Las órdenes no son sanciones sino medidas necesarias para que se cumpla correctamente lo previsto en la regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los seres humanos. Sin seguridad no existe debido Tratamiento de Datos personales. Las entidades públicas y privadas deben ser responsables, diligentes y muy profesionales para generar confianza y avalar el Tratamiento seguro de la información de las personas.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política. En el caso concreto, si bien el Titular interpuso una Tutela en la jurisdicción ordinaria, esta Superintendencia no perdió competencia para pronunciarse sobre los deberes establecidos en los numerales 1 y 5 del artículo 8 de la Ley Estatutaria 1266 de 2008, porque en el fallo judicial no se decidió sobre dichas normas. Por tanto, no es procedente aplicar el principio constitucional de Non Bis In Idem.
La Constitución de la República de Colombia y la ley destacan como importante el Tratamiento de Datos, sin que sea relevante si este se realiza mediante mecanismos manuales, automatizados o si se recurre al uso de tecnologías conocidas o por conocer para dicho efecto. Por su parte, el Tratamiento de los Datos personales de los menores de edad responde al interés constitucional de los mismos. Los niños, niñas y adolescentes son Titulares del Derecho Fundamental de Habeas Data y del debido Tratamiento de sus Datos personales. La Autorización para el Tratamiento de esa información debe ser otorgada por el representante legal del niño, niña o adolescente, tal como lo señala el artículo 12 del Decreto 1377 de 2013.
Las órdenes no son sanciones sino medidas necesarias para que se cumpla correctamente lo previsto en la regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los seres humanos. Sin seguridad no existe debido Tratamiento de Datos personales. Las entidades públicas y privadas deben ser responsables, diligentes y muy profesionales para generar confianza y avalar el Tratamiento seguro de la información de las personas.
Las órdenes no son sanciones sino medidas necesarias para que se cumpla correctamente lo previsto en la regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los seres humanos. Sin seguridad no existe debido Tratamiento de Datos personales. Las entidades públicas y privadas deben ser responsables, diligentes y muy profesionales para generar confianza y avalar el Tratamiento seguro de la información de las personas.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si bien es obligación de los deudores pagar oportunamente sus obligaciones dinerarias, al mismo tiempo quien realiza un reporte negativo debe observar el debido proceso señalado en el artículo 12 de la citada Ley Estatutaria. Si se omite ese requerimiento dicho reporte es ilegal. En este caso, el ICETEX realizó un reporte negativo de información sin respetar el término de 20 días entre el envío de la comunicación y el reporte negativo, conforme lo establece la norma, por tanto, dicho reporte es ilegal.
Las órdenes no son sanciones sino medidas necesarias para que se cumpla correctamente lo previsto en la regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los seres humanos. Sin seguridad no existe debido Tratamiento de Datos personales. Las entidades públicas y privadas deben ser responsables, diligentes y muy profesionales para generar confianza y avalar el Tratamiento seguro de la información de las personas.
Las órdenes no son sanciones sino medidas necesarias para que se cumpla correctamente lo previsto en la regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los seres humanos. Sin seguridad no existe debido Tratamiento de Datos personales. Las entidades públicas y privadas deben ser responsables, diligentes y muy profesionales para generar confianza y avalar el Tratamiento seguro de la información de las personas.
Las órdenes no son sanciones sino medidas necesarias para que se cumpla correctamente lo previsto en la regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los seres humanos. Sin seguridad no existe debido Tratamiento de Datos personales. Las entidades públicas y privadas deben ser responsables, diligentes y muy profesionales para generar confianza y avalar el Tratamiento seguro de la información de las personas.
Las órdenes no son sanciones sino medidas necesarias para que se cumpla correctamente lo previsto en la regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los seres humanos. Sin seguridad no existe debido Tratamiento de Datos personales. Las entidades públicas y privadas deben ser responsables, diligentes y muy profesionales para generar confianza y avalar el Tratamiento seguro de la información de las personas.
Existe un principio general de interpretación jurídica según el cual en donde la ley no distingue, no le es dado al intérprete hacerlo, entonces, si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad hacerlo. Farrow Ventures y Farrow México S.A.P.I. de C.V mediante mecanismos electrónicos -aplicativo móvil PIG.GI- recolectan Datos personales en el territorio de la República de Colombia. Así, ese Tratamiento de Datos personales está sujeto a la legislación colombiana. Por su parte, la regulación sobre de datos personales impone cargas probatorias a los Responsables del Tratamiento, esto es, el deber demostrar que ha adoptado medidas efectivas para cumplir la ley (Deber de Responsabilidad demostrada) -artículo 26 del decreto 1377 de 2013-. En este caso, las recurrentes utilizaron la versión 3.2.1 de la aplicación pig.gi para recolectar y tratar datos personales sin solicitar autorización previa, expresa e informada a las personas Titulares de esa información. Por ende, fue ilícita la recolección de datos realizada mediante dicha herramienta.
La Ley 1581 de 2012 fija de manera expresa su ámbito de aplicación “al tratamiento de datos personales efectuado en territorio colombiano”. Para recolectar datos en Colombia no es necesario estar domiciliado en este país. Avances y herramientas tecnológicas permiten que empresas u organizaciones recolecten datos en Colombia sin hacer presencia física en nuestro territorio. Estas organizaciones realizan “presencia tecnológica” mediante el uso de las dichas herramientas o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc.) ubicadas en el territorio colombiano. Esa realidad no puede desconocerse ni ser argumento para eximirse de la aplicación de la regulación colombiano. No es sensato que quien recolecte y trate datos en el territorio de la República de Colombia sin estar domiciliado o residir en el mismo acuda a argumentos clásicos de territorialidad no solo para para evadir sus responsabilidades legales frentes a las autoridades y los titulares de los datos, sino para desconocer el ámbito de aplicación de la citada ley. En este caso, como las web cookies se instalan por parte de Zoom en equipos ubicados en Colombia, el Tratamiento de la información recolectada por este medio se somete al cumplimiento de la Ley 1581 de 2012.
La ley prevé cinco elementos esenciales y obligatorios en relación con la calidad de la información que reposa en bases de datos, a saber, que esta sea: veraz, completa, exacta, actualizada y comprobable - literal a), artículo 8, Ley 1266 de 2008-. No es lícito que se recolecte, use, circule o difunda cualquier tipo de información, sino únicamente aquella que cumpla dichos requerimientos. De ahí que la información no solo debe reflejar la verdad, sino que tiene que ser precisa, correcta, actual (puesta al día) y verificable. En este caso, el recurrente reportó información como persona natural que no es cierta porque no es el acreedor de la obligación ni quien debería actuar como fuente. El acreedor es Power Oil Lubricantes S.A.S. (no su representante legal), por tanto, dicho reporte es ilegal al carecer de veracidad.
