Facebooktwittergoogle_pluslinkedinmail

Concepto 2013105832-016 del 30 de abril de 2014

 

Síntesis: Si bien las entidades vigiladas deben suministrar a los consumidores financieros respuestas completas, claras, precisas y comprensibles, con ocasión de las quejas y reclamos presentados, y que contengan la aclaración o solución de lo reclamado, así como los fundamentos legales si a ello hubiere lugar, hay cierta información, que la entidad puede allegar como parte de la investigación adelantada que está sujeta a reserva comercial y que solo es de interés de cada institución, v. gr características técnicas u operativas de sus canales, informes de seguridad que develen componentes de seguridad de la entidad, etc., para el propósito de resolver las quejas que se presenten, frente a la cual tanto esta Superintendencia como la defensoría, deben guardar el deber de custodia propia de la información reservada y no suministrarla al consumidor financiero.

 

 

«(…) comunicación mediante la cual formuló una consulta relacionada con la presunta reserva que puede tener determinada información para los defensores del consumidor financiero, DCF, en el ejercicio de sus funciones, especialmente en cuanto a los reportes a bases de datos y a los informes de seguridad en caso de fraudes electrónicos.

 

Sobre el particular, se dará alcance a los interrogantes expuestos en el mismo orden planteado en su comunicación, advirtiendo que este concepto refleja la posición institucional de esta Superintendencia sobre los temas consultados:

 

  1. Reserva sobre información reportada a bases de datos.

 

Dado que según lo establecido en el artículo 15 de la Ley 1328 de 2009, los pronunciamientos de los DCF deben ser motivados, Usted pregunta ¿si un consumidor financiero acude a la defensoría y formula una queja para que se revise la actuación de la entidad financiera, relacionada con los reportes a los operadores de bases de datos, debe entenderse que está autorizando al defensor para conocer esos datos y así poder emitir un concepto?.

 

Para dar alcance a este interrogante se dividirá la respuesta en dos partes:

 

  • Normatividad en materia de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.-

 

  • Sea lo primero recordar que el objetivo perseguido por el legislador al expedir la Ley 1266 de 2008 fue fijar reglas especiales de protección en el campo de la “información financiera, crediticia, comercial, de servicios y la proveniente de terceros países”, la cual comprende aquellos datos referidos al nacimiento, ejecución y extinción de obligaciones dinerarias independientemente de la naturaleza del contrato que les dé origen. Con ese propósito, dicha normatividad consagró unos principios de administración de datos, reglas de circulación y de acceso a la información, derechos de los titulares de la información, así como deberes de las fuentes y usuarios de la misma y un trámite especial para atención de peticiones, consultas y reclamos, entre otros aspectos.

 

  • Dentro de los principios de administración de datos es pertinente destacar, para los efectos que nos ocupan en esta oportunidad, el de confidencialidad, de conformidad con el cual Todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan la naturaleza de públicos están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma”. (art. 4º).

 

En armonía con lo anterior, el Principio de Libertad consagrado en el artículo 4º de la Ley 1581 de 2012[1] dispone que “El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento”. (Se subraya).

 

  • Por su parte, el artículo 5º de la referida Ley 1266, relativo a la circulación de la información, menciona las personas a las que puede ser entregada o puesta a disposición la información personal recolectada o suministrada de conformidad con lo dispuesto en la ley a los operadores que hagan parte del banco de datos que administra, así:

 

  1. a) A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes mediante el procedimiento de consulta previsto en la presente ley.
  2. b) A los usuarios[2] de la información, dentro de los parámetros de la presente ley.
  3. c) A cualquier autoridad judicial, previa orden judicial.
  4. d) A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.
  5. e) A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.
  6. f) A otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos. Si el receptor de la información fuere un banco de datos extranjero, la entrega sin autorización del titular sólo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular.
  7. g) A otras personas autorizadas por la ley. (Se subraya )

 

  • Es claro entonces que los operadores de bancos de datos pueden suministrar la información personal que hayan recolectado únicamente a los titulares de la misma y a los terceros autorizados por el correspondiente titular, salvo que una disposición legal o una orden judicial exceptúen de contar con esa autorización. En otras palabras, el consentimiento del titular del dato personal, como lo resalta la Corte Constitucional en Sentencia C-1011 de 2008[3], constituye la regla general de toda modalidad de tratamiento de datos.

