Solución de Conflictos de Competencia, expediente 445C de 2026

Buscar search

Índice developer_guide

CONSEJO DE ESTADO

SALA DE CONSULTA Y SERVICIO CIVIL

Consejero de Estado ponente: Juan Manuel Laverde Alvarez

Bogotá, D.C., 28 de enero de 2026.

Número único: 11001-03-06-000-2025-00445-00

Referencia: conflicto negativo de competencias administrativas

Partes: Superintendencia Financiera de Colombia y Superintendencia de Industria y Comercio.

Asunto: competencia para conocer de una denuncia relacionada con la protección de datos personales y hábeas data financiero

La Sala de Consulta y Servicio Civil del Consejo de Estado, en ejercicio de la competencia que le confiere el artículo 39, en armonía con el artículo 112, numeral 10, del Código de Procedimiento Administrativo y de lo Contencioso Administrativo (CPACA), Ley 1437 de 2011, modificados por los artículos 2° y 19 de la Ley 2080 de 2021, respectivamente, procede a resolver el conflicto negativo de competencias administrativas del asunto.

ANTECEDENTES

El 19 de mayo de 2025¹, la señora Evelynn Urrea Gaviria presentó reclamación ante la Fundación Coomeva debido a un reporte negativo que esta hiciera ante las centrales de información solicitando, en consecuencia, la eliminación de tal reporte, y de no ser posible, la entrega de los siguientes documentos:

(...)

La comunicación previa a efectuar el reporte negativo con destino al Titular.

Copia de la guía de envío o certificación de haber sido remitida a la última dirección registrada por el Titular y la fecha de envío y

Autorización previa y expresa del titular para recibir notificaciones por medios electrónicos.

1 007ED_EXPEDIENTE_08DOCUMENTOSPARACONF.pdf

(...)

En su escrito advirtió lo siguiente:

El presente documento tiene como propósito surtir la etapa de reclamo directo de que trata el Artículo 58 Núm. 5°de la Ley 1480 de 2011 –Estatuto del Consumidor, para lograr satisfacer mis pretensiones. De resultar adversa su respuesta o parcialmente satisfactoria a mis intereses como consumidor, procederé a formular la acción de Protección del Consumidor, en los términos del artículo 58 del mismo Estatuto.

El 11 de junio de 2025²la señora Urrea Gaviria, en declaración juramentada dirigida a la Superintendencia de Industria y Comercio (en adelante SIC) - Delegatura de Protección de Datos Personales-, manifestó que no había recibido respuesta a la petición radicada ante la Fundación Coomeva.

El 12 de junio de 2025³, la señora Evelynn Urrea Gaviria, ante la falta de respuesta de la Fundación, radicó, a través del sitio web dispuesto para tales fines por la SIC, denuncia a la que le correspondió el radicado núm. 25-275174, relacionada con la protección de datos personales y hábeas data financiero en contra de la Fundación Coomeva, en la que solicitó «[q]ue se elimine, actualice, rectifique su información personal o revocar la autorización para el tratamiento de sus datos personales».

El 27 de junio de 2025⁴, la SIC, a través de la Coordinación del Grupo de Trabajo de Tratamiento de Datos Personales, le informó a la señora Evelynn Urrea Gaviria lo siguiente:

Hacemos referencia a la reclamación por usted presentada ante la Superintendencia de Industria y Comercio, relacionada con la presunta vulneración de su derecho fundamental de habeas data financiero.

Al respecto, esta Dirección le informa que trasladará su solicitud a la Superintendencia Financiera de Colombia para que adelante el trámite que corresponda.

Lo anterior, teniendo en cuenta que es dicha Entidad la competente para conocer y pronunciarse sobre los asuntos relacionados con fuentes y/o usuarios de información que sean sus vigilados en materia de habeas data financiero según lo establecido en el inciso 2° del artículo 17 de la Ley 1266 de 2008.