La declaratoria de conformidad es una alternativa para poder realizar transferencias internacionales de datos desde Colombia a otros países. Si la misma no es procedente, el exportador de los datos debe utilizar otro mecanismo permitido por la Ley Estatutaria 1581 de 2012 para dicho efecto. En este caso, el remitente de los datos personales es un establecimiento de comercio y, por tanto, al no ser una persona natural o jurídica -sino un conjunto de bienes según el artículo 515 del Código de Comercio-, no es un Responsable o un Encargado porque no cumple el requisito señalado en los literales d) y e) del artículo 3 de la Ley Estatutaria 1581 de 2012.
La regulación sobre datos personales impone cargas probatorias a los Responsables del Tratamiento, en particular, el deber de demostrar que han adoptado medidas efectivas para cumplir las normas sobre la materia - Responsabilidad Demostrada, artículo 26 del decreto 1377 de 2013-. Dentro de las obligaciones legales de los Responsables está la de contestar de manera oportuna, respetuosa y de fondo las consultas o reclamos de los Titulares. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. No respetar los derechos de los Titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos. En este caso, Casa Editorial El Tiempo S.A. no respondió oportunamente un reclamo formulado por el Titular del dato, vulnerando así su derecho a la protección de datos personales.
Sin seguridad no existe debido Tratamiento de datos personales -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. La personalidad jurídica de las sociedades se extingue con la inscripción de la cuenta final de la liquidación. Estar en proceso de liquidación no exime a la sociedad recurrente de sus deberes como Responsable del Tratamiento de esa información. Por eso, las entidades públicas y privadas, así se encuentren en proceso de liquidación, deben ser muy responsables, diligentes y muy profesionales con el Tratamiento seguro de dichos datos.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar un reporte de información negativa. Asimismo, las Fuentes de la información, en caso de ser requeridas por esta Superintendencia, deben estar en capacidad de aportar copia de la comunicación escrita enviada al Titular a la última dirección registrada por éste. En este caso, la Caja de Compensación Familiar CAFAM, a pesar de que no fue diligente en demostrar el deber consagrado en el artículo 12 de la Ley 1266 de 2008, dió cumplimiento a lo ordenado por esta Superintendencia al eliminar el reporte negativo de información del Titular, razón por la cual no tiene sentido mantener la orden emitida porque su objetivo ya se cumplió.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política. En el caso concreto, si bien la decisión tomada en primera instancia en la jurisdicción ordinaria fue revocada, los elementos constitutivos de la figura estudiada -Non Bis In Ídem- no desaparecen.
Proteger la información es una condición crucial para garantizar el debido Tratamiento de los datos personales. El acceso, la consulta y el uso no autorizado o fraudulento, así como la manipulación y pérdida de la información son los principales riesgos naturales y humanos que se deben mitigar a través de medidas de seguridad de naturaleza humana, física, administrativa o técnica. En este caso, las órdenes dadas a la sociedad investigada se enfocaron en que se fortalecieran las medidas para garantizar la seguridad que debe observarse en el Tratamiento de datos personales. Por eso, las mismas son de naturaleza preventiva y se ajustan a derecho.
No responder de manera respetuosa, completa y de fondo, dentro del término legal establecido, un reclamo o consulta hecho por un Titular de información, vulnera su derecho fundamental de Habeas Data, impidiendo que conozca, actualice o rectifique la información que sobre él se tenga en una base de datos o archivo. Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. De ninguna manera se debe tolerar como un comportamiento “normal” el incumplimiento de las normas, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los datos personales. En el caso concreto, la respuesta al derecho de petición presentado por el quejoso fue enviada por fuera del término legal establecido -artículo 16 de la Ley 1266 de 2008-, con esto, vulnerando su derecho fundamental a la protección de datos.
Las competencias de esta entidad en casos de suplantación de identidad se circunscriben a lo previsto en el artículo 17 de la Ley Estatutaria 1266 de 2008, dentro de las cuales no se encuentra la facultad legal de: (i) determinar si existe o no la suplantación de identidad, (ii) ordenar el pago de indemnización de perjuicios o (iii) solicitar que se emitan excusas a la persona afectada, entre otros. Por su parte, si la información que se reporta ante las centrales de información financiera no es veraz ni comprobable -numeral 1 del artículo 8 de la Ley Estatutaria 1266 de 2008-, la Fuente debe abstenerse de realizar el reporte. Quienes conceden créditos, venden bienes o prestan servicios deben adoptar todas las medidas necesarias para establecer la verdadera identidad de sus clientes. Si no lo hacen: (i) ganan los delincuentes suplantadores, y (ii) pierden las empresas.
La información negativa, por regla general, no debe mantenerse de manera indefinida. El dato de morosidad no es eterno ni perpetuo. Desde la Sentencia T 414 del 16 de junio de 1992, la Corte Constitucional ha sostenido que las informaciones negativas acerca de una persona no tienen vocación de perennidad y, en consecuencia, después de algún tiempo, deben desaparecer totalmente del banco de datos respectivo. La Ley Estatutaria 1266 de 2008, modificada por la Ley 2157 de 2021, es clara en señalar que: “El dato negativo y los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera y, en general aquellos datos referentes a una situación de incumplimiento (…) caducarán una vez cumplido el término de ocho (8) años, contados a partir del momento en que entre en mora la obligación; cumplido este término deberán ser eliminados”.
Sólo podrá efectuarse un reporte de información negativa a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicación de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008. En el evento en que se presenten moras sucesivas y continuas, la obligación de comunicar previamente al Titular de la información se entenderá cumplida con la comunicación inicial -Artículo 2.2.2.28.2 del Decreto 1074 de 2015-. En el caso concreto, el reporte de mora de la obligación a cargo del Titular no se presentó de manera sucesiva y continua, razón por la cual era el deber del ICETEX enviar una nueva comunicación previa al reporte negativo.
El artículo 78 de la Ley 1437 de 2011-Código de Procedimiento Administrativo y de lo Contencioso Administrativo CPACA-ordena que se rechacen los recursos que no se interpongan dentro del plazo legal. Por su parte, el plazo legal para presentar recurso de reposición es de diez (10) días hábiles contados a partir del día siguiente de la notificación. En el caso concreto, el recurso fue interpuesto por fuera del plazo, por tanto, no procede el recurso de queja y se confirma la decisión de rechazar el recurso de reposición y en subsidio apelación.