 

En cuanto a la forma de expresar dicho consentimiento, la normatividad referida es igualmente clara en establecer que debe ser “expresa”, lo cual descarta la posibilidad de que la autorización pueda entenderse implícita o inferirse de alguna actuación del titular. No sobra manifestar que la Ley 1266 de 2008 es una ley estatutaria (desarrolla el derecho fundamental al habeas data consagrado en el artículo 15 de la Constitución Nacional), lo que significa que es de carácter especial y jerárquicamente superior a otras leyes en las materias que le son propias y, por ende, de aplicación preferente[4].

 

  • La formulación de una queja por parte del consumidor financiero ante el DCF y la autorización del titular de los datos.-

 

Se consulta si el DCF de una entidad financiera puede legalmente conocer, por conducto de la fuente, el reporte que genera un operador de datos respecto de un consumidor financiero que ha presentado una queja ante aquel por temas relacionados con reportes a centrales de riesgos, a efectos de verificar lo afirmado por la entidad, pese a su calidad de “tercero” no “exceptuado por la ley” de manera expresa, preguntando si puede entenderse autorizado por el titular de la información para conocer sus datos personales (los del titular), con ocasión de la presentación de la queja.

 

Al respecto, procede recordar que los reportes que generan los operadores deben contener los datos señalados en el Decreto 1727 de 2009 y que los mismos muestran la historia crediticia de una persona durante un período determinado, esto es, obligaciones vigentes, extinguidas así como el estado de las mismas. En tal virtud, con la entrega del reporte, el defensor del consumidor financiero está conociendo no solo la información relacionada con los productos que el titular tiene con la entidad financiera a la cual presta sus servicios (sobre la cual recae el reclamo) sino la de todos los demás sectores (financiero y real).

 

En ese orden de ideas, teniendo en cuenta la especialidad y jerarquía de la normatividad que regula el habeas data, expuesta en el punto anterior, se considera que la institución vigilada en su condición de fuente y usuario debe abstenerse de suministrar al DCF el reporte de las centrales de información; y para que la pueda obtener de un operador de datos, requiere contar con la autorización expresa del titular de la misma, pues la sola presentación de la queja no lo habilita implícitamente para acceder a ella, según se expuso.

 

En otras palabras, para conocer el reporte en los casos que se requieran para la atención de la queja, según la función consagrada en el artículo 13 de la Ley 1328 de 2009 [Conocer y resolver en forma objetiva y gratuita para los consumidores, las quejas que éstos le presenten, dentro de los términos y el procedimiento que se establezca para tal fin, relativas a un posible incumplimiento de la entidad vigilada de las normas legales, contractuales o procedimientos internos que rigen la ejecución de los servicios o productos que ofrecen o prestan, o respecto de la calidad de los mismos”], el DCF deberá contar con el consentimiento expreso del peticionario en su calidad de titular de la información. De hecho, esa autorización expresa puede formar parte de los elementos de este tipo de trámites, en todas las defensorías del consumidor financiero, para claridad por parte del propio consumidor financiero solicitante de los servicios.

 

En este orden de ideas, resulta claro que el Defensor del Consumidor Financiero puede ostentar la condición de “usuario” de estas bases de datos, y precisamente por ello su uso debe estar sujeto a las directrices legales que sobre dicha especialísima materia rigen, anotadas en precedencia, como lo es el hecho de que medie autorización del titular. Todo usuario de esta información, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos.

 

Para finalizar, se puntualiza, no se entiende otorgada la autorización por el solo hecho de conocer, en su condición de Defensor, una queja por parte del titular, toda vez que el Defensor no está dentro de las excepciones que contempla la ley para acceder a la información personal de los consumidores financieros, administrada por los operadores de bancos de datos o fuentes distintas a las que lo designaron, por ende, para verificar el estado de la información a través de los reportes y de esta manera emitir su opinión, deberá contar con autorización expresa del titular, lo que pude incluirse como parte de la atención de los trámites.

 

  1. Fraude electrónico. Reserva de los Informes de seguridad.

 

Expone Usted que en casos relacionados con posibles fraudes, en virtud de la teoría del riesgo creado e inversión de la carga de la prueba, la DCF, en desarrollo de su función de resolver las quejas, solicita pruebas a la vigilada a fin de verificar si el fraude, motivo del reclamo, ocurrió por hechos imputables al consumidor financiero o no; cuando estas pruebas no se allegan, los conceptos que emite el defensor son “a favor del consumidor financiero”, siguiendo entre otros el precepto del artículo 4° de la Ley 1480 de 2011 que establece que en caso de duda se debe resolver a favor del consumidor.

