Superintendencia de Industria y Comercio  CONCEPTO  13-228438- -00001-0000

Respetado(a) Señor (a):

[Datos personales eliminados en virtud de la Ley 1581 de 2012]

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su consulta radicada en esta Entidad con el número señalado en el asunto, en los siguientes términos.

1. ObjetodelaConsulta

Manifiesta en su escrito lo siguiente: \”(…) El artículo 12 de la Ley 1266 de 2008 establece que la comunicación previa se puede incluir en los extractos periódicos que las fuentes envían a sus clientes, por lo que me surge la inquietud de si ¿es posible que en las facturas enviadas a los compradores, se establezca que de no pagarse en la fecha limite señalada en la factura se tendrán 20 días adicionales para pagar o controvertir la existencia de la deuda, y que vencido ese término se podrá proceder con el reporte en las centrales de riesgo?\”

A continuación, nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

2. Facultades de la Superintendencia de Industria y Comercio en materia de Habeas Data

En virtud de las atribuciones conferidas por la Ley 1266 de 2008 y el artículo 1 del Decreto 4886 de 2011, la Superintendencia de Industria y Comercio está facultada para la protección de datos personales así:

60. Vigilar a los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países de la misma naturaleza, en cuanto se refiere a la actividad de administración de datos personales, en los términos de la ley 1266 de 2008, sin perjuicio de la competencia de la Superintendencia Financiera.

61. Impartir instrucciones en materia de protección al consumidor, protección de la competencia, propiedad industrial, administración de datos personales y en las demás áreas propias de sus funciones, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación.

2.1. Habeas data

Sea lo primero señalar que el artículo 15 de la Constitución Política, establece:

\”Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

Respecto de la disposición transcrita la Corte Constitucional, en Sentencia T-060 de 2003, Magistrado Ponente, Doctor Eduardo Montealegre Lynnet, ha señalado:

“El derecho de habeas data, definido por el artículo 15 de la Carta, consiste en la facultad que tiene cada persona para conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. La ubicación de la precitada norma en el Capítulo Primero del Libro Segundo de la Carta, correspondiente a los “derechos fundamentales”, no deja duda acerca de la categoría de tal reconocida al derecho en referencia. Respecto de su protección, el constituyente indicó adicionalmente que en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

De esta manera, el núcleo esencial del derecho de habeas data está integrado por el derecho a la libertad y a la autodeterminación informática en general, y por la libertad económica en particular, pues, como lo ha establecido la Corte, ella podría verse vulnerada al restringirse indebidamente en virtud de la circulación de datos que no sean veraces, o que no haya sido autorizada por la persona concernida o por la ley.

“La autodeterminación es la posibilidad de que dispone una persona para permitir que sus datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales. (…)”.

De igual modo la honorable Corte Constitucional en Sentencia C-981 de 2000, magistrado ponente Dra. Clara Inés Vargas Hernández, consideró que “hace parte del habeas data la previa autorización expresa y voluntaria que debe dar el interesado para que un tercero pueda disponer de su información personal, asistiéndole el derecho no solamente a autorizar su circulación sino a rectificarlos o actualizarlos”.

Como se advierte, el artículo 15 de la Constitución Política establece que las personas, en desarrollo de su derecho a la autodeterminación informática y el principio de libertad, son quienes de forma expresa autorizan que la información que sobre ellos se recaude o circule pueda ser incluida en un banco de datos.

La ausencia de dicha autorización implica necesariamente que los datos personales asociados al titular no podrán ser reportados por la fuente a un operador de información.

Ahora bien, la Ley 1266 de 2008 de Habeas Data en su artículo 3 consagra las siguientes definiciones:

\”a) Titular de la información. Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley;

b) Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. (…)

c) Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. (…)

g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.\”

Así mismo, la Corte Constitucional, mediante Sentencia C-1011 de 2008, la cual efectuó el proceso de revisión del proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) \”Por la cual se dictan disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países\”, en unos de sus apartes, señaló:

“En contrario, los datos semiprivados y privados, habida cuenta la naturaleza de la información que contienen, se les adscriben restricciones progresivas en su legítima posibilidad de divulgación, que se aumentan en tanto más se acerquen a las prerrogativas propias del derecho a la intimidad. (1) De esta forma, el dato financiero, comercial y crediticio, si bien no es público ni tampoco íntimo, puede ser accedido legítimamente previa orden judicial o administrativa o a través de procedimientos de gestión de datos personales, en todo caso respetuosos de los derechos fundamentales interferidos por esos procesos, especialmente el derecho al hábeas data financiero.

