MEMORANDO 4880 DE 2017
(septiembre 14)
<Fuente: Archivo interno entidad emisora>
<Esta norma no incluye análisis de vigencia>
INSTITUTO PARA EL DESARROLLO DE ANTIOQUIA
Medellín, 14 de septiembre de 2017
| Para: | John Fredy Toro González - Secretario General Ana María Vélez Henao - DIRECTOR Juan Carlos Ledezma Maturana - DIRECTOR |
| De: | Oficina Gestión Del Riesgo |
| Asunto: | Solicitud - Concepto jurídico sobre información confidencial (ce 042 de 2012) y cumplimiento de ley 1581 de 2012 |
El Instituto para el Desarrollo de Antioquia - IDEA, una vez culminada la visita de Inspección In Situ realizada el pasado mes de abril de 2017 y en informe de cierre estableció requisito “13. Implementar mediante los requerimientos mínimos de seguridad y calidad (Circular Externa 042 de 2012), que le aplican en el manejo de información de las actividades supervisadas[1]. Actualmente la Dirección de Sistemas, el Centro de Administración Documental y la Oficina de Gestión del Riesgo adelantan conjuntamente diversas actividades para dar cumplimento a este requisito. No obstante, solicitamos a la Secretaria General emitir concepto jurídico frente a la correlación entre los criterios establecidos por la Superintendencia Financiera de Colombia en su normatividad y demás normas aplicable a las Entidades Públicas para el manejo de la información de los clientes del Instituto, que nos permita tener claridad sobre la información confidencial sobre el cual recaen los mecanismos de seguridad de la información a implementar.
Las normas relacionadas son:
- Decreto 1117 de 2013
- Parte 2 Título V Capitulo II - Circular Básica Jurídica -(CE 029/2014)
- Parte 1 Titulo IV Capítulo I - Circular Básica Jurídica -(CE 029/2014)
- Circular Externa 042 de 2012
- Decreto 103 de 2015
- Ley 1712 de 2014
- Ley 1581 de 2012
- Decreto 1377 de 2013
- Demás normas aplicables.
En Circular Externa 042 de 2012, numeral 2.14 se establece: “Información confidencial: atendiendo lo dispuesto en el artículo 15 de la Constitución Política de Colombia y sin perjuicio de lo establecido en el numeral 4 Capítulo Noveno de la presente Circular y demás normas aplicables sobre la materia, se considerará confidencial para efectos de la aplicación del presente Capitulo, toda aquella información amparada por la reserva bancaria[2].
Las entidades podrán clasificar como confidencial otro tipo de información. Esta clasificación deberá estar debidamente documentada y a disposición de la Superintendencia Financiera de Colombia.”
En artículo 15 de la Constitución Política de Colombia se establece: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptados o registrados mediante orden judicial, en los casos y con las formalidades que establezca la ley. Con el fin de prevenir la comisión de actos terroristas, una ley estatutaria reglamentará la forma y condiciones en que las autoridades que ella señale, con fundamento en serios motivos, puedan interceptar o registrar la correspondencia y demás formas de comunicación privada, sin previa orden judicial, con aviso inmediato a la Procuraduría General de la Nación y control judicial posterior dentro de las treinta y seis (36) horas siguientes. Al iniciar cada período de sesiones el Gobierno rendirá informe al Congreso sobre el uso que se haya hecho de esta facultad. Los funcionarios que abusen de las medidas a que se refiere este artículo incurrirán en falta gravísima, sin perjuicio de las demás responsabilidades a que hubiere lugar. Para efectos tributarios judiciales y para los casos de inspección, vigilancia e intervención del Estado, podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.”