No es competencia de la Delegatura para la Protección de Datos Personales dirimir conflictos contractuales o de protección del consumidor, toda vez que no se encuentra facultada por la Ley Estatutaria 1266 de 2008 para dicho fin. Por su parte, para lo que sí tiene competencia esta Delegatura es para verificar el cumplimiento del procedimiento establecido por esa Ley para realizar reportes negativos ante las centrales de información financiera. Frente al particular, la comunicación previa de que trata el artículo 12 de la mencionada Ley es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y el reporte es ilegal.
Las Fuentes de la información tienen el deber de informar a las centrales de información financiera que determinado reporte se encuentra en discusión por parte del Titular. Lo anterior para que en la historia de crédito de dicho Titular se incluya la leyenda de “reclamo en trámite” en un tiempo no mayor a los dos (2) días hábiles siguientes a la presentación de la queja o reclamo -numeral 8, artículo 8 Ley Estatutaria 1266 de 2008- . En este caso, el Icetex realizó la inscripción de dicha leyenda en la historia de crédito del Titular 6 meses después de la presentación del reclamo, por lo que esa entidad no cumplió con el mencionado deber en el modo y tiempo debidos.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política. En este caso, la recurrente interpuso una acción de tutela ante la jurisdicción ordinaria por los mismos hechos, partes y pretensiones invocados en la queja interpuesta ante esta Superintendencia, por lo que esta entidad no es competente para conocer y fallar el caso.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Sólo podrá efectuarse dicho reporte a una central de información financiera si se ha surtido de manera previa, debida y oportuna ese deber de comunicación. En este caso, el reporte fue ilegal porque el ICETEX no realizó el envío de la comunicación previa con mínimo 20 días calendario de anticipación al reporte de información negativa.
Sin seguridad no hay debido Tratamiento de la información. La seguridad de los datos personales no se logra con la mera expedición de manuales y políticas de seguridad. Es necesario pasar de la seguridad en el papel (documentos, políticas, etc) a la seguridad en la práctica. En el presente caso, la falla de seguridad no solo se originó por error o negligencia humana sino porque el archivo que contenía la información de 413 personas no tenía ningún tipo de seguridad técnica (Ej. documento cifrado con clave de acceso -cifrado de archivos-) para que, en caso de que el mismo llegará a destinatarios no deseados, ellos no pudiesen ver el contenido.
Esta entidad puede iniciar investigaciones de oficio, esto es, sin que sea necesario que el Titular del dato agote el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento. Por su parte, los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. No respetar los derechos de los titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos.
La Constitución Política en su artículo 29 inciso 1 consagra el Derecho al Debido Proceso, el cual se aplica a toda clase de actuaciones judiciales y administrativas. El inciso 4 de esa misma norma establece el principio del Non Bis in Idem al prohibir juzgar dos veces por el mismo hecho, objeto y propósito a un mismo sujeto. En el caso concreto, no se configuró el principio constitucional en mención, pues aunque frente a la sociedad investigada esta Autoridad ha recibido diversas quejas, cada una de ellas ha sido motivada por intenciones y objetivos diferentes.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y dicho reporte es ilegal. El precitado artículo impone a la Fuente de la información el deber de probar el envío de dicha comunicación a la última dirección de la que tuviera conocimiento del Titular, pero no indica que deba acreditarse evidencia de su efectiva recepción.
El Responsable de Tratamiento, directa o indirectamente (a través de un Encargado), trata y define los usos de los datos personales. El Encargado, por su parte, realiza una o varias actividades por cuenta y en nombre del Responsable. Este último hace referencia a personas o empresas externas a una organización (outsourcing) que prestan servicios especializados a otras entidades. Para dicho efecto, normalmente el Responsable le suministra al Encargado los datos personales con miras a que realice las actividades que le ordene el primero. En el caso concreto, SABES SAS obró como Encargada del Tratamiento de un colegio para efectos de realizar unas pruebas académicas y, por tanto, en esa calidad debe velar por el cumplimiento de las disposiciones del Régimen General de Protección de Datos personales -Artículo 18 de la Ley Estatutaria 1581 de 2012-.
Las normas de Protección de Datos nacionales -Ley Estatutaria 1581 de 2012 y sus normas complementarias- son aplicables a TIKTOK PTE. porque recolecta Datos personales por medio de cookies que instala en dispositivos móviles y computadores ubicados en Colombia, es decir, realiza un Tratamiento sobre los mismos. El campo de aplicación de la ley colombiana no ha sido ampliado ni modificado por esta Superintendencia. Tampoco ha sido objeto de una interpretación arbitraria. Simplemente se ha dado cumplimiento a lo que establece el texto de la norma. Para el efecto, se ha utilizado el principio general de interpretación jurídica que establece que: “donde la ley no distingue, no le es dado al intérprete hacerlo”. Si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad excluir el uso de cookies como una de tales herramientas.
La sociedad BYTEDANCE LTD. es corresponsable del Tratamiento de Datos personales que se realiza en la aplicación TikTok. Ello no significa que sea la única propietaria de esa aplicación, sino que, por sí misma o en asocio con otros, decide sobre la Base de Datos y/o el Tratamiento de los Datos que se recolectan y tratan a través de la misma. BYTEDANCE LTD. emplea diversas tecnologías para recolectar Datos personales en el territorio de la República de Colombia, entre las que se incluyen las web cookies. Según un principio general de interpretación jurídica: “en donde la ley no distingue, no le es dado al intérprete hacerlo”; por tanto, si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad excluir el uso de cookies como una de tales herramientas. Por ende, a BYTEDANCE LTD. le es aplicable la Ley Estatutaria 1581 de 2012.
De conformidad con lo establecido en el artículo 81 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo -CPACA-, los recursos podrán desistirse en cualquier tiempo, razón por la cual esta Superintendencia aceptó la solicitud de desistimiento del recurso de apelación por parte de REFINANCIA S.A.S.
Las casillas “pre marcadas” por defecto, no constituyen, per se, consentimiento bajo la Ley Estatutaria 1581 de 2012. En esas situaciones, no es posible determinar de manera objetiva si el Titular ha dado o no su consentimiento sobre la base de una decisión libre e informada. Las tecnologías utilizadas, los procedimientos o mecanismos predeterminados deben ajustarse a las exigencias legales y los requerimientos probatorios de ley. Es obligación de los Responsables del tratamiento utilizar tecnologías y procesos que permitan al Titular dar su consentimiento previo, expreso e informado, así como demostrar todo lo que exige el ordenamiento jurídico.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y dicho reporte es ilegal. En el caso concreto, la sociedad RECAMIER demostró, con ocasión al recurso de apelación, que realizó de manera correcta el reporte negativo de la obligación a cargo del Titular, por lo anterior, la actuación administrativa fue archivada.