El 23 de julio de 2025⁵, la Fundación Coomeva dio respuesta a la petición que le había elevado la señora Urrea Gaviria el 19 de mayo de 2025.

2 Ibidem

3 Ibidem

4 Ibidem

5 Ibidem

El 29 de agosto de 2025⁶, la señora Evelynn Urrea Gaviria, actuando en nombre propio y en ejercicio de la acción de protección al consumidor financiero, radicó demanda ante la Delegatura para Funciones Jurisdiccionales de la Superintendencia Financiera de Colombia, en adelante SFC, a la que correspondió el radicado núm. 2025150858, solicitando amparo al derecho fundamental de habeas data, de acuerdo con las normas de protección de datos personales contenidas en la Ley 1266 de 2008, modificadas en la Ley 2157 de 2021.

El 17 de septiembre de 2025, la SFC, a través de la Delegatura para Funciones Jurisdiccionales -Coordinación del Grupo de Calificación y Cumplimiento-

,⁷profirió auto de rechazo de demanda?, que ?la acción se dirigió en contra de la Fundación Coomeva, entidad sometida a inspección, control y vigilancia de la? Superintendencia Financiera de Colombia, razón por la cual carece de competencia para conocer de la misma.

A su vez ordenó remitir la demanda y sus respectivos anexos al Juez competente, esto es, a la Delegatura para Asuntos Jurisdiccionales de la SIC.

El 25 de septiembre de 2025⁸, la señora Evelynn Urrea Gaviria, radicó, ante la Sala de Consulta y Servicio Civil, oficio denominado en su asunto: «CONFLICTO DE COMPETENCIA ARTÍCULO 39 DE LA LEU (sic) 1437 DE 2011» por medio

del cual promovió el conflicto negativo de competencia administrativas, con el fin de que se defina la autoridad responsable de decidir su caso. [Mayúscula en el texto original].

ACTUACIÓN PROCESAL

De conformidad con lo dispuesto en el artículo 39 de la Ley 1437 de 2011, modificado por el artículo 2° de la Ley 2080 de 2021, se fijó edicto núm. 414⁹del 25 de septiembre de 2025, en la Secretaría de esta Sala, por el término de cinco días (entre el 26 de septiembre y el 2 de octubre de 2025), con el fin de que las autoridades involucradas y las personas interesadas presentaran sus alegatos en el trámite del conflicto.

Consta que se informó¹⁰sobre el presente conflicto a la SFC, a la SIC, a la Fundación Coomeva, y a la señora Evelynn Urrea Gaviria.

6 008ED_EXPEDIENTE_09EXPEDIENTEFUNDACON.pdf.

7 Actuación que fue comunicada a la accionante al correo electrónico notificaciones.profin@gmail.com, informado como dato de contacto en la demanda.

8 006ED_EXPEDIENTE_07OFICIODESOLICITUDP.pdf

9 009POREDICTO_EXPEDIENTE_02Edicto.pdf

10 010Soporte comunicación POR EDICTO de fecha .pdf

Según constancia secretarial del 3 de octubre de 2025¹¹, vencido el término de fijación del edicto, las autoridades involucradas y particulares interesados guardaron silencio.

El 21 de noviembre del 2025¹², el consejero ponente emitió el auto para mejor proveer ordenando oficiar a Superintendencia Financiera de Colombia para que allegara la siguiente información relacionada con el trámite dado por esta Superintendencia a la denuncia con radicado núm. 25-275174 remitida por la SIC:

Copia de la decisión adoptada por la SFC respecto de la actuación administrativa remitida por la SIC, en relación con la solicitud de la señora Evelynn Urrea Gaviria, y sus respectivos soportes.

Informe en el que indique si la señora Evelynn Urrea Gaviria, identificada con cédula de ciudadanía núm. 1088317860, solicitó adelantar una actuación administrativa ante la SFC, y, en caso afirmativo, remitir copia de la decisión o decisiones adoptadas por parte de esta autoridad.