\”En este escenario, como lo ha reconocido esta Corporación en oportunidades anteriores, el acceso a la información es un acto compatible por la Constitución, amén de la necesidad de ponderar el ejercicio del derecho al hábeas data del titular de la información semiprivada, para el caso objeto de análisis de contenido comercial y crediticio, y la protección del derecho a la información que tiene los sujetos que concurren al mercado económico y que, por ende, están interesados en obtener datos que les permitan determinar el nivel de riesgo crediticio de los sujetos concernidos. precisamente, el objeto general del Proyecto de Ley es establecer las reglas que permitan que la utilización de esa información semiprivada resulte respetuosa de los derechos y libertades predicables de los procesos de recolección, tratamiento y circulación de datos personales.\”

En tal virtud, al tratarse de la categoría de \”datos semiprivados\” para efectos de accesar a dicha información, se debe respetar los derechos fundamentales en todas las etapas de recolección, tratamiento y circulación de los datos personales.

l artículo 12 de la mencionada ley establece un requisito especial para las fuentes de la siguiente manera:

El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.

En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) días calendario siguientes a la fecha de envío de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y está aún no haya sido resuelta.\”

Al respecto, la Corte Constitucional mediante Sentencia C-1011 de 2008 señaló lo siguiente:

\”[L]a facultad conferida a la fuente de reportar la información financiera negativa luego de cumplido un término de veinte días calendario resulta, a juicio de la Corte, razonable. En efecto, el objetivo de la previsión es permitir que luego de notificársele la existencia de información negativa y la intención de ser reportado, sin que el titular de la información manifieste su desacuerdo, la fuente, quien actúa en condición de acreedor de la obligación correspondiente, pueda transmitir el dato negativo al operador. Al respecto, debe enfatizarse que, en los términos planteados por la norma estatutaria y determinados en esta decisión, para que dicho reporte resulte procedente, se debió contar con la autorización previa, expresa y suficiente del sujeto concernido, conforme a lo previsto en el numeral 5° del artículo 8° del Proyecto de Ley.\”

En concordancia con lo anterior, el artículo 2 del Decreto 2952 de 2010 establece lo siguiente:

orte de Información Negativa. En desarrollo de lo dispuesto en el inciso segundo del artículo 12 de la Ley 1266 de 2008, el reporte de información negativa sobre incumplimiento de obligaciones sólo procederá previa comunicación al titular de la información, la cual podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes, siempre y cuando se incluya de manera clara y legible.

Las fuentes de información podrán pactar con los titulares, otros mecanismos mediante los cuales se dé cumplimiento al envío de la comunicación en mención, los cuales podrán consistir, entre otros, en cualquier tipo de mensaje de datos, siempre que se ajusten a lo previsto en la Ley 527 de 1999 y sus decretos reglamentarios y que la comunicación pueda ser objeto de consulta posteriormente.

En el evento en que se presenten moras sucesivas y continuas, la obligación de comunicar previamente al titular de la información, se entenderá cumplida con la comunicación correspondiente a la mora inicial.\”

3. Conclusión

La mora en el cumplimiento del titular de la información en sus obligaciones permite a la fuente de información reportar esta información negativa en las bases de datos de los operadores, para lo cual, de debe enviar comunicación al titular de la información por lo menos con veinte (20) días calendario anteriores al reporte, con el fin de que el titular en este lapso de tiempo pueda demostrar o efectuar el pago de la obligación, o controvertir aspectos como la obligación, la cuota o la fecha de exigibilidad de la misma. La mencionada comunicación podrá enviarse sin la exigencia que sea por correo certificado, a través de los extractos periódicos que las fuentes envíen a sus clientes.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

JEFE OFICINA ASESORA JURÍDICA