 

En ese contexto, argumenta, las entidades envían a la DCF el Informe de Seguridad con la investigación y resultados, advirtiendo que NO se compartan con los consumidores financieros reclamantes pues la vigilada solo suministrará tal información a las autoridades competentes, posición con la que difiere por cuanto, a su juicio, el reclamante tiene derecho a conocer y analizar esta información para poder iniciar las acciones convenientes en orden a recuperar los recursos objeto de la queja.

 

Sobre el punto se solicita el concepto de esta Superintendencia especialmente respecto de la posibilidad de que los consumidores financieros conozcan los informes de seguridad remitidos por las entidades vigiladas dentro de las investigaciones adelantadas sobre posibles fraudes y que tienen origen en las quejas presentadas por aquellos usuarios ante el Defensor del Consumidor Financiero, de tal manera que éste pueda proporcionarles una copia de los mismos.

 

Para dar alcance procede contextualizar el análisis de la oponibilidad de la reserva de cierta información a los consumidores financieros poniendo de presente la existencia, de una parte, de la reserva de los libros y papeles del comerciante, consagrada en el artículo 61[5] del Código de Comercio, y de otra, el derecho de información de los consumidores financieros sobre los productos adquiridos con las entidades vigiladas por esta Superintendencia, en desarrollo del cual pueden acceder a datos referentes, por ejemplo, a los movimientos de su cuenta de depósito, precisamente porque son titulares de tales recursos. Veamos:

 

  • Reserva comercial de los libros y papeles del comerciante.

 

En primer término, si bien las entidades vigiladas deben suministrar a los consumidores financieros respuestas completas, claras, precisas y comprensibles, con ocasión de las quejas y reclamos presentados, y que contengan la aclaración o solución de lo reclamado, así como los fundamentos legales si a ello hubiere lugar, hay cierta información, que la entidad puede allegar como parte de la investigación adelantada que está sujeta a reserva comercial y que solo es de interés de cada institución, v. gr características técnicas u operativas de sus canales, informes de seguridad que develen componentes de seguridad de la entidad, etc., para el propósito de resolver las quejas que se presenten, frente a la cual tanto esta Superintendencia como la defensoría, deben guardar el deber de custodia propia de la información reservada y no suministrarla al consumidor financiero. Al respecto, conviene señalar apartes del concepto 2007047867-004 del 25 de octubre de 2007, emitido por esta Superintendencia:

 

“(…)

Ahora bien, aparejado al derecho de información antes mencionado, los clientes de las entidades vigiladas tienen igualmente derecho al “secreto bancario”, esto es, a que la institución contratante guarde reserva sobre toda aquella información relacionada con las operaciones que realice el cliente, así como la referente a la intimidad del mismo y que conozcan con ocasión de su vinculación contractual, garantía que guarda íntima conexión con el deber del secreto profesional y con el derecho a la intimidad, ambos de rango constitucional, siendo las únicas excepciones las señaladas en el inciso final del artículo 15 del ordenamiento superior, conforme al cual la reserva bancaria no opera en los casos y para efectos tributarios o judiciales y de inspección, vigilancia e intervención del Estado.

Valga aquí, entonces, recordar que la reserva bancaria es una “… de las garantías más valiosas que tienen los clientes que depositan en las entidades financieras, a título de secreto, parte o toda su intimidad económica” , de ahí que la misma se define como “(…) el deber que tienen los funcionarios de las entidades financieras y aseguradoras de guardar reserva y discreción sobre los datos de sus clientes o sobre aquellos relacionados con la situación propia de la compañía, que conozcan en desarrollo de su profesión u oficio” .

 

Visto lo anterior, se puede inferir que existe información que no se encuentra sujeta a la mencionada reserva y, por ende, puede ser suministrada por la vigilada a su cliente e incluso a terceros. En ese sentido, resulta oportuno traer a colación algunos apartes de la Sentencia T-440 del 29 de mayo de 2003, Magistrado Ponente Dr. Manuel José Cepeda Espinosa, Expediente T-697881, mediante la cual la Corte Constitucional hace referencia al derecho a la intimidad y a los datos financieros que no forman parte del conjunto de los que con éste se amparan, donde se manifestó:

 

“(…) no forman parte del conjunto de datos amparados por el derecho a la intimidad los que (i) hagan parte de la información general y no comprendan datos personalizados del cliente, (ii) puedan ser obtenidas en otras fuentes de información accesibles al público, (iii) no se refieran a la vida privada ni a las operaciones que el usuario realiza con el banco que indiquen su perfil de gustos y preferencias, o, (iv) cuya circulación haya sido autorizada por el particular o por la ley dentro del respeto a la Carta. Además, (v) la Corte ha dicho que, en ciertas condiciones, los bancos pueden informar a centrales de riesgo crediticio cuál ha sido el comportamiento de sus clientes en tanto deudores, siempre que dicha información sea verídica, completa y actualizada”.  