En Parte 1 Titulo IV Capítulo I de Circular Básica Jurídica, numeral 6 establece: “ La reserva bancaria es considerada como una de las garantías más valiosas que tienen los clientes o usuarios que transfieren a las entidades vigiladas, a título de secreto, parte o toda su información personal y su intimidad económica, por cuanto se considera que dicha información hace parte del derecho a la intimidad, por un lado, y de la confidencialidad reconocida que tienen los libros y papeles del comerciante. La bondad del secreto ha sido reconocida por la doctrina y por la jurisprudencia, y es por ello que los actos que la violentan son objeto de censura.
Por otro lado, la reserva bancaria, de conformidad con el art. 7, literal i., de la Ley 1328 de 2009, se ha entendido como el deber que tienen las entidades y sus funcionarios de guardar reserva y discreción sobre los datos de los consumidores financieros o sobre aquellos relacionados con la situación propia de la compañía, que conozcan en desarrollo de su profesión u oficio, so pena de asumir las consecuencias penales, laborales y administrativas que el incumplimiento a dicho precepto podría acarrear al infractor.
A fin de garantizar el mencionado derecho, las vigiladas deben proteger la información confidencial de sus clientes, adoptando procedimientos y mecanismos de control que deben ser incorporados en el código de buen gobierno o código de ética de las instituciones, a fin de evitar filtraciones de la mencionada información.
Igualmente, debe garantizarse el adecuado cumplimiento de las disposiciones contenidas en las Leyes 1266 de 2008 y 1581 de 2012 en materia de Protección de Datos Personales y Habeas Data.
No obstante, al ser la reserva bancaria una figura amparada por los derechos constitucionales a la intimidad y fundamentada en el principio del secreto profesional y la reserva de los papeles del comerciante, el amparo a la misma no debe conducir a extremos exagerados por los alcances que pretendan darse a esta práctica. De ella nace para las entidades vigiladas un imperativo de conducta cuya observancia estricta es jurídica y debe favorecerse en cuanto no exceda limitaciones que, en una u otra forma, tienden a evitar que la costumbre de discreción de los administradores y directores se convierta en herramienta que haga prevalecer el interés privado sobre las conveniencias generales de la comunidad.
Así es como, por la reserva bancaria no pueden llegar a resultar protegidas conductas criminales, abusivas o contrarias a la buena fe que ha de regir el tráfico mercantil, o, lo que es más grave aún, resultar encubierta información que facilite la labor de la administración de justicia o de las funciones desarrolladas por las autoridades administrativas.
De otra parte, no puede olvidarse que la reserva bancaria tampoco tiene vigencia cuando, ante las circunstancias previstas en el art. 15 de la Constitución Política, es decir para efectos tributarios, judiciales y para los casos de inspección, vigilancia e intervención del Estado, requiere exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley. En estas situaciones y cumplidas las formalidades pertinentes, el deber de discreción desaparece como imperativo de forzosa observancia por parte del vigilado y es responsabilidad de la respectiva oficina pública evitar que sea lesionada la intimidad de clientes inocentes de la entidad que fue constreñida a exhibir su archivo total o parcialmente “.
En el artículo 2 de la Ley 1581 de 2012 establece: “Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada”
Frente a cada una de las referencias mencionadas anteriormente, actualmente al equipo de trabajo le surgen las siguientes inquietudes:
1. El Instituto aprobó en sesión ordinaria de Junta Directiva de agosto de 2017, las modificaciones al Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo, con relación al cumplimiento con lo establecido en Parte I Titulo IV Capitulo IV de Circular Básica Jurídica dando cumplimiento a los requerimientos de la Superintendencia Financiera de Colombia. Estas modificaciones, buscan fortalecer el procedimiento de conocimiento del cliente mediante un mecanismo unificado de vinculación a través del “Formulario Único de Vinculación”, el cual recopila información general, tributaria, financiera, representante legal, composición accionaria, detalle de productos financieros con el IDEA, relación financiera con otras entidades y detalle de envío de información y correspondencia. Así mismo trae consigo proforma para la declaración de origen de fondos, autorización para el manejo de datos personales que reposan en la entidad y/o los que ingresen a la misma (aplica para personas naturales) y autorización para la consulta, reporte y procesamientos de datos financieros en los operadores de bases de datos (aplica para persona natural y jurídica).