No es cierto que esta Delegatura -como lo afirma la apoderada de Google Colombia- haya declarado situación de control entre Google LLC y Google Colombia. Ello se puede corroborar con la simple lectura de la parte resolutiva de la resolución 70315 del 4 de noviembre de 2020 en donde, entre otras, se compulsan copias del expediente a la Superintendencia de Sociedades para lo de su competencia. Como autoridad administrativa respetamos el derecho de defensa de la recurrente, pero nos parece muy grave que se acuda a la mentira como estrategia de defensa jurídica. Ello no es consistente con el decoro, la ética y el profesionalismo que debe guiar la labor de los abogados (as). No es sensato analizar el caso concreto desde una lectura parcial, subjetiva y limitada a ciertas normas o “áreas del derecho”, sino que es imperioso aplicar integralmente diferentes disposiciones de la regulación colombiana y dar primacía a los mandatos constitucionales, tal y como lo ordena el artículo 4 de nuestra Carta Política de 1991. De esta forma, según el artículo 44 de la Constitución: “Los derechos de los niños prevalecen sobre los derechos de los demás” y la protección de estos debe garantizarse en la práctica. Los niños, niñas y adolescentes son Titulares del Derecho Fundamental de Habeas Data y del debido Tratamiento de sus Datos personales. La Autorización para el Tratamiento de esa información debe ser otorgada por el representante legal del niño, niña o adolescente, tal como lo señala el artículo 12 del Decreto 1377 de 2013.
Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales. Almacenes Éxito S.A. trata Datos de más de 29’957.549 de ciudadanos y Éxito Industrias S.A.S. de 941 ciudadanos. Lo anterior las obliga a ser extremadamente diligentes y a garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos.
El comprador de la cartera debe realizar un proceso de investigación (DUE DILIGENCE) con miras a establecer la situación legal y real de lo que desea adquirir con el objetivo de determinar, evaluar y cuantificar las posibles contingencias de una eventual negociación. El DUE DILIGENCE demanda una labor profesional, diligente y exhaustiva que comprende la revisión de todos los documentos y las pruebas de manera que se evidencie un estudio profundo y detallado de cada obligación respecto de la regulación de tratamiento de datos personales para evitar adquirir problemas jurídicos u obligaciones con irregularidades. En el caso concreto, la sociedad GRUPO CONSULTOR ANDINO, entre otras, no probó que: tuviera la calidad de titular de la obligación reportada y, a su vez, de fuente debidamente legitimada para realizar el reporte negativo ante las centrales de riesgo - numerales 1 y 5 del artículo 8, Ley Estatutaria 1266 de 2008-.
Un comprador de cartera debe realizar un proceso de investigación (DUE DILIGENCE) con miras a establecer la situación legal y real de lo que desea adquirir. En materia de datos personales, por ejemplo, un DUE DILIGENCE debe establecer, entre otras, lo siguiente: a) La veracidad de la información teniendo en cuenta que ésta debe ser comprobable. b) La legitimación sobre el tratamiento de datos para determinar si quien los posee los adquirió lícitamente y qué puede hacer con los mismos. c) Verificar que quien trata los datos está facultado para transferir los datos personales a terceros. d) Determinar, en caso de reportes negativos a centrales de información financiera, que quien vende la cartera realizó de manera correcta y oportuna la notificación previa a que se refiere el artículo 12 de la Ley Estatutaria 1266 de 2008.
La Fuente de la información tiene el deber de garantizar que la información que suministre a las centrales de riesgo o usuarios de la información sea veraz, completa, exacta, actualizada y comprobable -numeral 1 artículo 8 Ley 1266 de 2008-. En el caso concreto, se encontró que, de un lado, la sociedad Central de Inversiones S.A. no reporta ningún tipo de información a nombre del Titular y, del otro, que dicha sociedad conserva copia de la autorización y los datos que en ella se encuentran corresponden al Titular de la información.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.
En materia de suplantación de identidad, las competencias de la Delegatura para la Protección de Datos Personales de la SIC se circunscriben a lo previsto en el artículo 17 de la Ley 1266 de 2008, dentro de las cuales no se encuentra la facultad legal de determinar si existe o no la suplantación de identidad, toda vez que esto es competencia de la Fiscalía General de la Nación y los jueces de la República.
Quien adquiere cartera debe ser muy diligente con miras a establecer si quien le vende la misma cumplió correctamente sus deberes respecto de la regulación de tratamiento de datos personales. Dicho comprador debe realizar un proceso de investigación (DUE DILIGENCE) con miras a establecer la situación legal y real de lo que desea adquirir con el objetivo de determinar, evaluar y cuantificar las posibles contingencias de esa compra. No puede aceptarse que el proceso de venta sea un mecanismo de purga de las eventuales irregularidades del pasado. En el caso concreto, la sociedad Promotora de Inversiones y Cobranzas S.A.S. no acreditó el cumplimiento de la comunicación previa al reporte negativo a la dirección de notificación suministrada por el Titular de la información, incumpliendo lo establecido en el 12 de la Ley 1266 de 2008.
La Fuente de la información tiene el deber de acreditar el envío de la comunicación previa de que trata el artículo 12 de la Ley 1266 de 2008, lo que en este caso no probó por parte de la Caja Colombiana de Subsidio Familiar Colsubsidio. Dicha comunicación es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite ese requerimiento, no solo se vulneran los derechos fundamentales a la protección de datos personales y al debido proceso del Titular del Dato, sino que se incurre en un tratamiento ilícito de datos personales.
TIK TOK INC debe cumplir las normas sobre recolección y uso de datos de niñas, niños y adolescentes .La Ley colombiana no distingue si el Tratamiento se debe hacer de determinada manera ni excluye ninguna forma, herramienta, tecnología o proceso para recolectar o tratar Datos. Debe recordarse que existe un principio general de interpretación jurídica que señala que: “en donde la ley no distingue, no le es dado al intérprete hacerlo”; principio que en este caso resulta plenamente aplicable porque TIKTOK, Inc. realiza Tratamiento de Datos en el territorio colombiano mediante el uso de cookies Por tanto, la ley Estatutaria 1581 de 2012 es aplicable a TIKTOK, Inc. porque recolecta Datos personales en el territorio de la República de Colombia a través de cookies que instala en los equipos -teléfonos celulares tablets, computadoras o cualquier otro dispositivo que almacene información- de las personas residentes o domiciliadas en Colombia, y no le corresponde a la SIC excluir el uso de cookies como herramienta para realizar dicho Tratamiento.