 

  • Derecho de información de los consumidores financieros sobre los productos adquiridos.

 

De manera puntual sobre la viabilidad de que un cliente de una entidad vigilada, titular de una cuenta bancaria objeto de traslados de fondos a cuentas desconocidas, pueda disponer de registros del banco sobre detalles de dicha operación fraudulenta o si la revelación de dichos datos constituiría violación a la reserva bancaria se reitera lo expuesto en el concepto 2007047867-004 del 25 de octubre de 2007 por la Dirección Jurídica de esta Entidad en el sentido de que al ‘… cuentahabiente de una entidad bancaria le asiste un interés jurídico para conocer datos referentes a los movimientos de su cuenta, que le permitan establecer con certeza, entre otros aspectos, el monto, fecha de la operación y destinos de los recursos retirados de la misma, existiendo el correlativo deber de la entidad depositaria de suministrar dicha información, sin que ello conlleve incumplir la obligación de reserva bancaria que debe guardar respecto de otros clientes titulares de cuentas receptoras de dineros transferidos’ ”.

 

  • Caso concreto, reserva de informes de seguridad.-

 

Ya en el contexto de la consulta, esta Superintendencia estima que los anteriores derechos (2.1. y 2.2.) y las obligaciones correlativas de respeto a los mismos deben conciliarse, de tal suerte que un consumidor financiero pueda tener a acceso a información sobre el producto del que es titular y sobre la cual, por tanto, tiene interés jurídico en conocer, sin que ello conlleve o implique el acceso a información de propiedad e interés exclusivo de la entidad vigilada y que, en razón de su calidad de comerciante tiene la calidad de reservada.

 

Es así como, en el evento de presentarse un ilícito sobre los recursos depositados en una cuenta bancaria, entendemos que el interés jurídico que se reconoce al consumidor financiero, víctima de tal conducta, no recae sobre información contable, financiera o de carácter técnico, secreto industrial o cualquier otra que esté relacionada con las características técnicas u operativas de los canales, componentes de seguridad, etc. de la entidad vigilada, pues su interés en estos casos estaría orientado a la información que se refiera exclusivamente al hecho investigado, así como a los elementos probatorios que dan cuenta del ilícito y de la destinación final de los recursos desviados o sustraídos, permitiéndole contar con mayor sustento para ejercer las acciones a que haya lugar ante las autoridades competentes en aras de la defensa de sus intereses.

 

Así las cosas, se considera que corresponde a las entidades vigiladas evaluar si en los informes de seguridad hay datos sobre aspectos técnicos respecto de sus sistemas de seguridad que no pueden ser revelados a terceros, lo cual no obsta para que la información de interés del usuario financiero pueda ser puesta a su disposición.

 

En los casos relacionados con fraudes en donde, según se señala, la entidad vigilada impone al DFC la carga de no entregar a los clientes reclamantes el informe de seguridad con los resultados de la investigación, procede poner de presente lo expuesto en el concepto 2007047867-004 mencionado.

 

 

(…).»

[1] “Por la cual se dictan disposiciones generales en materia de protección de datos personales”; esta ley dispone en su artículo 2º que los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las regidas por la Ley 1266 de 2008.

 

[2] Según el art. 3º lit. d) “El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos”.

 

[3] En la que efectuó el análisis de constitucionalidad de la Ley 1266 de 2008.

 

[4] “Dentro del sistema normativo colombiano se reconocen por su jerarquía y especialidad a las leyes estatutarias, supeditadas en su aprobación y examen constitucional a particulares y exigentes requisitos. El artículo 152 de la Constitución establece que los derechos y deberes fundamentales como los procedimientos y recursos para su protección deben regularse por este tipo de leyes, y a renglón seguido el artículo 153 determina que la aprobación, modificación o derogación de las leyes estatutarias, requerirá la mayoría absoluta de los miembros del Congreso y deberá efectuarse dentro de una sola legislatura” Corte Constitucional, Sentencia C-540/12.

 

[5] “Artículo 61: Los libros y papeles del comerciante no podrán examinarse por personas distintas de sus propietarios o personas autorizadas para ello, sino para los fines indicados en la Constitucional Nacional y mediante orden de autoridad competente.

Lo dispuesto en este artículo no restringirá el derecho de inspección que confiere la ley a los asociados sobre libros y papeles de las compañías comerciales, ni el que corresponde a quienes cumplan funciones de vigilancia o auditoría en las mismas”.