sometidos a procedimientos de enmarcamiento o anonimización de datos con las herramientas implementadas en la entidad^[3].

A modo de información, se recuerda que estos lineamientos buscan atender lo previsto por la Ley 1712 de 2014 (Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional) y el Decreto 103 de 2015, en el sentido de identificar, publicar y resguardar las diferentes tipologías de información vigentes en la ley, a saber:

- Información pública: Toda información que se genere, obtenga, adquiera, transforme o controle en la entidad y sea considerada de interés público. Es la regla general.

- Información pública clasificada: Es aquella información que estando en poder o custodia de la entidad, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, es decir, que tenga potencial de afectar derechos de terceros, particularmente el derecho a la intimidad, el derecho a la vida, salud o seguridad, los secretos industriales, comerciales y profesionales, o el derecho al habeas data.

- Información pública reservada: Es aquella información que estando en poder o custodia de la entidad, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de ciertos requisitos consagrados en el artículo 19 de la Ley 1712 de 2014, de manera que su acceso podrá ser negado o excepcionado cuando afecte la defensa y seguridad nacional; la seguridad pública; las relaciones internacionales; se trate de investigación y persecución de los delitos y las faltas disciplinarias, mientras no exista medida de aseguramiento o se formule pliego de cargos; implique la administración efectiva de justicia; derechos de la infancia y la adolescencia; la estabilidad macroeconómica del país o la salud pública. Para este tipo de información, la ley exige que debe estar motivada, ser proporcional y tener un límite temporal razonable.

La regla general es la información pública, que debe ser de libre acceso, pero la ley contempla ciertas excepciones en cuanto a su divulgación, respecto a aquellos elementos que tienen potencial de generar daños a derechos o intereses de la nación.

A efectos de la Ley 1712 de 2014, se considera información todo conjunto organizado de datos que se encuentra contenido en cualquier documento generado, obtenido, adquirido, transformado o controlado por los sujetos obligados, sin importar su formato, soporte o medio de transmisión. Esto incluye no solo documentos en papel, sino también mensajes de datos, archivos electrónicos, bases de datos, registros audiovisuales, imágenes, correos electrónicos y cualquier otra categoría o formato en el que se gestione con ocasión de las competencias y atribuciones del servicio público en la entidad.

Así mismo, la responsabilidad de definir si un documento o información es clasificada o reservada recae en el jefe de la dependencia o área responsable de la generación, posesión, control o custodia de la información, o en su defecto, en un funcionario o empleado del nivel directivo que, por su conocimiento integral de la materia, pueda garantizar que la calificación sea razonable y proporcionada. Esta función debe ejercerse con base en normas constitucionales o legales expresas, debidamente motivada y sustentada, indicando el objetivo legítimo, el fundamento normativo y el daño específico que generaría la divulgación de la información. Lo anterior se encuentra fundamentado en el artículo 27 del Decreto 103 de 2015 y en los artículos 18, 19, 30 y 33 de la Ley 1712 de 2014^[4].

Dicho lo anterior, la información clasificada y reservada debe reposar exclusivamente en los sistemas institucionales del Ministerio y del Fondo Único de TIC, en cumplimiento de los lineamientos de seguridad y privacidad señalados en las Resoluciones 2238 y 2239 de 2024. Por tanto, se recuerda a todos los funcionarios, contratistas y colaboradores que deben alinearse con los principios constitucionales, la normativa vigente sobre transparencia y protección de datos, así como las directrices institucionales en seguridad de la información.

Cordialmente,

ÁNGELA JANETH CORTÉS HERNÁNDEZ

Oficial de Seguridad y Privacidad de la Información

Oficial de Protección de Datos Personales.

<NOTAS DE PIE DE PÁGINA>.

1. La Agencia de Colombia Compra en Concepto C-765 de 2024 recalca la importancia del resguardo de la información contractual en los siguientes términos:

«[...] cuando el documento contractual tenga información sensible, clasificada o reservada, para proteger la reserva de información, las autoridades deben abstenerse de publicar en el SECOP la información que tiene protección especial o está sometida a reserva. Sin embargo, de acuerdo con el segundo inciso del artículo 25 de la Ley 1437 de 2011 “La restricción por reserva legal no se extenderá a otras piezas del respectivo expediente o actuación que no estén cubiertas por ella”. Por ello, la Entidad Estatal puede dejar de publicar algún documento del proceso o aparte del mismo que contenga datos sensibles, clasificados o reservados, para no divulgarla, pero debe publicar los demás documentos o los apartados de estos, en caso de que estos no gocen de reserva. Lo anterior, sin perjuicio de que dependiendo de la información en específico todo el documento o expediente deba dejar de publicarse, por ampararse en su integridad en alguna causal de reserva, dada la conexión de su contenido con la información que el constituyente o el legislador decidió limitar en cuanto a su publicidad”».

2. El artículo 21 de la Ley 1712 de 2014 y el artículo 31 del Decreto 103 de 2015 señalan que se debe disponer de una versión pública con supresión de apartes protegidos, de manera que la información reservada o clasificada es susceptible de enmascaramiento.

3. El Manual de Lineamientos de Seguridad para la Protección y Tratamiento de Datos Personales (SPI-TICMA-002) señala que “[.] El enmascaramiento de datos es una técnica destinada a salvaguardar la confidencialidad y protección de los datos personales, de conformidad con establecido en la Ley 1581 de 2012, el Decreto 1377 de 2013 y la NTC ISO 27001:2022. El propósito de establecer técnicas de seudoanonimización o anonimización pretende limitar la exposición de datos personales, especialmente los catalogados como sensibles, de manera que se oculte la información personal, desligando la verdadera identidad de los Titulares de datos personales en bases de datos o archivos de la entidad”.

4. El artículo 27 del Decreto 103 de 2015 indica que La calificación de reservada de la información prevista en los literales a), b) y c) del artículo 19 de la Ley 1712 de 2014, corresponderá exclusivamente al jefe de la dependencia o área responsable de la generación, posesión, control o custodia de la información, o funcionario o empleado del nivel directivo que, por su completo e integral conocimiento de la información pública, pueda garantizar que la calificación sea razonable y proporcionada”. En cuanto a la información clasificada, se atiende al art. 25 de la misma norma, que señala que para definir si la información contiene datos semiprivados o privados, se aplicarán los conceptos de la Ley 1266 de 2008 y la Ley 1581 de 2012.