En el informe secretarial del 1.° de diciembre de 2025¹³se le indicó al despacho ponente que, vencido el término concedido en el auto, la Superintendencia Financiera de Colombia guardó silencio.

Pese a lo anterior, por informe secretarial del 3 de diciembre de 2025¹⁴, se comunicó al despacho ponente que la Superintendencia Financiera de Colombia remitió memoriales.

ARGUMENTOS DE LAS PARTES

SIC – Grupo de Trabajo de Tratamiento de Datos Personales.

Esta autoridad no presentó alegatos, por lo que se tendrá en cuenta lo manifestado en la comunicación del 27 de junio de 2025, mediante la cual informó que la denuncia presentada por la señora Evelynn Urrea Gaviria por la presunta vulneración de su derecho fundamental de habeas data financiero se trasladaría ante la SFC, «teniendo en cuenta que es dicha Entidad la competente para conocer y pronunciarse sobre los asuntos relacionados con fuentes y/o usuarios de información que sean sus vigilados en materia de habeas data financiero según lo establecido en el inciso 2° del artículo 17 de la Ley 1266 de 2008».

11 031ALDESPACHOPOR_Informesecretarial2025-00429.pdf

12 013Autoparamejor_73CCA2025445Autopara.pdf

13 016INFORMESECRETA_202500445INFORMESECR.doc

14 025INFORMESECRETA_Informesecretarial20.pdf

SFC – Delegatura para Funciones Jurisdiccionales.

Esta autoridad no presentó alegatos, por lo que se tendrá en cuenta lo manifestado en la respuesta¹⁵al requerimiento realizado por el despacho, en la que, en ejercicio de las funciones administrativas señaladas en los Decretos 663 de 1993 y 2555 de 2010, modificados por el Decreto 2399 de 2019, afirmó carecer de competencia puesto que la entidad demandada, Fundación Coomeva, no se encuentra sometida a inspección, control y vigilancia de la SFC. En consecuencia, ordenó trasladar nuevamente la actuación a la SIC.

CONSIDERACIONES

Competencia de la Sala de Consulta y Servicio Civil del Consejo de Estado. Regla general de resolución de conflictos de competencia administrativa.

De conformidad con los artículos 39 y 112, numeral 10, de la Ley 1437 de 2011, modificados por los artículos 2 y 19 de la Ley 2080 de 2021, respectivamente, la Sala está habilitada para emitir un pronunciamiento de fondo ante un conflicto de competencias cuando: i) al menos una de las autoridades sea del orden nacional, o si se trata de autoridades del nivel territorial, que no estén sometidas a la jurisdicción de un solo tribunal administrativo; ii) se encuentre en curso una actuación o asunto de naturaleza administrativa, particular y concreta; y iii) se evidencie el reclamo o rechazo de la competencia simultáneo o sucesivo.

Antes de analizar el cumplimiento de estos requisitos, debe aclararse que la señora Urrea Gaviria ejerció su derecho constitucional de habeas data a través de acciones de diferente naturaleza, una administrativa ante la SIC con radicado núm. 25-275174 y otra jurisdiccional ante la SFC a la que correspondió el radicado núm. 2025150858.

La actuación administrativa radicada en la SIC bajo el núm. 25-275174 se gestionó por esta entidad a través del trámite 384 protección de datos personales, asignada a la Dirección de Habeas Data, en el marco de las funciones administrativas previstas en las Leyes Estatutarias 1266 de 2008, modificada por la Ley 2157 de 2021, y 1581 de 2012, en la que se resolvió el rechazo del asunto por competencia y se remitió a la SFC.

Recibida la actuación en la SFC se tramitó bajo el núm. 2025213825, asignado al Grupo de Inconformidades Dos –, en el marco de las funciones administrativas asignadas en las Leyes Estatutarias 1266 de 2008, modificada por la Ley 2157 de

15 026RECIBEMEMORIAL_T20252062825992383.pdf

2021, y 1581 de 2012, ya citadas. en la que se resolvió el rechazo del asunto por competencia y se remitió a la SIC.

