CARTA CIRCULAR 14 DE 2024
(febrero 23)
Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 704 de 29 de febrero de 2024
SUPERINTENDENCIA FINANCIERA
Señores
REPRESENTANTES LEGALES, MIEMBROS DE JUNTA DIRECTIVA, REVISORES FISCALES, CONTRALOR NORMATIVO, DEFENSORES DEL CONSUMIDOR FINANCIERO DE ENTIDADES VIGILADAS Y PÚBLICO EN GENERAL.
| Referencia: | Cumplimiento de las obligaciones legales en materia de protección al consumidor financiero y del derecho de Habeas Data. |
Apreciados señores:
Como es de su conocimiento, la Superintendencia Financiera de Colombia (SFC) tiene entre sus competencias velar por el cumplimiento de las obligaciones legales frente al régimen de protección al consumidor financiero y de habeas data entendido como”... el derecho de las personas a conocer -acceso- la información que sobre ellas esté recogida en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información” [1].
Por su parte, las entidades vigiladas, en su condición de fuentes y/o usuarios de la información de conformidad con las definiciones previstas en la Ley 1266 de 2008, tienen a su cargo la administración de los datos financieros de los titulares de información. Para el efecto, deben observar los principios de veracidad o calidad de los registros o datos, finalidad, circulación restringida, temporalidad, seguridad, confidencialidad y de interpretación integral de los derechos constitucionales de habeas data, buen nombre, honra, intimidad e información.
Durante el año 2023, esta Superintendencia identificó un incremento de quejas y acciones de tutela por temas asociados a fraude y al derecho fundamental de habeas data.
Por lo anterior, se estima pertinente recordar el deber de las entidades vigiladas de adelantar acciones tendientes a la consolidación de una cultura que promueva el bienestar y la satisfacción de las necesidades de los consumidores financieros y de los titulares de la información a través de medidas apropiadas, efectivas y verificables, que permitan garantizar el cumplimiento de las obligaciones que están a su cargo, específicamente las establecidas en las Leyes 1266 de 2008 y 2157 de 2021 respecto de los datos financieros, crediticios, comerciales, de servicios y la proveniente de terceros países, con el fin de garantizar el derecho fundamental de habeas data.
Por lo expuesto, esta Superintendencia les recuerda a las entidades vigiladas el cumplimiento de las siguientes obligaciones:
1. Las entidades vigiladas deben solicitar la autorización de los titulares de la información y conservar evidencia de esta. Así mismo, deben certificar de forma semestral al operador de información[2], que la información suministrada cuenta con la autorización de su titular.
2. En su condición de fuentes de información, las entidades vigiladas deben reportar, de forma periódica y oportuna al operador de información, las novedades y/o rectificaciones de los datos financieros que hayan suministrado previamente, garantizando que la información de los titulares se mantenga actualizada.
3. Con el fin que el titular de la información pueda demostrar, controvertir o efectuar el pago de la obligación que se encuentra en mora, las entidades vigiladas deberán enviar una comunicación escrita a la última dirección del domicilio del consumidor financiero.
Dicha comunicación podrá estar contenida en los mecanismos de envío de las comunicaciones pactados con los consumidores financieros o en los extractos periódicos que les sean remitidos, siempre y cuando sea visible y clara, de forma tal que se garantice el conocimiento por parte de aquel.
4. Las entidades vigiladas podrán efectuar el reporte negativo ante el operador de información una vez transcurridos veinte (20) días calendario desde el envío de la comunicación a la que hace referencia el numeral tercero.
En obligaciones iguales o inferiores al 15% de un (1) salario mínimo legal mensual vigente, la comunicación a la que hace referencia el numeral tercero deberá surtirse en dos (2) oportunidades en días distintos. En este caso el reporte negativo ante el operador de información solo procederá veinte (20) días calendario después de la segunda comunicación.
5. La entidad vigilada debe conservar la comunicación a la que hace referencia el numeral tercero y su constancia de envío debe estar disponible para su posterior consulta. De no atenderse esta obligación, la entidad vigilada deberá retirar, de forma inmediata, el reporte negativo de información.