De acuerdo con lo establecido en el artículo 17 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo -CPACA-, pasado el término máximo de un (1) mes, “se entenderá que el peticionario ha desistido de su solicitud o de la actuación cuando no satisfaga el requerimiento”. En el caso concreto, pasó más de un (1) mes desde el envío y recepción de un requerimiento de información realizado por la SIC y dirigido a la Titular, al cual ésta no ha dado respuesta. Por tanto, se archiva el expediente, sin perjuicio de que la solicitud de Bloqueo Temporal pueda ser nuevamente presentada con el lleno de los requisitos legales.
La comunicación a que se refiere el artículo 12 de la Ley Estatutaria 1266 de 2008 debe realizarse por la Fuente de la información de manera previa -20 días- al reporte de información negativa y no con posterioridad al mismo. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal, sino que desconoce el derecho fundamental al debido proceso del ciudadano. En el caso concreto, COLOMBIA TELECOMUNICACIONES incumplió este deber y ha reincidido en la comisión de la infracción. Dicha empresa, como Responsable del Tratamiento de Datos de millones de personas, deber ser muy diligente y profesional para garantizar en la práctica lo que ordena la ley Estatutaria 1266 de 2008 y el artículo 15 de la Constitución Política.
La Ley Estatutaria 1581 de 2012 faculta a esta Superintendencia para imponer a los Responsables y Encargados del Tratamiento sanciones no solo de carácter pecuniario sino también aquellas que suspenden las actividades relacionadas con el Tratamiento. Dicha facultad sancionadora está encaminada a asegurar el adecuado manejo de la información personal por parte de los sujetos obligados conforme lo ordena la Ley Estatutaria 1581 de 2012. Imponer una sanción de este tipo no resulta desproporcionada, pues lo que busca es que se corrijan las medidas al interior de la sociedad que dieron lugar a la violación de las normas contenidas en la Ley.
La información que se reporta ante las centrales de información financiera debe ser cierta y de calidad -literal a) del artículo 4 de la Ley 1266 de 2008-. No se puede reportar información sobre la cual no exista certeza de su veracidad porque ello no solo afecta el buen nombre de las personas, sino que induce a error a los usuarios de la información y al público en general. No se puede jugar con los derechos de las personas, sino que se deben garantizar. Por eso, si no es comprobable la información que se va a reportar, la Fuente debe abstenerse de realizar el reporte.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política. En este caso, si bien la Titular acudió al Juez de Tutela, este no decidió sobre la comunicación previa al reporte negativo de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008, por tanto, no es procedente aplicar el principio constitucional de Non Bis In Idem.
La potestad sancionatoria de la administración no es perpetua, sino que debe ejercerse dentro de los términos previstos en la ley. El artículo 52 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo -CPACA- establece que, “salvo lo dispuesto en leyes especiales, la facultad que tienen las autoridades para imponer sanciones caducas a los tres (3) años de ocurrido el hecho, la conducta u omisión(...)”.
No todo dato de acceso público es, per se, de naturaleza pública. La naturaleza jurídica de un dato público no depende únicamente de que su acceso sea libre. De ser así, equivocadamente se concluiría que todos los Datos personales que reposan en internet -fotos, videos, direcciones de correo electrónico, historias clínicas- son de naturaleza pública y, por ende, cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato. Recolectar datos personales privados, semiprivados o sensibles en internet no legitima al recolector para apropiarse de dicha información y hacer lo que quiera con la misma.
La configuración de un “hecho superado” no significa que desaparezcan las eventuales irregularidades en que una empresa pudiera haber incurrido en el Tratamiento de Datos personales y no exime de responsabilidad a quien haya cometido dichos errores. Por lo tanto, el artículo 17 de la Ley Estatutaria 1266 de 2008 otorga a la SIC la facultad de dar el inicio a la respectiva investigación administrativa de carácter sancionatorio contra quien, entre otras cosas, alegue un “hecho superado”. En el caso concreto, CREDITITULOS, a pesar de haber eliminado la información, no desvirtuó el incumplimiento del deber de comunicar previamente al Titular el reporte negativo ante los operadores de información -artículo 12 Ley 1266 de 2008-.
GOOGLE LLC debe cumplir las normas sobre recolección y uso de datos de niñas, niños y adolescentes. Existe un principio general de interpretación jurídica según el cual “en donde la ley no distingue, no le es dado al intérprete hacerlo”. En este caso, dicho principio resulta plenamente aplicable porque GOOGLE LLC realiza Tratamiento de Datos en el territorio colombiano mediante el uso de cookies que instalan en los equipos -teléfonos celulares tablets, computadoras o cualquier otro dispositivo que almacene información- de las personas domiciliadas o residentes en Colombia. Si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a la SIC excluir el uso de cookies como una de tales herramientas. Por ende, GOOGLE LLC recolecta datos en el territorio de la República de Colombia y le es aplicable la Ley Estatutaria 1581 de 2012.
Toda persona -deudor, deudor solidario, fiador, codeudor o cualquier otra-. tiene derecho a que se le comunique de manera previa que será reportado negativamente ante las centrales de información financiera, como lo establece el artículo 12 de la Ley Estatutaria 1266 de 2008. Dicha comunicación es un requisito imprescindible para que las fuentes de la información puedan realizar el reporte de información negativa. Si se omite dicho requisito, automáticamente se vulnera el debido proceso previsto en la ley para tal fin.
Sin seguridad no hay debido Tratamiento de los datos personales. La regulación de Protección de Datos en Colombia exige a los Responsable del Tratamiento ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas necesarias, útiles, apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley Estatutaria 1581 de 2012 (Responsabilidad Demostrada) -Corte Constitucional Sentencia C-32 de 2021-. En materia de seguridad, dichas medidas deben ser capaces de, en la práctica, evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales.
No responder de manera respetuosa, completa y de fondo, dentro del término legal establecido -15 días hábiles-. un reclamo, consulta o solicitud hecha por un Titular de la información a la Fuente, el Operador o el Usuario de la misma, vulnera el derecho fundamental de Hábeas Data de dicho Titular, pues se le impide que conozca cómo está siendo utilizada su información personal. En el caso concreto, el Titular tuvo que solicitar información en cuatro (4) oportunidades para que Colombia Telecomunicaciones diera respuesta de fondo a su petición. Los derechos de las personas deben garantizarse oportuna y debidamente sin que el ciudadano tenga que rogarle o insistirle a las empresas.
