Facebooktwittergoogle_pluslinkedinmail

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su consulta radicada en esta Oficina con el número señalado en el asunto, en los siguientes términos.

  1. Consulta

El peticionario formula la siguiente consulta:

“(…) En Colombia ningún empresario puede reportar a un deudor ante una central de riesgo, sin informarle con una antelación no inferior a veinte (20) días su intención de reportarlo, pues estaría violando la ley de habeas data. (…)

¿Si el deudor está totalmente ilocalizado no se puede reportar? Entendiendo que se agotó todos los recursos, envío de Cartas a la dirección de residencia, correo electrónico, llamada a los números telefónicos fijos y celulares e información previa a los codeudores si existen. (…)

Si los codeudores están en las mismas condiciones del deudor principal (Ilocalizados).

(…)

Es decir solo (sic) se puede reportar si el deudor o codeudor tiene conocimiento previo, pero debemos contar con un soporte que está en su conocimiento dicho reporte? (…)”

2.      Materia objeto de la consulta

La Superintendencia de Industria y Comercio, según lo disponen los numerales 60 y 61 del artículo 1 del Decreto 4886 de 2011, a través del cual se modificó la estructura de la Entidad, en materia de habeas data, tiene entre otras las siguientes facultades:

  • Vigilar a los operadores, fuentes y usuarios de información financiera, crediticia, comercial y de servicios, incluso la proveniente de terceros países, en relación con la actividad de administración de datos personales de acuerdo con la Ley 1266 de 2008.
  • Impartir instrucciones en materia de administración de datos personales, fijar criterios que faciliten el cumplimiento de las normas que regulan la materia y señalar los procedimientos para su cabal aplicación.

Nos permitimos advertirle que en virtud del principio y garantía constitucional del debido proceso consagrado en el artículo 29 de la Constitución Política, no nos es posible resolver a través de conceptos situaciones particulares.

Sin embargo, dentro del ámbito de las referidas competencias, a continuación le brindamos información sobre el derecho de habeas data, el trámite para el reporte de incumplimiento de obligaciones, la consulta en los bancos de datos y la forma de presentar reclamaciones.

  • El derecho al habeas

El artículo 15 de la Constitución Política consagra los derechos a la intimidad, al buen nombre y a la protección de datos personales o habeas data en los siguientes términos:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. (…)” 1

Dicho derecho ha sido desarrollado principalmente en las leyes 1266 de 2008 – Habeas data- y 1581 de 2012 –Protección de datos personales-.

Al respecto la Corte Constitucional ha considerado que la Ley 1266 de 2008 regula el hábeas data financiero, el cual ha sido definido así:

“el derecho que tiene todo individuo a conocer, actualizar y rectificar su información personal comercial, crediticia y financiera, contenida en centrales de información pública o privada, que tiene como función recopilar, tratar y circular esos datos con el fin de determinar el nivel de riesgo financiero” 2

Por otra parte, el habeas data genérico ha sido definido como:

“el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan escogido sobre ellas en archivos y bancos de datos de naturaleza pública y privada” 3

Así mismo, la Corte Constitucional ha considerado que el núcleo esencial de dicho derecho está conformado así:

“De esta manera, el núcleo esencial del derecho de habeas data está integrado por el derecho a la libertad y a la autodeterminación informática en general, y por la libertad económica en particular, pues, como lo ha establecido la Corte, ella podría verse vulnerada al restringirse indebidamente en virtud de la circulación de datos que no sean veraces, o que no haya sido autorizada por la persona concernida o por la ley.

“La autodeterminación es la posibilidad de que dispone una persona para permitir que sus datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales. (…)”. 4

Para analizar de manera adecuada las normas de habeas data se debe tener en consideración las definiciones contenidas en el artículo 3 de la Ley 1266 de 2008, entre ellas se encuentran:

2 Corte Constitucional, Sentencia C-1011 del 16 de octubre de 2008. Magistrado Ponente: Jaime Córdoba Triviño.1 Artículo 15 Constitución Política de Colombia

3 Ibídem

4 Corte Constitucional, Sentencia T-060 de 2003, Magistrado Ponente: Eduardo Montealegre Lynnet

  • Titular de la información: “Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley;”

5

  • Fuente de información: “Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario Si la fuente entrega la información directamente a los usuarios y no, a través de un operador, aquella tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos. La fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos;” 6
  • Operador de información: “Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente Por tanto el operador, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente;” 7

Así mismo, el artículo 3 de la Ley 1266 de 2008 define las diferentes clases de datos:

  • Dato personal: “Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados;” 8

5  Literal a artículo 3 Ley 1266 de 2008

6  Literal b artículo 3 Ley 1266 de 2008

7  Literal c artículo 3 Ley 1266 de 2008

8  Literal c artículo 3 Ley 1266 de 2008

  • Dato público: “Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;” 9
  • Dato semiprivado: “Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.” 10
  • Dato privado: “Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.” 11

En relación con las clases de datos la Corte Constitucional consideró:

“En contrario, los datos semiprivados y privados, habida cuenta la naturaleza de la información que contienen, se les adscriben restricciones progresivas en su legítima posibilidad de divulgación, que se aumentan en tanto más se acerquen a las prerrogativas propias del derecho a la intimidad. De esta forma, el dato financiero, comercial y crediticio, si bien no es público ni tampoco íntimo, puede ser accedido legítimamente previa orden judicial o administrativa o a través de procedimientos de gestión de datos personales, en todo caso respetuosos de los derechos fundamentales interferidos por esos procesos, especialmente el derecho al hábeas data financiero.