Lo anterior, sin perjuicio del trámite dado por la SFC, a través de la Delegatura para Funciones Jurisdiccionales, a la demanda radicada bajo el núm. 2025150858, cuyo trámite es jurisdiccional, que no es objeto de análisis en el presente asunto.

Aclarado lo anterior, la Sala aprecia que, en el caso bajo estudio se encuentran cumplidos los requisitos legales que habilitan la competencia de la Sala debido a que: i) las autoridades involucradas, esto es, la SIC y la SFC, son del orden nacional;

ii) está en curso una actuación administrativa, particular y concreta, relacionada con la denuncia No.25-275174 radicada ante la SIC por parte de la señora Evelynn Urrea Gaviria, y iii) ambas autoridades negaron la competencia, sucesivamente, para adelantar la actuación.

Términos legales

El procedimiento establecido en el artículo 39 de la Ley 1437 de 2011, modificado por el artículo 2º de la Ley 2080 de 2021, prevé que mientras se resuelve el conflicto de competencia se suspenderán los términos de las actuaciones administrativas, los cuales comenzarán a correr a partir del día siguiente de la comunicación de esta decisión, y así se declarará en la parte resolutiva¹⁶.

Aclaración previa

La función de definir la autoridad competente para adelantar o continuar un trámite administrativo se efectúa a partir del análisis de los supuestos fácticos y los documentos que forman parte del expediente. En este sentido, las eventuales alusiones que se hagan al caso concreto serán las necesarias para establecer las reglas de competencia.

Esta Sala no puede pronunciarse sobre los derechos que se reclaman ante las entidades estatales frente a las cuales se dirime el conflicto. Corresponderá a la autoridad que sea declarada competente la verificación de las situaciones de hecho y de derecho para decidir de fondo sobre el asunto de la referencia.

Problema jurídico y síntesis del caso

16 Este mandato es armónico con los artículos 6º de la Constitución Política y 137 de la Ley 1437 de 2011, por cuanto el ejercicio de funciones administrativas por autoridades carentes de competencia deviene en causal de anulación de las respectivas actuaciones y decisiones.

De conformidad con los antecedentes enunciados, le corresponde a la Sala determinar cuál es la autoridad competente para resolver de fondo la denuncia núm. 25-275174 radicada ante la SIC por la señora Evelynn Urrea Gaviria, mediante la cual solicitó eliminar, actualizar y rectificar su información personal o revocar la autorización para el tratamiento de sus datos personales y, en caso de que haya lugar, dar inicio a la investigación contra la Fundación Coomeva como entidad generadora del reporte negativo, de conformidad con lo previsto en la Ley 1266 de 2008.

El conflicto surge porque la SIC manifestó no ser la entidad competente para resolver la denuncia radicada bajo el núm. 25-275174 por la señora Urrea Gaviria, al considerar que es la SFC la competente para conocer y pronunciarse sobre los asuntos relacionados con fuentes y/o usuarios de información que sean sus vigilados en materia de habeas data financiero, según lo establecido en el inciso 2.° del artículo 17 de la Ley 1266 de 2008.

Por su parte, la SFC negó su competencia dado que la entidad demandada, Fundación Coomeva, no se encuentra sometida a su inspección, vigilancia y control, por lo que carece de facultades y atribuciones legales para emitir pronunciamiento respecto a la solicitud presentada por la señora Urrea Gaviria.

Para resolver el problema jurídico planteado, la Sala se referirá a los siguientes temas:

Derecho fundamental de habeas data

Protección de datos personales

Caso concreto.

Análisis de la normativa aplicable al conflicto planteado.

Derecho fundamental de habeas data

El artículo 15 de la Constitución Política¹⁷consagra la protección al derecho fundamental de habeas data, como la facultad de conocer, actualizar y rectificar información en bases de datos, enmarcado dentro del derecho más amplio a la protección de datos personales, la intimidad y el buen nombre.