Teniendo en cuenta que gran porcentaje de los clientes activos (Personas Jurídicas) del Instituto son Entidades Públicas, y que la información recolectada entre la vinculación y finalización resulta de la celebración comercial de operaciones entre Entidad y cliente, se podría considerar, que toda esta información es de carácter confidencial y el Instituto podría obtenerse de comunicar a terceros la información privada (según lo entendido por Reserva Bancaria) que se ha recibido de los clientes sobre sus actividades, negocios, cuantías, destinación, anexos entre otros, a excepción de las ritualidades procedimentales señaladas por Ley?.
¿Adicionalmente, confirmar si la información de personas naturales, tales como datos de representantes legales entre otros que se recopile de la vinculación con las personas jurídicas y que reposen en nuestras bases de datos deben cumplir con lo estipulado en la Ley 1581 de 2012, teniendo en cuenta lo mencionado en artículo 2 de la misma?
¿Se entendería, que toda información aplicable al manejo de datos personales que se derive de la relación comercial o contractual con proveedores, productos y servicios que ofrece el instituto, serian de obligatorio cumplimiento de lo establecido en Ley 1581 de 2012?.
Si la Secretaria General ha tenido avances en el estudio o el instituto cuenta con directrices claras frente al tratamiento de datos personales, a gradecemos remitir dichos documentos a esta Oficina para ser socializados en el equipo de trabajo en mención.
2. ¿En caso de ser afirmativa la consulta anterior, es decir, no podríamos comunicar a terceros diferentes a las ritualidades procedimentales señaladas por Ley, ¿El Instituto tendría que abstenerse de publicar las cuantías adeudadas por cada uno de sus clientes en los diferentes informes que publica en la página de internet, tales como “Operaciones Reciprocas” donde actualmente se evidencia el detalle de la cartera por todos los terceros tanto públicos como privados?
Este tema es considerado de vital importancia con el fin de prever los posibles riesgos en los cuales el Instituto pueda incurrir. Adjunto envío detalle de algunos casos en los cuales varias empresas han sido sancionadas.
- Datacrédito http://www.portafolio.co/mis-finanzas/ahorro/sancionados-tres-bancos-malos-reportes-clientes-83036
- UNE
http://www.dinero.com/empresas/articulo/cargos-contra-une-epm-por-infracciones-de-regimen-de-proteccion-de-datos-personales/221809
- Davivienda y Movistar
https://www.larepublica.co/finanzas-personales/multa-a-davivienda-por-presunta-violacion-a-ley-de- proteccion-de-datos-2142591
- Tigo
http://www.dinero.com/empresas/articulo/tigo -viola-normas-habeas-data/159181
- Banco de Bogotá
https://www.larepublica.co/finanzas/banco-de-bogota-multado-con-140-millones-por-incumplimiento- en-habeas-data-2290811
- BelStar
http://www.dinero.com/empresas/articulo/belstar-falto-comunicacion-deudores/178948
Agradecemos, oportuna respuesta al concepto Juridico solicitado toda vez que el Instituto debe cumplir con los requerimientos mínimos de seguridad y calidad (Circular Externa 042 de 2012), que le aplican en el manejo de información de las actividades supervisadas, y que en caso de incumplimiento esta entidad está amparada bajo el régimen de responsabilidad y sanciones administrativas previsto en los arts. 208 y siguientes del EOSF. Así como demás sanciones establecidas por órganos competentes.
Atentamente,
TATIANA PAOLA CRIADO VARGAS
1. Cartera de Créditos, Financiación de actividades previstas en el numeral 2 del art. 268 del EOSF, Descuento y negociación de pagarés, giros, letras de cambio y otros títulos de deuda, Administracion de FondosEspeciales.
2. Parte 1 Titulo IV Capítulo I - Circular Básica Jurídica -Circular Externa 029/2014
