CONCEPTO 402263 DE 2023

(octubre)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C., octubre de 2023

Asunto:	Radicación:	23-402263
Trámite:		113
Evento:		0
Actuación:		440
Folios:		10

Reciba cordial saludo

De conformidad con lo previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se sustenta la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

1. OBJETO DE LA CONSULTA

Atendiendo su solicitud radicada ante esta Entidad en la cual señala:

“¿LA CONSULTA Y TRATAMIENTO DE DIRECCIONES Y CUENTAS BANCARIAS DE PERSONAS NATURALES Y JURIDICAS, OBTENIDAS DE BASES DE DATOS COMO DATACREDITO, CON EL FIN DE LLEVAR LA INFORMACION A PROCESOS JUDICIALE, ES CONSIDERADA COMO DATOS SENSIBLES Y SU OBTENCION Y TRATAMIENTO POR PARTE DE UNA FIRMA DE ABOGADOS ES ILEGAL. ?”

Nos permitimos realizar las siguientes precisiones:

2. CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:

“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparán a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no.

Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán las herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:

3. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE HABEAS DATA

En virtud de las atribuciones conferidas en la Ley 1266 de 2008 y el Decreto 4886 de 2011 (modificado por el Decreto 092 de 2022), la Superintendencia de Industria y Comercio está facultada para la protección de datos personales así:

“54. Vigilar a los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países de la misma naturaleza, en cuanto se refiere a la actividad de administración de datos personales, en los términos de la ley 1266 de 2008, sin perjuicio de la competencia de la Superintendencia Financiera.”

4. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS

La Ley 1581 de 2012, en su artículo 21 señala, entre otras, las siguientes funciones para esta Superintendencia:

- Velar por el cumplimiento de la legislación en materia de protección de datos personales;

- Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de estos;

- Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;

- Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley;

- Solicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

5. CONSIDERACIONES EN TORNO A LA CONSULTA PRESENTADA

Sea lo primero indicar que dando aplicación a la Ley 1581 de 2012, el tratamiento de los datos personales, como la dirección de las personas naturales, solo puede realizarse cuando exista la autorización previa, expresa e informada del titular o por mandato legal con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

El ámbito de aplicación de la Ley 1581 de 2012 las bases de datos a que hace referencia la Ley 1266 de 2008 son exceptuadas, puesto que, las bases de datos previstas en esta última hacen referencia a datos de contenido crediticio, financiero, de servicios y comercial cuya finalidad es el estudio de riesgo y el análisis crediticio del titular la información. Dichos datos son considerados semiprivados, y por ello, las fuentes y usuarios de información deben contar con la autorización previa, expresa e informada del titular.

A su vez, en materia de Datos financieros, comerciales y crediticios, los operadores de información pueden suministrar la información personal de manera verbal o escrita recolectada o suministrada de conformidad con lo dispuesto en la Ley 1266 de 2008 a las siguientes personas: (i) a los titulares, (ii) a las personas debidamente autorizadas por el titular; (iii) a los causahabientes del titular; (iv) a los usuarios de información; (v) a la autoridad judicial previa orden judicial; (vi) a las entidades públicas del poder ejecutivo en ejercicio de sus funciones; (vii) a los órganos de control y demás entidades de investigación disciplinaria, fiscal, o administrativamente, (viii) a otros operadores de datos cuando se cuente con autorización del titular o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos y (ix) a las personas autorizadas por la mencionada ley.

A continuación, procedemos a mencionar las consideraciones de orden constitucional, legal, jurisprudencial y doctrinal, en el marco del interrogante planteado en su solicitud.

6. AMBITO DE APLICACION DE LA LEY 1581 DE 2012

El artículo 2 de la Ley 1581 de 2012 señala su ámbito de aplicación, en los siguientes términos:

“Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

(...)

El régimen de protección de datos personales que se establece en la presente Ley no será de aplicación:

(...)

e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.

(...)

La precitada ley aplica al tratamiento de datos personales efectuado por entidades públicas o privadas, dentro del país o cuando el responsable o encargado no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

Por su parte, dentro de las excepciones de aplicación que señala la misma Ley, están las bases de datos o archivos regulados por la Ley 1266 de 2008, cuyo objeto es desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.

Respecto a la mencionada excepción la CORTE CONSTITUCIONAL mediante Sentencia C-748 de 2011 señaló lo siguiente:

“Constitucionalidad del literal e): la excepción de “datos y archivos regulados por la Ley 1266 de 2008”

La Ley 1266 de 2008 es la ley estatutaria de protección de datos personales comerciales y financieros para el cálculo de riesgo crediticio, como fue definido en la sentencia C-1011 de 2008. Estos datos requieren una regulación especial -como la adoptada en la Ley 1266 y declarada exequible por esta Corporación, debido a que en este ámbito se presenta una tensión entre el habeas data y el desarrollo de la actividad financiera y bursátil, actividad de interés público en virtud del impacto que puede tener sobre todo el sistema económico y, por esta vía, sobre la garantía de derechos fundamentales y el mantenimiento del orden público. En vista de la necesidad de regular el tratamiento de estos datos de manera especial, debían exceptuados de la aplicación del proyecto bajo estudio.

Por tanto, la Sala declarará exequible el literal e), de conformidad con lo expuesto en la sentencia C-1011 de 2008. Sin embargo, la Sala advierte que, según el parágrafo del artículo 2, los principios que prevé el proyecto bajo estudio deben aplicarse de manera complementaria con los establecidos en la Ley 1266'.