La suplantación de identidad consiste en hacerse pasar por otra persona para diversos propósitos: engañar a terceros, obtener bienes y servicios con cargo a la persona suplantada, incurrir en fraudes, etc. Aunque una situación de suplantación afecta a la persona suplantada de diferentes maneras, desde la perspectiva de datos personales la SIC solo puede actuar si la información no es veraz ni comprobable -17 y 18 de la Ley Estatutaria 1266 de 2008-. La regulación sobre tratamiento de datos personales no autoriza a esta Superintendencia para, entre otras: establecer si existió el delito de falsedad personal; ordenar el pago de indemnización de perjuicios; solicitar que se emitan excusas a la persona afectada, o; decidir sobre el presunto delito de falsedad en documento privado o público -artículos 289, 286 y 287 del Código Penal (Ley 599 de 2000)-.
Sin seguridad no existe debido tratamiento de datos personales. CREDIVALORES no cumplió el deber y el principio de seguridad porque suministró a terceros datos personales de la Titular del dato sin su autorización. En otras palabras, no adoptó las medidas de seguridad necesarias para impedir el acceso no autorizado de esos datos -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. Además, la Titular se vio obligada a radicar dos (2) derechos de petición porque CREDIVALORES no respondió de manera completa y de fondo lo requerido. Con una sola solicitud es suficiente. Los derechos de los titulares son para respetarlos y no para dilatar su cumplimiento o negar su efectividad en la práctica.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.
No existe la obligación legal de las personas de recibir mensajes de datos, llamadas o correos electrónicos con fines de publicidad, marketing o prospección comercial. Quienes sean objeto de esas conductas comerciales pueden solicitar en cualquier momento al Responsable del Tratamiento la supresión de su información. En este caso, la sociedad Giros y Finanzas Compañía de Financiamiento S.A. no cumplió debida y oportunamente el deber legal de eliminar la información del Titular. No puede convertirse en una práctica empresarial que el Titular del dato tenga que insistir varias veces para que se garantice el respeto de sus derechos. Los derechos son para respetarlos y no para dilatar su cumplimiento o negar su efectividad en la práctica.
Las fuentes de la información tienen la obligación de cumplir con las instrucciones que imparta la SIC en relación con el cumplimiento de la Ley de protección de datos -numeral 9 del artículo 8 de la Ley Estatutaria 1266 de 2008-. Por tanto, no dar respuesta a los requerimientos y órdenes de esta entidad es una vulneración del derecho a la protección de datos de las personas, que no solo afecta al Titular del dato, sino que pone en riesgo los derechos de toda la sociedad.
Si una persona va a suministrar a terceros los datos de contacto de sus amigos, familiares, etc, deberá previamente informar de ello al Titular del dato y solicitar su autorización. Los Responsables del Tratamiento deben asegurarse de que quien les suministra información está legitimado porque, de lo contrario, se estaría avalando que terceros suministren datos de otras personas a empresas sin observar lo que ordena la Ley. En este caso, la ciudadana que fue incluida como “Referencia Personal” en una solicitud de crédito no autorizó al BANCO DE BOGOTÁ para que usara su información para adelantar gestión de cobro de cartera de un tercero. Es obligación de los deudores pagar oportunamente sus obligaciones dinerarias y es lícita la gestión de cobro y recuperación de cartera de crédito. No obstante, el fin no justifica los medios. Quien pretenda cobrar una suma de dinero no debe hacerlo de cualquier manera, sino con estricto cumplimiento de lo establecido en la Ley.
A través del portal web Colombia Reports se utilizó la foto del rostro de una periodista para expresar la opinión sobre un medio de comunicación. Esa foto es un dato personal biométrico y se usó sin la autorización previa, expresa e informada de la periodista. La Constitución garantiza la libertad de expresión, pero no avala el “libertinaje de expresión” o la “irresponsabilidad de expresión”. La libertad de expresión no puede convertirse en una herramienta para menoscabar los derechos de los demás y desconocer la dignidad humana. Quienes hacen uso de dicha libertad deben obrar de manera ética, lícita y responsable -artículo 95 de la Constitución Política-. La SIC no está autorizada por la Ley para ordenar el bloqueo de los contenidos relacionados con libertad de expresión, como lo son las opiniones y los reportajes periodísticos que se publican en internet, redes sociales digitales o cualquier otro medio.
Para que la SIC declare la conformidad de una operación de Transferencia Internacional de Datos Personales es necesario que el solicitante suministre toda la información que se enlista en la ‘Guía para Solicitar la Declaración de Conformidad sobre Transferencias Internacionales de Datos Personales’. Esto permitirá establecer si la transferencia está rodeada de adecuadas garantías para garantizar el debido tratamiento de los datos y el respeto de los derechos de las personas cuya información es enviada a otros países.
Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió, ni le exime de responsabilidad.
Los Responsables deben exigir a los Encargados del Tratamiento el respeto a las condiciones de seguridad y privacidad de la información personal de los Titulares. Dicho deber no se limita únicamente al establecimiento de cláusulas contractuales; su cumplimiento implica que ir más allá porque las medidas deben ser necesarias, útiles, apropiadas y efectivas para evitar afectaciones a la seguridad de los datos de las personas -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-.
Los Responsables del Tratamiento de la información deben tomar las medidas que sean necesarias, pertinentes, oportunas y efectivas para garantizar que la información personal de los ciudadanos se conserve bajo condiciones de seguridad que eviten su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, con esto previniendo posibles casos de suplantación – literal d) artículo 17 de la Ley Estatutaria 1581 de 2012-.
Las fuentes de información, en caso de incumplimiento de las obligaciones adquiridas por parte del Titular, podrán realizar un reporte de información negativa a las centrales de información financiera únicamentecuando se haya enviado a dicho Titular la comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso del Titular previsto en la ley para tal fin.
A pesar de que la resolución de primera instancia fue emitida en derecho, en sede de apelación carece de sentido confirmarla porque con el recurso de apelación se allegó prueba del cumplimiento de la orden dada en la resolución recurrida, consistente en la eliminación de los datos del Titular de las bases de datos de la sociedad investigada.
Quien recolecta o trata datos personales: (i) debe solicitar Autorización al Titular para el Tratamiento de esa información conforme lo establecen los artículos 9 y 12 de la Ley Estatutaria 1581 de 2012 y (ii) no puede hacer lo que quiera con la información. Solo puede utilizarla para los fines específicos autorizados por el Titular del dato o los permitidos por la ley.
Sin seguridad no existe debido Tratamiento de datos personales. Balance Salud S.A.S. debe ser muy diligente y profesional en el Tratamiento de los datos de las personas, sobre todo cuando se trata de datos sensibles. Quien no esté obligado a realizar el registro de bases de datos en el RNBD de esta entidad, debe cumplir las demás obligaciones legales como, entre otros, adoptar medidas de seguridad.