17 ARTÍCULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

Es así como a través de la Ley Estatutaria 1266 de 2008¹⁸, modificada en la Ley 2157 de 2021, se estableció que los titulares de la información o sus causahabientes que consideren que la información contenida en su registro individual en un banco de datos debe ser objeto de corrección o actualización, como el caso que nos ocupa, podrán presentar reclamo directamente ante el operador.

Asimismo, en cuanto a la vigilancia¹⁹de los destinatarios de la Ley, esta le otorgó a la SIC, como autoridad administrativa, la competencia para vigilar a los operadores,

18 Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.

19 ARTÍCULO 17. FUNCIÓN DE VIGILANCIA. <Artículo CONDICIONALMENTE exequible> La

Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley.

En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas pertinentes y las establecidas en la presente ley.

Para el ejercicio de la función de vigilancia a que se refiere el presente artículo, la Superintendencia de Industria y Comercio y la Superintendencia Financiera de Colombia, según el caso, tendrán en adición a las propias las siguientes facultades:

Impartir instrucciones y órdenes sobre la manera como deben cumplirse las disposiciones de la presente ley relacionadas con la administración de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países (sic) fijar los criterios que faciliten su cumplimiento y señalar procedimientos para su cabal aplicación.

Velar por el cumplimiento de las disposiciones de la presente ley, de las normas que la reglamenten y de las instrucciones impartidas por la respectiva Superintendencia.

Velar porque los operadores y fuentes cuenten con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.

Ordenar a cargo del operador, la fuente o usuario la realización de auditorías externas de sistemas para verificar el cumplimiento de las disposiciones de la presente ley.

Ordenar de oficio o a petición de parte la corrección, actualización o retiro de datos personales cuando ello sea procedente, conforme con lo establecido en la presente ley. Cuando sea a petición de parte, se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o fue atendido desfavorablemente.

fuentes y usuarios de información, precisando que, si la fuente de información es una entidad financiera sometida a control y supervisión de la SFC, la vigilancia le corresponderá ejercerla a esta autoridad

La norma también se ocupa de establecer las reglas para imposición de sanciones a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, previo el cumplimiento de los procedimiento y plazos allí descritos. (artículos. 18 y 19)

Protección de datos personales.

La Ley Estatutaria 1581 de 2012, entendida como el marco general para la protección de datos personales (habeas data), establece que las entidades públicas y privadas deben obtener autorización previa, expresa e informada de los titulares para recolectar y usar sus datos, garantizando los derechos a conocer, actualizar, rectificar y suprimir información. Se precisa que los titulares o los causahabientes pueden consultar la información personal del titular que repose en cualquier base de datos.

A través de esta ley se designó a la SIC²⁰como autoridad a cargo de la protección de datos para garantizar que en el tratamiento de dicha información se respeten los principios, derechos, garantías y procedimientos allí dispuestos y también para imponer las sanciones por el incumplimiento de las disposiciones sobre la materia.

Adicionalmente, la norma prevé la creación de un Despacho de Superintendente Delegado en la SIC para ejercer las funciones de autoridad de protección de datos que también conocerá de los recursos de apelación que se interpongan frente a las decisiones de las Direcciones de Habeas Data y de Investigación de Protección de Datos Personales y, además, incluye la labor de tramitar y decidir las solicitudes de

Iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, con el fin de establecer si existe responsabilidad administrativa derivada del incumplimiento de las disposiciones de la presente ley o de las órdenes o instrucciones impartidas por el organismo de vigilancia respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten pertinentes.

20 ARTÍCULO 19. AUTORIDAD DE PROTECCIÓN DE DATOS. <Artículo CONDICIONALMENTE

exequible> La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.