Por lo anterior, en el ámbito de aplicación de la Ley 1581 de 2012 las bases de datos a que hace referencia la Ley 1266 de 2008 son exceptuadas, puesto que, las bases de datos previstas en esta última hacen referencia a datos de contenido crediticio, financiero, de servicios y comercial cuya finalidad es el estudio de riesgo y el análisis crediticio del titular la información. Dichos datos son considerados semiprivados, y por ello, las fuentes y usuarios de información deben contar con la autorización previa, expresa e informada del titular.

7. Circulación de la información comercial, crediticia o financiera

El artículo 5 de la Ley 1266 de 2008 establece lo siguiente:

“Circulación de información. La información personal recolectada o suministrada de conformidad con lo dispuesto en la ley a los operadores que haga parte del banco de datos que administra, podrá ser entregada de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes términos:

a) A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes mediante el procedimiento de consulta previsto en la presente ley.

b) A los usuarios de la información, dentro de los parámetros de la presente ley.

c) A cualquier autoridad judicial, previa orden judicial.

d) A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.

e) A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.

f) A otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos. Si el receptor de la información fuere un banco de datos extranjero, la entrega sin autorización del titular sólo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular.

g) A otras personas autorizadas por la ley”.

Por lo anterior, los operadores de información pueden suministrar la información personal

de manera verbal o escrita recolectada o suministrada de conformidad con lo dispuesto en la Ley 1266 de 2008. Así mismo, la información que los operadores pueden suministrar es aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, así como la información relativa a las demás actividades propias del sector financiero o sobre el manejo o los estados financieros del titular.

Respecto a los usuarios de información, el artículo 3 de la Ley 1266 de 2008 lo define en los siguientes términos:

“d) Usuario. El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos”.

En consecuencia, los usuarios de la información pueden acceder a la información de contenido financiero y crediticio de actividad comercial o de servicios, por parte de las fuentes de información y deben dar cumplimiento a los deberes y responsabilidades previstos en la ley para garantizar el derecho de hábeas data de los titulares de la información

Ahora bien, el artículo 9 de la Ley 1266 de 2008 señala los siguientes deberes de los usuarios de la información:

“Deberes de los usuarios. Sin perjuicio del cumplimiento de las disposiciones contenidas en la presente ley y demás que rijan su actividad, los usuarios de la información deberán:

1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada, en los términos de la presente ley.

2. Informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información.

3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.

4. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la presente ley.

5. Los demás que se deriven de la Constitución o de la presente ley."

En ese sentido, los usuarios de la información pueden utilizar la información suministrada por las fuentes para los fines para los que le fue entregada y deben informar al titular sobre dicha utilización. Así mismo, deben conservar la información con las seguridades respectivas para evitar su deterioro, pérdida, alteración, uso no autorizado o fraudulento.

Ahora bien, el artículo 15 de la mencionada ley, dispone lo siguiente respecto al acceso de información por parte de los usuarios de información

“ACCESO A LA INFORMACIÓN POR PARTE DE LOS USUARIOS. La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países podrá ser accedida por los usuarios únicamente con las siguientes finalidades:

Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así como para la evaluación de los riesgos derivados de una relación contractual vigente.

Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.

Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.

Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información.

(Subrayas y negrilla fuera de texto)

En consecuencia, los usuarios de información únicamente pueden acceder a la información financiera, crediticia, comercial, de servicios o la proveniente de terceros paises⁽¹⁾; por parte de los operadores de la información para las siguientes finalidades: (i) servir como elemento de análisis para establecer una relación contractual de cualquier naturaleza, o evaluar el riesgo derivado de una relación contractual vigente (ii) hacer estudios de mercado, o investigaciones comerciales o estadísticas; (iii) el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulta pertinente; y (iv) para cualquier otra finalidad, respecto de la cual de manera general o en forma particular, se haya obtenido autorización por parte del titular de la información.

8. DEFINICIÓN Y TRATAMIENTO DE DATOS PERSONALES

Para el tratamiento de datos personales, es necesario tener en cuenta el principio de libertad, definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

El literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes

términos: "Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”

De esta manera, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

Por su parte, el literal g) del artículo 3 define tratamiento en los siguientes términos: "Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión."

Por lo anterior, el tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.

8.1. Autorización para el tratamiento de datos personales

En el tratamiento de los datos personales como la recolección, almacenamiento, uso, circulación o supresión de los mismos debe tenerse en cuenta el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

“cj Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento."

Conforme lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

Ahora bien, es necesario tener en cuenta el literal b) del artículo 4 de la mencionada ley define el principio de finalidad así: "b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular". Por lo tanto, la utilización de los datos personales de un titular debe realizarse para los casos autorizados de manera previa y expresa por éste cumpliendo con una finalidad legítima y destinada a realizar los fines exclusivos para los cuales fue entregada por el titular.

Respecto a la autorización el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 señala lo siguiente:

"Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento/'

En concordancia con lo anterior, el artículo 2.2.2.25.2.4 del precitado Decreto dispone:

“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca/'

Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de estos, y debe utilizar mecanismo que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra http://www.sic.gov.co/Doctrina-1

Atentamente,

MARIA ISABEL SALAZAR ROJAS

Jefe Oficina Asesora Jurídica

<NOTAS DE PIE DE PÁGINA>

1. Aquella referida al nacimiento, ejecución y extinción de obligaciones dineradas, Independientemente de la naturaleza del contrato que les dé origen.