CONCEPTO 273904 DE 2015
(diciembre 31)
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
Señor
JUAN CAMILO PULGARIN
ju0114@gmail.com
| ASUNTO: | Radicación: | 15-273904- -00002-0000 |
| Trámite: | 113 | |
| Evento: | 0 | |
| Actuación: | 440 | |
| Folios: | 1 | |
Estimado(a) Señor:
Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a la comunicación remitida por la Superintendencia Financiera de Colombia y radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:
Manifiesta en su escrito lo siguiente: “(…) Me llega un mensaje de correo donde mencionan: [Ingreso de una nueva huella en su historia de crédito. La entidad (…) realizó una consulta a su historial en fecha (…)] Yo tengo dos productos con (…), pero quiero saber si ¿ellos tiene derecho a investigar mi historial crediticio cuantas veces quieran (…)”
A continuación nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta Oficina Asesora Jurídica mediante un concepto no puede solucionar situaciones particulares.
Sea lo primero señalar que el artículo 15 de la Constitución Política, establece:
\"Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.
Respecto de la disposición transcrita la Corte Constitucional, en Sentencia T-060 de 2003, Magistrado Ponente, Doctor Eduardo Montealegre Lynnet, señaló:
“El derecho de habeas data, definido por el artículo 15 de la Carta, consiste en la facultad que tiene cada persona para conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. La ubicación de la precitada norma en el Capítulo Primero del Libro Segundo de la Carta, correspondiente a los “derechos fundamentales”, no deja duda acerca de la categoría de tal reconocida al derecho en referencia. Respecto de su protección, el constituyente indicó adicionalmente que en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
“(...)
“De esta manera, el núcleo esencial del derecho de habeas data está integrado por el derecho a la libertad y a la autodeterminación informática en general, y por la libertad económica en particular, pues, como lo ha establecido la Corte, ella podría verse vulnerada al restringirse indebidamente en virtud de la circulación de datos que no sean veraces, o que no haya sido autorizada por la persona concernida o por la ley.
“La autodeterminación es la posibilidad de que dispone una persona para permitir que sus datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales. (... )”.
De igual modo la honorable Corte Constitucional en Sentencia C-981 de 2005, magistrado ponente Dra. Clara Inés Vargas Hernández, consideró que “hace parte del habeas data la previa autorización expresa y voluntaria que debe dar el interesado para que un tercero pueda disponer de su información personal, asistiéndole el derecho no solamente a autorizar su circulación sino a rectificarlos o actualizarlos”.
Como se advierte, el artículo 15 de la Constitución Política establece que las personas, en desarrollo de su derecho a la autodeterminación informática y el principio de libertad, son quienes de forma expresa autorizan que la información que sobre ellos se recaude o circule pueda ser incluida en un banco de datos.
La ausencia de dicha autorización implica necesariamente que los datos personales asociados al titular no podrán ser reportados por la fuente a un operador de información.
Ahora bien, la Ley 1266 de 2008 de Habeas Data en su artículo 3 consagra las siguientes definiciones:
\"a) Titular de la información. Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley;
b) Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. (... )
c) Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. (... )
d) Usuario. El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos;
e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados;
(...)
g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.
(...)
j) Información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.
Para todos los efectos de la presente ley se entenderá por información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen”.
Así mismo, la Corte Constitucional, mediante Sentencia C-1011 de 2008, la cual efectuó el proceso de revisión del proyecto de Ley Estatutaria No. 27/06 Senado -221/07 Cámara (Acum. 05/06 Senado) /"Por la cual se dictan disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países/", en unos de sus apartes, señaló:
“En contrario, los datos semiprivados y privados, habida cuenta la naturaleza de la información que contienen, se les adscriben restricciones progresivas en su legítima posibilidad de divulgación, que se aumentan en tanto más se acerquen a las prerrogativas propias del derecho a la intimidad. De esta forma, el dato financiero, comercial y crediticio, si bien no es público ni tampoco íntimo, puede ser accedido legítimamente previa orden judicial o administrativa o a través de procedimientos de gestión de datos personales, en todo caso respetuosos de los derechos fundamentales interferidos por esos procesos, especialmente el derecho al hábeas data financiero.
En este escenario, como lo ha reconocido esta Corporación en oportunidades anteriores, el acceso a la información es un acto compatible por la Constitución, amén de la necesidad de ponderar el ejercicio del derecho al hábeas data del titular de la información semiprivada, para el caso objeto de análisis de contenido comercial y crediticio, y la protección del derecho a la información que tiene los sujetos que concurren al mercado económico y que, por ende, están interesados en obtener datos que les permitan determinar el nivel de riesgo crediticio de los sujetos concernidos, precisamente, el objeto general del Proyecto de Ley es establecer las reglas que permitan que la utilización de esa información semiprivada resulte respetuosa de los derechos y libertades predicables de los procesos de recolección, tratamiento y circulación de datos personales.\"
En tal virtud, al tratarse de la categoría de \"datos semiprivados\" para efectos de accesar a dicha información, se debe respetar los derechos fundamentales en todas las etapas de recolección, tratamiento y circulación de los datos personales.
3. Autorización para la administración de datos de contenido crediticio, financiero, comercial, de servicios o la proveniente de terceros países
El artículo 8 de la Ley 1266 de 2008, establece, entre otros, el siguiente deber para las fuentes de información así:
“(...)
5. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley.
(... )”
En concordancia con lo anterior, el numeral 1.3.3., del Capítulo primero, del Título V de la Circular Única de esta entidad, dispone lo siguiente:
1.3.3. Deber de solicitar y conservar copia de la respectiva autorización otorgada por los titulares de la información y de asegurarse de no entregar a los operadores ningún dato cuyo suministro no esté previamente autorizado
Con el fin de dar cumplimiento a lo establecido en el numeral 5 del artículo 8 de la Ley 1266 de 2008, las fuentes de información deben garantizar que todo reporte de información positiva o negativa que repose en la base de datos de un operador de información, sin excepción alguna, cuente con la autorización otorgada por su titular. Dicha autorización debe cumplir con los siguientes requisitos:
a) Ser expresa, es decir, contener la manifestación de una voluntad libre, específica e inequívoca que le permita a la fuente recopilar, disponer o divulgar la información crediticia del titular.
b) Ser previa, esto es, otorgada con antelación al reporte de la información. La autorización previa y expresa a la que hace referencia el numeral 5 del artículo 8 de la Ley 1266 de 2008 puede ser otorgada de manera verbal o mediante documento físico o electrónico, siempre que cumpla con los siguientes requisitos:
(i) Que la fuente de la información identifique plenamente al titular en el momento en que se otorgue dicha autorización.
(ii) Que el titular exprese su voluntad de manera previa, libre, espontánea, específica e inequívoca en el sentido de autorizar a la fuente para recopilar, usar o divulgar su información.
(iii)Que se informe plenamente al titular acerca de la finalidad para la cual está otorgando la autorización.
(iv) En caso de que la autorización se otorgue por medios electrónicos, que la misma se ajuste a las previsiones contempladas en la Ley 527 de 1999 y demás normas aplicables.
(v) Que se conserve copia de la misma. En los casos en que la autorización se obtenga por vía telefónica, se deberá guardarse la respectiva grabación.
Cualquier dato positivo o negativo que repose en la base de datos de un operador de información sin contar con la autorización otorgada por su titular, debe ser eliminado de manera inmediata, una vez se advierta la ausencia de la misma como consecuencia de la solicitud del titular, surtida a través del respectivo reclamo.
En los casos de enajenación de obligaciones, la autorización previa y expresa otorgada por el titular de la información a la entidad originadora de la obligación, se considera válida para efectos de realizar los reportes de información negativa y/o positiva ante los operadores, sin perjuicio del deber de la fuente de acreditar tal enajenación.
Por lo anterior, las fuentes de información deben contar con la autorización expresa y previa del titular, para recopilar, disponer o divulgar la información crediticia del titular y haberle informado la finalidad para la cual se está otorgando dicha autorización.
El artículo 5 de la Ley 1266 de 2008 establece lo siguiente:
“Circulación de información. La información personal recolectada o suministrada de conformidad con lo dispuesto en la ley a los operadores que haga parte del banco de datos que administra, podrá ser entregada de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes términos:
a) A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes mediante el procedimiento de consulta previsto en la presente ley.
b) A los usuarios de la información, dentro de los parámetros de la presente ley.
c) A cualquier autoridad judicial, previa orden judicial.
d) A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.
e) A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.
f) A otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos. Si el receptor de la información fuere un banco de datos extranjero, la entrega sin autorización del titular sólo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular.
g) A otras personas autorizadas por la ley”.
Por lo anterior, los operadores de información pueden suministrar la información personal de manera verbal o escrita recolectada o suministrada de conformidad con lo dispuesto en la Ley 1266 de 2008 a las siguientes personas: (i) a los titulares, (ii) a las personas debidamente autorizadas por el titular; (iii) a los causahabientes del titular; (iv) a los usuarios de información; (v) a la autoridad judicial previa orden judicial; (vi) a las entidades públicas del poder ejecutivo en ejericio de sus funciones; (vii) a los organos de control y demás entidades de investigacion disciplinaria, fiscal, o administrativamente, (viii) a otros operadores de datos cuando se cuente con autorización del titular o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos y (iv) a las personas autorizadas por la mencionada ley.
Cabe resaltar que la información que los operadores pueden suministrar es aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, así como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero o los estados financieros del titular.
5.1. Las fuentes de información, entre ellas, los proveedores de servicios de comunicaciones deben contar con la autorización expresa y previa del titular, para recopilar, disponer o divulgar la información crediticia del titular y haberle informado la finalidad para la cual se está otorgando dicha autorización.
5.2. Los operadores de información pueden suministrar la información personal de manera verbal o escrita recolectada o suministrada de conformidad con lo dispuesto en la Ley 1266 de 2008 a las siguientes personas: (i) a los titulares, (ii) a las personas debidamente autorizadas por el titular; (iii) a los causahabientes del titular; (iv) a los usuarios de información; (v) a la autoridad judicial previa orden judicial; (vi) a las entidades públicas del poder ejecutivo en ejericio de sus funciones; (vii) a los organos de control y demás entidades de investigacion disciplinaria, fiscal, o administrativamente, (viii) a otros operadores de datos cuando se cuente con autorización del titular o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos y (iv) a las personas autorizadas por la mencionada ley.
Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co
Atentamente,
WILLIAM ANTONIO BURGOS DURANGO
JEFE OFICINA ASESORA JURÍDICA