El bloqueo temporal de datos procede para proteger la vida y seguridad personal de seres humanos, siempre y cuando se cumplan los requisitos del literal c) del artículo 21 de la Ley Estatutaria 1581 de 2012. La SIC no tiene competencia legal para ordenar el bloqueo de contenidos publicados en redes sociales digitales -Twitter y Telegram- porque se trata de opiniones cobijadas bajo la libertad de expresión, la cual no se encuentra dentro del ámbito de aplicación de la Ley Estatutaria 1581 de 2012.
El bloqueo temporal de datos procede para proteger la vida y seguridad personal de seres humanos, siempre y cuando se cumplan los requisitos del literal c) del artículo 21 de la Ley Estatutaria 1581 de 2012.
Los Responsables del Tratamiento de la información tienen el deber de implementar un procedimiento para la recolección, almacenamiento, uso, circulación y supresión de la información personal de las personas. Adicionalmente, deben señalar de manera específica en la Política de Tratamiento de la Información (PTI) la fecha en que entra a regir y el período de vigencia de la base de datos -numeral 6 del artículo 13 del Decreto 1377 de 2013-.
Sin seguridad no hay debido Tratamiento de datos personales. Las entidades públicas y privadas deben ser muy responsables, diligentes y profesionales para garantizar la seguridad de la información de los ciudadanos.
La Corte Constitucional - Sentencia C-1011 de 2008- ha mencionado que, en virtud del principio de buena fe, las centrales de información financiera asumen que los Datos remitidos por la fuente son verdaderos y su responsabilidad se limita a verificar que los mismos: i) se relacionan con la información financiera, comercial y crediticia; ii) son pertinentes para el cálculo del riesgo crediticio; y, iii) se trata de Datos completos y no fraccionados. En el caso concreto, Experian Colombia S.A. no infringió las normas contempladas en la Ley Estatutaria 1266 de 2008, pues no era el llamado a determinar si la obligación objeto de reclamo existió o se canceló.
La Delegatura para la Protección de Datos no es competente para dirimir controversias contractuales, como puede ser el ajuste, pago o el cobro de una obligación. Para esos casos, el ciudadano deberá recurrir a la jurisdicción ordinaria. La competencia de la SIC en materia de protección de datos personales se limita a las funciones de control y vigilancia establecidas -artículo 17 de la Ley Estatutaria 1266 de 2008-
El bloqueo temporal de datos procede para proteger la vida y seguridad personal de seres humanos, siempre y cuando se cumplan los requisitos del literal c) del artículo 21 de la Ley Estatutaria 1581 de 2012.
Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales.
La Ley Estatutaria 1266 de 2008 no es de aplicación retroactiva. No se ajusta a derecho reclamar la aplicación de dicha Ley sobre hechos ocurridos con anterioridad a la fecha de promulgación de la misma.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el derecho al debido proceso contenido en el artículo 29 de la Constitución Política.
Los ciudadanos no pueden presentar al mismo tiempo una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008- y una queja ante la SIC por los mismos hechos, partes y pretensiones, porque se desconocería el principio de Non Bis In Ídem y, por consiguiente, el derecho al debido proceso contenido en el artículo 29 de la Constitución Política.
La regulación sobre datos personales impone cargas probatorias en cabeza de los Responsables del Tratamiento, dentro de las cuales están: (i) Solicitar y conservar copia de la Autorización otorgada por el Titular para el Tratamiento de sus datos personales (ii) Conservar prueba de haber informado al Titular del dato, al momento de solicitarle dicha Autorización, todo lo que ordena el artículo 12 de la Ley 1581 de 2012.
El ciudadano no puede presentar al mismo tiempo una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008- e iniciar una actuación administrativa ante la SIC contra el mismo demandado por idénticos hechos y con igual objeto o propósito, porque se desconocería el principio de Non Bis In Ídem y, por ende, el derecho al debido proceso contenido en el artículo 29 de la Constitución Política.
La suspensión de derechos políticos no es información referida al nacimiento, ejecución y extinción de obligaciones dinerarias de la que trata la Ley Estatutaria 1266 de 2008. La Corte Constitucional -Sentencia T-167 de 2015- ha ordenado retirar de la central de información CIFIN cualquier tipo de información negativa resultado de la pérdida o suspensión de derechos políticos. No obstante, se ha continuado registrando ese tipo de información bajo la anotación “suspensión de derechos políticos”. Esto es muy grave, porque, además de haber afectado a no menos de 45.835 personas, la vulneración de la regulación sobre Tratamiento de datos personales pone en riesgo los derechos de toda la sociedad.
Los ciudadanos no pueden presentar al mismo tiempo una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008- y una queja ante la SIC por los mismos hechos, partes y pretensiones, porque se desconocería el principio de Non Bis In Ídem y, por consiguiente, el derecho al debido proceso contenido en el artículo 29 de la Constitución Política.
La información negativa no debe publicarse de manera indefinida. De conformidad con lo establecido en el literal c) del artículo 1.6 del Título V de la Circular Única de la Superintendencia de Industria y Comercio, “en los casos en que la obligación permanezca insoluta, el término de caducidad de los datos negativos de un titular de información será de catorce (14) años contados a partir de la fecha de exigibilidad de la obligación”
La comunicación previa de que trata el artículo 12 de la Ley 1266 de 2008 es un requisito imprescindible para poder realizar un reporte de información negativa ante las centrales de riesgo. Es ilegal y violatorio del derecho al debido proceso reportar personas sin haber efectuado de manera oportuna y correcta dicha comunicación.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el derecho al debido proceso contenido en el artículo 29 de la Constitución Política.
Es ilegal y violatorio del debido proceso reportar a una persona sin haber efectuado de manera oportuna y correcta la comunicación previa que ordena el artículo 12 de la Ley Estatutaria 1266 de 2008.
Informar una dirección de correo electrónico para que las personas ejerzan sus derechos y no monitorear su correcto funcionamiento es una medida que no es efectiva ni es útil porque no sirve para el propósito que se creó, esto es, recibir y responder las peticiones de los Titulares de los Datos Personales. No debe olvidarse que la regulación sobre Tratamiento de datos busca que se garantice una protección real y efectiva de los derechos de las personas y no una protección formal o simbólica.
El literal c) del artículo 21 de la Ley Estatutaria 1581 de 2012 establece que los legitimados para presentar una solicitud de bloqueo temporal son los Titulares de los datos personales que presuntamente han sido tratados indebidamente. Si tal requisito no se cumple, la SIC no tiene competencia para evaluar de fondo la solicitud de bloqueo temporal. Las personas jurídicas no son titulares de los datos personales (literal f) del artículo 3 de la Ley Estatutaria 1581 de 2012). Por tanto, no están legitimadas para presentar una solicitud de bloqueo temporal.
