CONCEPTO 95290 DE 2025
(junio 25)
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA FINANCIERA
TRATAMIENTOS DE DATOS, AUTORIZACIÓN
Síntesis: la Ley 1266 de 2008 no definió el contenido explícito de la autorización otorgada por los titulares de la información. No obstante, dispuso que toda autorización debe incluir de forma clara, precisa y específica la o las finalidades para las cuales se solicita el consentimiento, además, debe constar por escrito o en un medio que permita su consulta posterior.
«...De manera atenta damos respuesta a comunicación radicada en esta Superintendencia con el número de la referencia, mediante la cual se eleva la siguiente consulta:
"LA LEY 1266 DE 2008 ESTABLECE QUE: TODA RECOLECCIÓN, ALMACENAMIENTO, USO Y CIRCULACIÓN DE DATOS PERSONALES FINANCIEROS, CREDITICIOS, COMERCIALES, ETC., REQUIERE LA AUTORIZACIÓN DEL TITULAR DE LA INFORMACIÓN.
ARTÍCULO 8o: "EL TRATAMIENTO DE LOS DATOS PERSONALES SOLO PUEDE HACERSE CON EL CONSENTIMIENTO, PREVIO, EXPRESO E INFORMADO DEL TITULAR."
¿FIRMAR UNOS TERMINOS Y CONDICIONES SON VALIDOS COMO UNA AUTORIZACION?".
En primer lugar, debe tenerse en cuenta que si bien la Ley 1266 de 2008 no definió en la reglamentación el contenido explícito de la autorización otorgada por los titulares de la información, si planteó que toda autorización se encuentra sujeta a los límites trazados por el mandato constitucional de protección de los datos personales y expresamente al principio de finalidad consagrado en el literal b) del artículo 4 de la mencionada ley 1266, según el cual "la administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto". (Subrayado fuera de texto).
Por su parte, la citada Ley 1266 de 2008, incluye en sus artículos 6 y 7, el derecho de los titulares de los datos personales de solicitar prueba de la autorización otorgada, así como el deber para las fuentes de solicitar y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información.
En ese sentido, puede señalarse que, para que la aceptación de unos términos y condiciones se considere válida o equiparable a una autorización bajo los parámetros establecidos por la Ley 1266 de 2008, el documento deberá contener la indicación clara, precisa y específica de la o las finalidades para las cuales se recolecta el consentimiento, las cuales deberán guardar concordancia con el contenido del artículo 15 de la Ley 1266 de 2008[1]. Además, deberá constar por escrito o en un medio que permita su consulta posterior, con el objetivo de satisfacer el derecho de los Titulares a requerir la prueba de su existencia en cualquier momento.
Sobre la importancia de la autorización otorgada por los Titulares para el reporte de información en centrales de riesgo, la H. Corte Constitucional expresó en su sentencia T-847 de 2010 lo siguiente:
"Tratándose de la segunda condición exigida para que proceda el reporte negativo de un dato financiero en las centrales de riesgo, esto es, la necesidad de autorización expresa por parte del titular de la información, la Sala considera que la libertad en la administración de datos personales significa que el sujeto concernido mantenga, en todo momento, las facultades de conocimiento, actualización y rectificación de la información personal contenida en las bases de datos. Este ejercicio de libertad se concreta en la exigencia de autorización previa, expresa y suficiente por parte del titular de la información para que se habilite la incorporación de sus datos en las bases de riesgo. En caso de no existir el consentimiento del titular, se viola el derecho fundamental al hábeas data financiero, en tanto se restringe la autodeterminación del sujeto respecto al manejo de su información personal.
Así las cosas, se concluye que los administradores informáticos deben obtener autorización previa y expresa de los titulares del dato financiero que se pretende recopilar, tratar o divulgar. Y de la misma manera, deben permitir las solicitudes de rectificación y actualización por parte de los titulares de los mismos".
Para reforzar lo anteriormente expuesto, es pertinente destacar lo establecido en el parágrafo del artículo 2 de la Ley 1581 de 2012, el cual señala que "los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas (...)". En este sentido, en la administración de información financiera, comercial, crediticia y de servicios, debe observarse el principio de libertad, conforme al cual "el Tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento".
...»
1. "ARTÍCULO 15. ACCESO A LA INFORMACIÓN POR PARTE DE LOS USUARIOS. La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países podrá ser accedida por los usuarios únicamente con las siguientes finalidades:
Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así como para la evaluación de los riesgos derivados de una relación contractual vigente.
Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.
Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.
Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información"
