[Datos personales eliminados en virtud de la Ley 1581 de 2012]

Con el alcance previsto en el artículo 25 del Código Contencioso Administrativo, damos respuesta a su radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:

A continuación, nos permitimos suministrarle información relevante en relación con los interrogantes de su consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares

Primer interrogante

“(…) Qué medidas de seguridad (tecnología, procesos, etc)Áse (sic) recomienda para dar un óptimo cumpliento (sic) de protección de datos financierosÁde (sic) los clientes?”

Respuesta: Sea lo primero señalar que esta Oficina Asesora Jurídica dará respuesta a su interrogante dentro de nuestro ámbito de competencia en materia de protección de hábeas data, esto es, respecto de las entidades que no están sometidas a la vigilancia de la Superintendencia Financiera de Colombia.

Ahora bien, el literal f) del artículo 3 de la Ley 1266 de 2008 señala el principio de seguridad en los siguientes términos:

“f) Principio de seguridad. La información que conforma los registros individuales constitutivos de los bancos de datos a que se refiere la ley, así como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, pérdida, consulta o uso no autorizado;”

Al respecto, la Corte Constitucional mediante Sentencia C-1011 de 2008 señaló lo siguiente:

“El principio de seguridad impone que en la información personal contenida en bases de datos, así como en la resultante de las consultas que realicen los usuarios, se incorporen las medidas técnicas necesarias para garantizar la seguridad de los registros, a fin de evitar su adulteración, pérdida, consulta o uso no autorizado.”

En concordancia con lo anterior, el artículo 7 de la mencionada ley le impone a los operadores de información, el siguiente deber: “6. Conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.”

Así mismo, el artículo 11 de la precitada ley exige como requisito especial de funcionamiento a los operadores de información lo siguiente:

“3. Deberán contar con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.”

Por su parte, el artículo 9 de la precitada ley le impone el siguiente deber a los usuarios de la información “3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.”

En consecuencia, la información de los titulares de contenido crediticio, financiero, comercial, de servicios o la proveniente de terceros países que conforma los registros individuales constitutivos de los bancos de datos, así como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, pérdida, consulta o uso no autorizado.

Segundo interrogante

“Cuáles son las modalidades delictuales dirigidas a ingresar indebidamente a la infomación (sic) informáticaÁpersonal (sic) superando laÁcontraseña (sic) del mismo usuario para tal fin, Ácómo (sic) funcionan? ÁQué medios se valen?Á (sic)”

Respuesta: Esta Superintendencia no cuenta con la información de las modalidades delictuales para el acceso a la información de los titulares.

En todo caso, le sugerimos que enviar su solicitud a la Superintendencia Financiera de Colombia, con el fin de que dicha entidad le brinde la información al respecto.

Tercer interrogante

“En consideración que hay políticas revestidas de privacidad en cualquier empresa. ÁHasta (sic) donde es dable informar al cliente sobre las medidas de protección ejecutadas para asegurar su seguridad sobre los datos que bien tratamos?Á (sic)”

Respuesta: El artículo 7 de la Ley 1266 de 2008 señala los siguientes deberes para los operadores de información:

Deberes de los operadores de los bancos de datos. Sin perjuicio del cumplimiento de las demás disposiciones contenidas en la presente ley y otras que rijan su actividad, los operadores de los bancos de datos están obligados a:

  1. Garantizar, en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho de hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, y solicitar la actualización o corrección de datos, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos, conforme lo previsto en la presente
  2. Garantizar, que en la recolección, tratamiento y circulación de datos, se respetarán los demás derechos consagrados en la
  3. Permitir el acceso a la información únicamente a las personas que, de conformidad con lo previsto en esta ley, pueden tener acceso a
  1. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los
  2. Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular, cuando dicha autorización sea necesaria, conforme lo previsto en la presente
  3. Conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o
  4. Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes, en los términos de la presente
  5. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la información, en los términos señalados en la presente
  6. Indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma y no haya finalizado dicho trámite, en la forma en que se regula en la presente
  7. Circular la información a los usuarios dentro de los parámetros de la presente ley.
  8. Cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta en relación con el cumplimiento de la presente
  9. Los demás que se deriven de la Constitución o de la presente

Por su parte, el artículo 8 de la Ley 1266 de 2008 señala los siguientes deberes para las fuentes de información:

Deberes de las fuentes de la información. Las fuentes de la información deberán cumplir las siguientes obligaciones, sin perjuicio del cumplimiento de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

  1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y
  2. Reportar, de forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás

Medidas necesarias para que la información suministrada a este se mantenga actualizada.

  1. Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores.
  2. Diseñar e implementar mecanismos eficaces para reportar oportunamente la información al
  3. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente
  4. Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente
  5. Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente
  6. Informar al operador que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma, con el fin de que el operador incluya en el banco de datos una mención en ese sentido hasta que se haya finalizado dicho trámite.
  7. Cumplir con las instrucciones que imparta la autoridad de control en relación con el cumplimiento de la presente
  8. Los demás que se deriven de la Constitución o de la presente

Finalmente, el artículo 9 de la Ley 1266 de 2008 señala los siguientes deberes para los usuarios de información:

Artículo 9°. Deberes de los usuarios. Sin perjuicio del cumplimiento de las disposiciones contenidas en la presente ley y demás que rijan su actividad, los usuarios de la información deberán:

  1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada, en los términos de la presente
  1. Informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información.
  2. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento. 4. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la presente
  3. Los demás que se deriven de la Constitución o de la presente ley.

En conclusión, la Ley 1266 de 2008 no exige a los operadores, fuentes o usuarios de información comunicar a los titulares de información sobre las medidas de seguridad que cada uno de ellos implemente para evitar la adulteración, pérdida, consulta o uso no autorizado de la información financiera.