PARÁGRAFO 1o. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley incorporará dentro de la estructura de la Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de Protección de Datos.

declaración para las transferencias internacionales de datos personales a países que no cuenten con un nivel adecuado y las solicitudes de bloqueo temporal de datos personales, así como las demás que le asigne la ley.

Así las cosas, resulta claro que cualquier ciudadano puede ejercer su derecho fundamental de habeas data para conocer, actualizar y rectificar la información que ha sido recopilada sobre él en bases de datos y archivos de entidades públicas o privadas. También incluye otros derechos relacionados con la protección de datos personales, como la libertad, el acceso restringido y la confidencialidad de la información.

Su objetivo es proteger la intimidad y el buen nombre de las personas frente al manejo de su información personal, de conformidad con los procedimientos previstos tanto en la Ley 1266 de 2008 como en la Ley 1851 de 2012.

De igual manera, la Ley 1581 de 2012 dispone que la función de vigilancia se concentra en la SIC, de conformidad con las disposiciones previstas en el título VII

«de los mecanismos de vigilancia y sanción», en particular en el capítulo I «de la autoridad de protección de datos»²¹.

Del recuento normativo expuesto, la Sala destaca sobre el derecho fundamental de habeas data y la protección de datos personales:

Las superintendencias pueden iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, con el fin de establecer si existe responsabilidad

21 ARTÍCULO 19. AUTORIDAD DE PROTECCIÓN DE DATOS. <Artículo CONDICIONALMENTE

PARÁGRAFO 2o. La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetará a lo previsto en dicha norma.

ARTÍCULO 20. RECURSOS PARA EL EJERCICIO DE SUS FUNCIONES. La Superintendencia de

Industria y Comercio contará con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley:

a) Los recursos que le sean destinados en el Presupuesto General de la Nación.

administrativa derivada del incumplimiento de las disposiciones contenidas en la ley o en las órdenes o instrucciones impartidas por el organismo de vigilancia respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten pertinentes (numeral 6 art 17 Ley 1266 de 2008).

La entidad encargada de vigilar el cumplimiento de las normas atinentes a la protección de habeas data y datos personales es la SIC, a través de la Delegatura de Protección de Datos, y excepcionalmente la SFC, a través de la Delegatura para el Consumidor Financiero, cuando la entidad que genera el reporte sea de aquellas sometidas a su vigilancia y supervisión.
De conformidad con lo anterior, para determinar si el asunto corresponde a una u otra entidad debe tenerse en cuenta si la entidad fuente de la información es de aquellas sometidas a control y vigilancia de la SFC, en cuyo caso le corresponderá ejercer la vigilancia, en caso contrario corresponderá a la SIC.
El procedimiento será el indicado por las respectivas entidades atendiendo las disposiciones previstas en las Leyes 1266 de 2008 y 1581 de 2012.

Análisis del caso concreto

Con fundamento en los antecedentes fácticos y las consideraciones jurídicas realizadas, la Sala de Consulta y Servicio Civil concluye que la Superintendencia de Industria y Comercio, a través de la Delegatura para Protección de Datos y/o el área que haga sus veces, es la autoridad competente para adelantar la actuación a que haya lugar relacionada con la denuncia No.25-275174 elevada por la señora Evelynn Urrea Gaviria, mediante la cual solicitó eliminar, actualizar y rectificar su información personal o revocar la autorización para el tratamiento de sus datos personales y, en caso de que haya lugar, dar inicio a la investigación contra la Fundación Coomeva como entidad generadora del reporte negativo, de conformidad con lo previsto en la Ley 1266 de 2008.

Lo anterior, con base en las siguientes consideraciones:

El objeto de la denuncia No.25-275174 radicada ante la SIC por la señora Urrea Gaviria en contra de la Fundación Coomeva está relacionada con la protección al derecho fundamental de habeas data, tal como quedó establecido en el desarrollo de la presente decisión.