6. La entidad vigilada deberá realizar el reporte de información negativa máximo dentro de los dieciocho (18) meses siguientes contados a partir de que el titular de la información se constituya en mora.
7. La información negativa podrá permanecer reportada ante los operadores de información hasta el doble del tiempo de la mora y hasta un máximo de cuatro (4) años contados a partir de la fecha en que se pague la cuota vencida o se extinga la obligación. Por su parte, la caducidad del dato negativo es de ocho (8) años contados a partir del momento en que entra en mora la obligación.
8. La información negativa deberá ser eliminada de forma inmediata, una vez superados los términos legales o la cesación del hecho que generó la disminución de la medición, según corresponda, y de forma simultánea se deberá actualizar la calificación, récord o cualquier tipo de medición financiera, comercial o crediticia del titular de la información.
9. Cuando el consumidor financiero presente una inconformidad ante la entidad vigilada, ésta debe resolver directamente el reclamo e informar al operador de información dentro de los dos (2) días hábiles siguientes a su recibo, para que este último incluya en el registro individual la leyenda “reclamo en trámite". Esta leyenda debe mantenerse hasta que se decida el reclamo.
Cuando el reclamo sea presentado ante el operador de información y este dé traslado a la entidad vigilada, ésta última deberá resolver e informar la respuesta al operador en un plazo máximo de diez (10) días hábiles.
10. En los casos en que las entidades vigiladas sean objeto de acciones de tutela relacionadas con el derecho fundamental de habeas data, deberán informar al operador de información dentro de los dos (2) días hábiles siguientes a la notificación de la acción y solicitar la inclusión de la leyenda “información en discusión judicial" la cual deberá mantenerse hasta que se resuelva dicha acción.
11. Cuando el consumidor financiero manifieste haber sido víctima de suplantación, la entidad vigilada deberá, dentro de los diez (10) días hábiles siguientes, cotejar los documentos utilizados para adquirir la obligación, con los aportados por el reclamante, los cuales se tendrán como prueba sumaria para probar la falsedad personal, caso en el cual la entidad vigilada deberá retirar de forma inmediata el reporte negativo de la información. Con la solicitud de corrección, las entidades vigiladas deben avisar al operador de información para que este incluya dentro del registro la leyenda “Victima de Falsedad Personal”.
12. Las peticiones o reclamos relacionados con el derecho fundamental de habeas data deben ser resueltas dentro de los quince (15) días hábiles siguientes a su recibo, término prorrogable hasta por ocho (8) días hábiles más. De no atenderse, se entenderá que la petición o reclamo ha sido aceptado -silencio- y, en ese sentido, la entidad vigilada deberá actuar sin que medie orden o requerimiento alguno por parte de esta Superintendencia.
13. Adicionalmente, con el fin de salvaguardar el derecho fundamental de habeas data e Información, se recomienda a las entidades vigiladas que, de forma periódica, adelanten campañas de actualización de datos de los titulares de información.
14. En todo caso, se les recuerda a las entidades vigiladas que, con el fin de garantizar la protección efectiva del derecho fundamental de habeas data, esta Superintendencia está facultada para: (i) impartir instrucciones y órdenes respecto de cómo deben cumplirse las disposiciones sobre la materia, (ii) señalar procedimientos para su aplicación, (iii) ordenar de oficio o a petición de parte la corrección, actualización o retiro de reporte sobre datos personales e (iv) iniciar investigaciones administrativas, con miras a la imposición de sanciones o la adopción de medidas.
15. De conformidad con lo expuesto, esta Superintendencia les recuerda a las entidades vigiladas el deber de respetar el derecho fundamental de habeas data, y su obligación de cumplirlo dispuesto en las Leyes 1266 de 2008 y 2157 de 2021 o cualquiera que las adicione, modifique o sustituya, por lo que les corresponderá ajustar los procedimientos y controles para dar pleno cumplimiento a este régimen especial.
Cordialmente,
CESAR FERRARI
Superintendente Financiero de Colombia
1. Corte Constitucional Sentencia C-748 del 6 de octubre de 2011. Magistrado Ponente: Jorge Ignacio Pretelt Chaljub.
2. Ver Ley 1266, articulo 3, literal c.