En este escenario, como lo ha reconocido esta Corporación en oportunidades anteriores, el acceso a la información es un acto compatible por la Constitución, amén de la necesidad de ponderar el ejercicio del derecho al hábeas data del titular de la información semiprivada, para el caso objeto de análisis de contenido comercial y crediticio, y la protección del derecho a la información que tiene los sujetos que concurren al mercado económico y que, por ende, están interesados en obtener datos que les permitan determinar el nivel de riesgo crediticio de los sujetos concernidos. Precisamente, el objeto general del Proyecto de Ley es establecer las reglas que permitan que la utilización de esa información semiprivada resulte respetuosa de los derechos

10  Literal g artículo 3 Ley 1266 de 20089 Literal f artículo 3 Ley 1266 de 2008.

11  Literal h artículo 3 Ley 1266 de 2008

y libertades predicables de los procesos de recolección, tratamiento y circulación de datos personales.” 12

2.2   Comunicación previa a reporte sobre incumplimiento de obligaciones.

En atención a su pregunta le informamos que, sin importar en que calidad actúa el titular de la información a ser reportada dentro de la relación contractual que dio lugar a la obligación incumplida que será reportada, se debe surtir el trámite previsto en la ley, el cual se analiza a continuación.

El artículo 12 de la Ley 1266 de 2008 fija los requisitos que deben cumplir las fuentes para reportar sobre el incumplimiento de obligaciones:

“Requisitos especiales para fuentes. Las fuentes deberán actualizar mensualmente la información suministrada al operador, sin perjuicio de lo dispuesto en el Título III de la presente ley.

El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.

En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) días calendario siguientes a la fecha de envío de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y esta aún no haya sido resuelta.” 13

En relación con esta norma la Corte Constitucional consideró:

12 Corte Constitucional, Sentencia C-1011 del 16 de octubre de 2008, Magistrado ponente: Jaime Córdoba Triviño.

13 Artículo 12 Ley 1266 de 2008

“(…) El procedimiento previsto para la inclusión de información financiera negativa, del mismo modo, se muestra como una herramienta adecuada para que el titular de la información pueda ejercer las competencias de actualización y rectificación del dato. En este caso, la lógica adoptada por el legislador estatutario fue establecer una instancia a favor del sujeto concernido, con el fin que previamente al envío del reporte pueda, bien pagar la suma adeudada y, en consecuencia, enervar la transferencia de la información sobre incumplimiento, o poner de presente a la fuente los motivos de la inconformidad respecto de la mora, a fin que la incorporación del reporte incluya esos motivos de inconformidad. La previsión de trámites de esta naturaleza, que facilitan la preservación de la veracidad y actualidad del reporte, no son incompatibles con la Constitución.

Empero, debe la Corte acotar que esta instancia de control del dato por parte del titular de la información resulta predicable, no solo de los casos en que pueda acreditarse la ausencia de mora en el pago de la deuda, sino también en aquellos eventos en que lo que se pone en cuestión es la inexistencia de la obligación que da lugar al reporte sobre incumplimiento o la concurrencia de cualquier otro fenómeno extintivo de la misma. En ese sentido, para la Sala es claro que lo dispuesto en el inciso segundo del artículo 12 del Proyecto de Ley es apenas un listado enunciativo, en ningún caso una fórmula taxativa, de las distintas causas que puede alegar el titular de la información para oponerse la incorporación del dato sobre incumplimiento en el archivo o banco de datos correspondiente. (…)” 14

De acuerdo con dicha norma, cuando una fuente pretenda efectuar un reporte de nformación negativa en relación con el incumplimiento de obligaciones debe seguir las siguientes reglas:

  • Previo al reporte debe enviar una comunicación al titular de la información, la cual se puede incluir en los extractos que periódicamente se envían al
  • Durante los 20 días posteriores al envío de dicha comunicación el titular de la información puede demostrar el pago, pagar o controvertir aspectos de la obligación.
  • Una vez trascurrido el término de 20 días desde el envío de la comunicación podrá realizarse el reporte, sin embargo, en caso de que se haya presentado solicitud de rectificación o actualización que esté pendiente de ser resuelta, se debe indicar que la información está en discusión.

14 Corte Constitucional, Sentencia C-1011 del 16 de octubre de 2008. Magistrado Ponente: Jaime Córdoba Triviño

Específicamente en relación con su consulta, pese a que luego del envío de la comunicación a la última dirección conocida del titular de los datos este último no contacte a la fuente, el requisito de comunicación previa se entenderá cumplido con la remisión de la comunicación y una vez que trascurra el plazo de 20 días.

Al respecto la Corte Constitucional consideró:

“(…) La facultad conferida a la fuente de reportar la información financiera negativa luego de cumplido un término de veinte días calendario resulta, a juicio de la Corte, razonable. En efecto, el objetivo de la previsión es permitir que luego de notificársele la existencia de información negativa y la intención de ser reportado, sin que el titular de la información manifieste su desacuerdo, la fuente, quien actúa en condición de acreedor de la obligación correspondiente, pueda transmitir el dato negativo al operador. Al respecto, debe enfatizarse que, en los términos planteados por la norma estatutaria y determinados en esta decisión, para que dicho reporte resulte procedente, se debió contar con la autorización previa, expresa y suficiente del sujeto concernido, conforme a lo previsto en el numeral 5º del artículo 8º del Proyecto de Ley. (…)” 15