El conflicto surgió porque la SIC declaró su falta de competencia para conocer de dicha denuncia, bajo el argumento de que la Fundación Coomeva es una entidad vigilada por la SFC y, por lo tanto, es a esta entidad a la que le compete conocer y pronunciarse sobre los asuntos relacionados con

fuentes y/o usuarios de información que sean sus vigilados en materia de habeas data financiero, según lo establecido en el inciso 2° del artículo 17 de la Ley 1266 de 2008.

A su vez, la SFC declaró su falta de competencia para conocer de tal denuncia debido a que la Fundación Coomeva no se encuentra sometida a su inspección, control y vigilancia.

Como quedó establecido, el derecho de habeas data se encuentra regulado en la Ley 1266 de 2008, modificada por la Ley 2157 de 2021, a través de la cual se designó a la SIC como autoridad encargada de la vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto se refiere a la actividad de administración de datos personales regulados en dicha ley.²²

Excepcionalmente, la SFC ejerce tales competencias, pero solo en aquellos casos en que la fuente, usuario u operador de información sea una entidad vigilada por esta; en tal caso ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas que regulen la materia.

A su vez, la Ley Estatutaria 1581 de 2012 designó a la SIC como autoridad encargada de ejercer la vigilancia para garantizar el tratamiento de datos personales.

En ese orden y siguiendo la regla general prevista en la Ley 1266 de 2008, modificada por la Ley 2157 de 2021, la SIC es la autoridad competente para realizar el procedimiento administrativo que lleve a resolver de fondo el objeto de la denuncia No.25-275174 elevada por la señora Evelynn Urrea Gaviria, mediante la cual solicitó eliminar, actualizar y rectificar su información personal o revocar la autorización para el tratamiento de sus datos personales y, en caso de que haya lugar, dar inicio a la investigación contra la Fundación Coomeva como entidad generadora del reporte negativo.

En mérito de lo expuesto, la Sala de Consulta y Servicio Civil del Consejo de Estado

RESUELVE:

PRIMERO: DECLARAR COMPETENTE a la Superintendencia de Industria y Comercio, a través de la Delegatura de Protección de Datos Personales y/o el área que haga sus veces, para adelantar la actuación a que haya lugar relacionada con

22 Ley 1266 de 2008, artículo 17.

la denuncia No.25-275174 elevada por la señora Evelynn Urrea Gaviria, mediante la cual solicitó eliminar, actualizar y rectificar su información personal o revocar la autorización para el tratamiento de sus datos personales y, en caso de que haya lugar, dar inicio a la investigación contra la Fundación Coomeva como entidad generadora del reporte negativo, de conformidad con lo previsto en la Ley 1266 de 2008.

SEGUNDO: REMITIR el expediente de la referencia a la Superintendencia de Industria y Comercio -Delegatura de Protección de Datos Personales- y/o el área que haga sus veces, para lo de su competencia.

TERCERO. COMUNICAR la presente decisión a la Superintendencia de Industria y Comercio, a la Superintendencia Financiera de Colombia y a la señora Evelynn Urrea Gaviria.

CUARTO: ADVERTIR que los términos legales a que esté sujeta la actuación administrativa en referencia se reanudarán o empezarán a correr a partir del día siguiente a aquel en que se comunique la presente decisión.

QUINTO: ADVERTIR que contra la presente decisión no procede recurso alguno, como lo dispone expresamente el inciso 3° del artículo 39 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, modificado por el artículo 2º de la Ley 2080 de 2021.

La presente decisión se estudió y aprobó en la sesión de la fecha.

COMUNÍQUESE Y CÚMPLASE

JOHN JAIRO MORALES ALZATE MARÍA DEL PILAR BAHAMÓN FALLA

Presidente de la Sala Consejera de Estado

JUAN MANUEL LAVERDE ALVAREZ

Consejera de Estado Consejero de Estado

OSCAR ALBERTO REYES REY

Secretario de la Sala (e)

Centro Normativo Keralty

Solución de Conflictos de Competencia, expediente 445C de 2026