Los Titulares de la información tienen el derecho de solicitar la exclusión o supresión de la información que repose en las Bases de Datos de los Responsables o Encargados del Tratamiento, siempre que no exista un deber legal o contractual que lo impida – literal a) del artículo 17 de la Ley Estatutaria 1581 de 2012-. El Titular del dato no tiene que insistir para que sus derechos sean garantizados. Por el contrario, estos deben ser salvaguardados sin dilación alguna por parte de los Responsables o Encargados del Tratamiento.
El fin no justifica los medios. Las personas no deben ser sometidas al escarnio público con reportes negativos sobre los cuales no existe certeza ni prueba de la veracidad de la información. Quien reporta a una persona debe ser muy profesional y diligente porque su acción u omisión genera daños a las mismas al comprometer o poner en riesgo su buen nombre.
No es una buena práctica reportar personas como morosas si quien reporta no tiene plena certeza y prueba de la veracidad de la información. No se puede reportar información sobre la cual no exista certeza de su veracidad porque ello no solo afecta el buen nombre de las personas, sino que induce a error a los usuarios de la información y al público en general. Tampoco es sensato utilizar los reportes de información negativa -no comprobable- como una herramienta para presionar el pago de obligaciones dinerarias.
Es legítimo reportar a una persona como morosa siempre y cuando se cumplan los requisitos establecidos en la Ley 1266 de 2008; uno de ellos es que la información sea comprobable. Quien realiza el reporte (la fuente de la información) debe ser extremadamente cuidadoso de contar con plena prueba de veracidad de la información.
El literal c) del artículo 21 de la Ley Estatutaria 1581 de 2012 establece que los legitimados para presentar una solicitud de bloqueo temporal son los Titulares de los datos personales que presuntamente han sido tratados indebidamente. Si tal requisito no se cumple, la SIC no tiene competencia para evaluar de fondo la solicitud de bloqueo temporal. Las personas jurídicas no son titulares de los datos personales (literal f) del artículo 3 de la Ley Estatutaria 1581 de 2012). Por tanto, no están legitimadas para presentar una solicitud de bloqueo temporal.
La información que es reportada ante las centrales de información financiera debe ser cierta y de calidad. No se puede reportar información sobre la cual no exista certeza de su veracidad porque ello no solo afecta el buen nombre de las personas, sino que induce a error a los usuarios de la información y al público en general. Por eso, la Ley Estatutaria 1266 de 2008 exige que las fuentes de información garanticen que la misma sea, entre otras, comprobable -numeral 1 del artículo 8 de la Ley Estatutaria 1266 de 2008-.
El fin no justifica los medios. No es una buena práctica reportar personas como morosas si quien reporta no tiene plena certeza y prueba de la veracidad de la información. Tampoco es sensato utilizar los reportes de información negativa -no comprobable- como una herramienta para presionar el pago de obligaciones dinerarias. Quien reporta a una persona debe ser muy profesional y diligente porque su acción u omisión compromete o pone en riesgo el buen nombre de esa persona. Por eso, si no es comprobable la información que se va a reportar, la fuente debe abstenerse de realizar el reporte.
Si la información que se reporta ante las centrales de información financiera no es comprobable -numeral 1 del artículo 8 de la Ley Estatutaria 1266 de 2008-, la Fuente debe abstenerse de realizar el reporte.
Quienes conceden créditos, venden bienes o prestan servicios deben adoptar todas las medidas necesarias para establecer la verdadera identidad de sus clientes. Si no lo hacen: (i) ganan los delincuentes suplantadores, y (ii) pierden las empresas, sus clientes y la sociedad en general.
Es obligación de los deudores pagar oportunamente sus obligaciones dinerarias y es lícita la gestión de cobro y recuperación de cartera de crédito. El fin no justifica los medios. No se puede reportar información sobre la cual no exista certeza de su veracidad porque ello no solo afecta el buen nombre de las personas, sino que induce a error a los usuarios de la información y al público en general
No es lícito ni constitucional reportar información sobre una persona, cuando no se tiene absoluta certeza de la veracidad de los Datos. El fin no justifica los medios. No es una buena práctica reportar personas como morosas si quien reporta no tiene plena certeza y prueba de la veracidad de la información. Tampoco es sensato utilizar los reportes de información negativa -no comprobable- como una herramienta para presionar el pago de obligaciones dinerarias. El fin no justifica los medios
No dar repuesta o responder extemporáneamente las peticiones presentadas por los Titulares de la información vulnera sus derechos fundamentales de habeas data y de petición, impidiendo que estos conozcan, actualicen o rectifiquen la información que sobre ellos se tenga en una base de datos o archivo.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin. Para dicho efecto, pueden utilizarse mensaje de datos, siempre y cuando el Titular haya autorizado el envío por dichos medios -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. La Fuente de la información debe ser muy diligente y profesional para garantizar en la práctica lo que ordena la Ley Estatutaria 1266 de 2008 y el artículo 15 de la Constitución Política de Colombia.
El solo hecho de que se realice un Tratamiento de Datos Personales no genera, per se, un riesgo cierto de vulneración de los derechos de las personas. Por tanto, para que una solicitud de bloqueo temporal prospere, es necesario que se pruebe que existe un riesgo cierto de vulneración de los derechos fundamentales del Titular del dato, y que no se haya adoptado una decisión definitiva sobre el caso.
El bloqueo de datos tiene como finalidad obstruir o dificultar el acceso, el uso, la circulación y cualquier otra actividad sobre datos personales mientras exista un riesgo cierto de vulneración de los derechos fundamentales del Titular del dato. -literal c) del artículo 21 de la Ley Estatutaria 1581 de 2012-. Ese riesgo debe ser probado de manera clara y fehaciente, de tal manera que no haya duda de que la vulneración de los derechos fundamentales del Titular es consecuencia del Tratamiento indebido de sus Datos Personales.
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley Estatutaria 1266 de 2008. Enviar dicha comunicación a una dirección que no corresponde a la última informada por el Titular, contraviene lo que ordena el citado artículo.
El Titular del dato no está obligado a insistir para que se suprima su información de una base de datos -literal e) artículo 8 Ley Estatutaria 1581 de 2012-, sobre todo cuando dicho Titular no tiene una relación contractual con el Responsable. El Titular no debe rogar para que se respeten sus derechos. Es imperativo -no facultativo- respetar y garantizar los derechos constitucionales y legales de las personas.