Facebooktwittergoogle_pluslinkedinmail

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su comunicación radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:

A continuación, nos permitimos suministrarle información relevante en relación con los interrogantes de su consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

Primer interrogante

“¿Para llevar a cabo un reporte, la Fuente debe estar afiliada a un operador?”

Respuesta: La Ley 1266 de 2008 de Habeas Data en su artículo 3 consagra las siguientes definiciones:

\”a) Titular de la información. Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley;

  1. Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. (…)
  2. Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. (…)
  1. g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.\”

En consecuencia, debe existir un vinculo contractual entre fuente y operador de información con el fin de realizar un reporte negativo o posititivo de un titular de la información.

Segundo interrogante

“Cuáles son los documentos que debe aportar la Fuente al Operador para su afiliacion?”

Respuesta: En virtud de las atribuciones conferidas en el Decreto 4886 de 2011, la Superintendencia de Industria y Comercio está facultada para la protección de datos personales así:

  1. Vigilar a los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países de la misma naturaleza, en cuanto se refiere a la actividad de administración de datos personales, en los términos de la ley 1266 de 2008, sin perjuicio de la competencia de la Superintendencia
  2. Impartir instrucciones en materia de protección al consumidor, protección de la competencia, propiedad industrial, administración de datos personales y en las demás áreas propias de sus funciones, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación.

Por su parte, el artículo 17 de la Ley 1266 de 2008, señala las siguientes facultades a esta Superintendencia:

“(…) Para el ejercicio de la función de vigilancia a que se refiere el presente artículo, la Superintendencia de Industria y Comercio y la Superintendencia Financiera de Colombia, según el caso, tendrán en adición a las propias las siguientes facultades:

  1. Impartir instrucciones y órdenes sobre la manera como deben cumplirse las disposiciones de la presente ley relacionadas con la administración de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países fijar los criterios que faciliten su cumplimiento y señalar procedimientos para su cabal aplicación.
  2. Velar por el cumplimiento de las disposiciones de la presente ley, de las normas que la reglamenten y de las instrucciones impartidas por la respectiva Superintendencia.
  3. Velar porque los operadores y fuentes cuenten con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente
  4. Ordenar a cargo del operador, la fuente o usuario la realización de auditorías externas de sistemas para verificar el cumplimiento de las disposiciones de la presente
  5. Ordenar de oficio o a petición de parte la corrección, actualización o retiro de datos personales cuando ello sea procedente, conforme con lo establecido en la presente ley. Cuando sea a petición de parte, se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o fue atendido desfavorablemente.
  6. Iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, con el fin de establecer si existe responsabilidad administrativa derivada del incumplimiento de las disposiciones de la presente ley o de las órdenes o instrucciones impartidas por el organismo de vigilancia respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten

Así las cosas, y con base en el ámbito de competencias de la Superintendencia de Industria y Comercio en materia de protección del derecho de hábeas data y como quiera que los hechos materia de consulta no se relacionan con la protección a titulares de la información de conformidad con la Ley de Habeas Data, sino a asuntos contractuales, el caso no encajaría dentro de nuestras facultades y, por ello, no nos es posible emitir ningún concepto al respecto.

Tercer interrogante

“Quien (sic) debe suscribir la peticion de afiliacion?”

Respuesta: Nos remitimos a la respuesta anterior.

Cuarto interrogante

La fuente debe contar con la autorización del Titular, otorgada en los términos que establece la Ley de Habeas (sic) Data, para proceder al reporte de los datos de ese titular a un operador?”

Respuesta: Sea lo primero señalar que el artículo 15 de la Constitución Política, establece:

\”Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

Respecto de la disposición transcrita la Corte Constitucional, en Sentencia T-060 de 2003, Magistrado Ponente, Doctor Eduardo Montealegre Lynnet, señaló:

“El derecho de habeas data, definido por el artículo 15 de la Carta, consiste en la facultad que tiene cada persona para conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. La ubicación de la precitada norma en el Capítulo Primero del Libro Segundo de la Carta, correspondiente a los “derechos fundamentales”, no deja duda acerca de la categoría de tal

Reconocida al derecho en referencia. Respecto de su protección, el constituyente indicó adicionalmente que en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

“De esta manera, el núcleo esencial del derecho de habeas data está integrado por el derecho a la libertad y a la autodeterminación informática en general, y por la libertad económica en particular, pues, como lo ha establecido la Corte, ella podría verse vulnerada al restringirse indebidamente en virtud de la circulación de datos que no sean veraces, o que no haya sido autorizada por la persona concernida o por la ley.

“La autodeterminación es la posibilidad de que dispone una persona para permitir que sus datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales. (…)”.

De igual modo la honorable Corte Constitucional en Sentencia C-981 de 2000, magistrado ponente Dra. Clara Inés Vargas Hernández, consideró que  “hace parte del habeas data la previa autorización expresa y voluntaria que debe dar el interesado para que un tercero pueda disponer de su información personal, asistiéndole el derecho no solamente a autorizar su circulación sino a rectificarlos o actualizarlos”.

Como se advierte, el artículo 15 de la Constitución Política establece que las personas, en desarrollo de su derecho a la autodeterminación informática y el principio de libertad, son quienes de forma expresa autorizan que la información que sobre ellos se recaude o circule pueda ser incluida en un banco de datos.

La ausencia de dicha autorización implica necesariamente que los datos personales asociados al titular no podrán ser reportados por la fuente a un operador de información.

Así mismo, la Corte Constitucional, mediante Sentencia C-1011 de 2008, la cual efectuó el proceso de revisión del proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) \”Por la cual se dictan disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países\”, en unos de sus apartes, señaló:

“En contrario, los datos semiprivados y privados, habida cuenta la naturaleza de la información que contienen, se les adscriben restricciones progresivas en

Su legítima posibilidad de divulgación, que se aumentan en tanto más se acerquen a las prerrogativas propias del derecho a la intimidad. (1) De esta forma, el dato financiero, comercial y crediticio, si bien no es público ni tampoco íntimo, puede ser accedido legítimamente previa orden judicial o administrativa o a través de procedimientos de gestión de datos personales, en todo caso respetuosos de los derechos fundamentales interferidos por esos procesos, especialmente el derecho al hábeas data financiero.

\”En este escenario, como lo ha reconocido esta Corporación en oportunidades anteriores, el acceso a la información es un acto compatible por la Constitución, amén de la necesidad de ponderar el ejercicio del  derecho al hábeas data del titular de la información semiprivada, para el caso objeto de análisis de contenido comercial y crediticio, y la protección del derecho a la información que tiene los sujetos que concurren al mercado económico y que, por ende, están interesados en obtener datos que les permitan determinar el nivel de riesgo crediticio de los sujetos concernidos. precisamente, el objeto general del Proyecto de Ley es establecer las reglas que permitan que la utilización de esa información semiprivada resulte respetuosa de los derechos y libertades predicables de los procesos de recolección, tratamiento y circulación de datos personales.\”

En tal virtud, al tratarse de la categoría de \”datos semiprivados\” para efectos de accesar a dicha información, se debe respetar los derechos fundamentales en todas las etapas de recolección, tratamiento y circulacion de la los datos personales.

Ahora bien, el artículo 8 de la Ley 1266 de 2008, establece, entre otros, el siguiente deber para las fuentes de información así:

  1. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley. (…)

En concordancia con lo anterior, el numeral 1.3.3., del Capítulo primero, del Título V de la Circular Única de esta entidad, dispone lo siguiente:

1.3.3. Deber de solicitar y conservar copia de la respectiva autorización otorgada por los titulares de la información y de asegurarse de no entregar a los operadores ningún dato cuyo suministro no esté previamente autorizado

Con el fin de dar cumplimiento a lo establecido en el numeral 5 del artículo 8 de la Ley 1266 de 2008, las fuentes de información deben garantizar que todo reporte de información positiva o negativa que repose en la base de datos de un operador de información, sin excepción alguna, cuente con la autorización otorgada por su titular. Dicha autorización debe cumplir con los siguientes requisitos:

  1. Ser expresa, es decir, contener la manifestación de una voluntad libre, específica e inequívoca que le permita a la fuente recopilar, disponer o divulgar la información crediticia del titular.
  2. Ser previa, esto es, otorgada con antelación al reporte de la información. La autorización previa y expresa a la que hace referencia el numeral 5 del artículo 8 de la Ley 1266 de 2008 puede ser otorgada de manera verbal o mediante documento físico o electrónico, siempre que cumpla con los siguientes requisitos:
  • Que la fuente de la información identifique plenamente al titular en el momento en que se otorgue dicha autorización.
  • Que el titular exprese su voluntad de manera previa, libre, espontánea, específica e inequívoca en el sentido de autorizar a la fuente para recopilar, usar o divulgar su información.
  • Que se informe plenamente al titular acerca de la finalidad para la cual está otorgando la autorización.
  • En caso de que la autorización se otorgue por medios electrónicos, que la misma se ajuste a las previsiones contempladas en la Ley 527 de 1999 y demás normas
  • Que se conserve copia de la misma. En los casos en que la autorización se obtenga por vía telefónica, se deberá guardarse la respectiva grabación.

Cualquier dato positivo o negativo que repose en la base de datos de un operador de información sin contar con la autorización otorgada por su titular, debe ser eliminado de manera inmediata, una vez se advierta la ausencia de la misma como consecuencia de la solicitud del titular, surtida a través del respectivo reclamo.

En los casos de enajenación de obligaciones, la autorización previa y expresa otorgada por el titular de la información a la entidad originadora de la obligación, se considera válida para efectos de realizar los reportes de información negativa y/o positiva ante los operadores, sin perjuicio del deber de la fuente de acreditar tal enajenación.

Por lo anterior, las fuentes de información deben garantizar que para el reporte negativo o positivo de la información se cuente con la autorización expresa y previa al reporte por parte del titular, y haberle informado la finalidad para la cual se está otorgando dicha autorización.

Quinto interrogante

“A que (sic) sanción se expone la fuente que reporte datos sin autorización del Titular y el operador que los acepta?”

Respuesta: El artículo 18 de la ley 1266 de 2008, dispone lo siguiente frente al incumplimiento de las fuentes y operadores de información de las normas contenidas en la mencionada ley:

“Sanciones. La Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones:

Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción, por violación a la presente ley, normas que la reglamenten, así como por la inobservancia de las órdenes e instrucciones impartidas por dicha Superintendencia. Las multas aquí previstas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la presente ley, así como por la inobservancia de las órdenes e instrucciones impartidas por las Superintendencias mencionadas para corregir tales violaciones.

Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logística, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión. Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.”

Por lo anterior, ante el incumplimiento de las normas sobre hábeas data por parte de las fuentes y operadores de la información, la Superintendencia de Industria y Comercio podrá aplicar las siguientes sanciones: (i) multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción, (ii) Suspensión de las actividades del banco de datos, hasta por un término de seis

(6) meses, (iii) Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logística, y sus normas y procedimientos a los requisitos de Ley 1266 de 2008 (iv) Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.