Superintendencia de Industria y Comercio

Sólo podrán reportarse ante una central de información financiera las obligaciones que sean comprobables. Esto es, aquellas que cuentan con prueba de su existencia, cuantía, identidad del deudor y del acreedor que efectúa el reporte -Fuente de la obligación-. Una obligación que no sea comprobable no puede ser reportada, pues se estaría vulnerando el principio de la veracidad de la información –  literal a) del artículo 4 de la Ley 1266 de 2008-.

La comunicación a que se refiere el artículo 12 de la ley 1266 de 2008 debe realizarse de manera previa al reporte de información negativa  a una central de información financiera y no con posterioridad al mismo. Únicamente surte efectos y garantiza el Derecho al Debido Proceso del ciudadano la comunicación previa, debida y oportuna que se haga siguiendo lo establecido en el precitado artículo.

El cumplimiento del deber de realizar la comunicación previa del reporte negativo al ciudadano -artículo 12 de la Ley 1266 de 2008- debe demostrarse por el actual acreedor de la obligación -Fuente de la información-. Lo anterior sin importar que éste no haya sido el acreedor originario o inicial. En caso de que éste último no hubiera cumplido este deber, o no lo hubiera hecho de manera debida y oportuna, las consecuencias serán atribuibles y exigibles al acreedor y Fuente actual de la obligación.

No responder las solicitudes, peticiones o quejas de los ciudadanos dentro del término legal establecido de quince (15) días hábiles a partir del recibo de la queja - ítem II del artículo 16 de la Ley 1266 de 2008-, es una vulneración a los derechos fundamentales de Habeas Data y Petición. Dicha respuesta deberá ser de fondo, oportuna y completa. Es necesario adoptar mecanismos para la tramitación de las solicitudes, quejas y reclamos que garanticen un ejercicio libre, debido, oportuno y eficaz de los derechos de los Titulares de la información - numeral 7 del artículo 8 de la Ley 1266 de 2008-.

Las obligaciones de los ciudadanos que sean reportadas a las centrales de la información financiera deberán ser actualizadas de manera debida, oportuna y periódica. El acreedor o Fuente de la obligación deberá informar a dichas centrales sobre cualquier cambio en el estado de la obligación durante el tiempo en que permanezca reportada en la base de datos. La omisión de esa actualización es una afectación a la calidad de la información y una vulneración al principio de veracidad y a los Derechos del ciudadano -numeral 1 del artículo 8 y literal a) del artículo 4 de la Ley 1266 de 2008-.

Es necesario contar con la autorización previa del titular del dato para que un tercero pueda consultar su información contenida en una base de datos, archivo o sistema de información. La Autorización, para ser válida, deberá especificar la finalidad para la cual se concede, la cual debe ser informada de manera previa o concomitante con el otorgamiento de la autorización. Sólo se podrá usar la información del ciudadano para los fines autorizados -  numeral 1 del artículo 9, artículo 15 de la Ley 1266 de 2008-.

Si el ciudadano no realiza la solicitud del servicio y no autoriza expresamente la consulta de su información personal, debe entenderse que el acceso a esa información no fue autorizado y, por tanto, es ilícito -  numeral 1 del artículo 9, artículo 15 de la Ley 1266 de 2008-. Es imprescindible contar con la autorización previa del ciudadano para que las empresas accedan a su información personal con el fin de evaluar su historial crediticio y contactarlos para hacerles ofrecimientos comerciales.

La suplantación de identidad de una persona, desde la perspectiva del Tratamiento de Datos Personales, representa una vulneración a los principios de veracidad, seguridad y circulación restringida de la información. Por tanto, quien trate datos personales deberá tomar medidas útiles, oportunas, efectivas y demostrables para impedir la suplantación de identidad.

La información negativa de una persona sólo podrá reportarse a las centrales de información si: i) el ciudadano -Titular de la información- autorizó de manera expresa poder ser reportado; ii) quien reporta el dato negativo - Fuente de la información- prueba la existencia y monto de la obligación y su calidad de acreedor; iii) se cumple con el requisito de comunicación previa, debida y oportuna al ciudadano en los términos del artículo 12 de la Ley 1266 de 2008 .

Quien recolecte datos de naturaleza semiprivada, privada y sensible, deberá contar con la Autorización previa, expresa e informada de Titular. Al Responsable del Tratamiento le corresponde demostrar que informó todo lo que ordena el  artículo 12 de la Ley 1581 de 2002. En el caso de los datos sensibles, esa autorización reviste un carácter especial y deberá

Los Responsables del Tratamiento de la información tienen el deber de atender las solicitudes, quejas y reclamos de los Titulares de los datos de manera oportuna, debida, completa, eficaz y demostrable. Se vulneran los derechos fundamentales de Habeas Data y Petición cuando se responde una solicitud de supresión de la información después de más de seis (6) meses de haberse realizado, porque debe ser atendida dentro de los siguientes quince (15) días hábiles a su realización -artículo 15 Ley 1581 de 2012-.

Ante un caso de suplantación, el Responsable del Tratamiento tiene la obligación de probar y confirmar la veracidad y exactitud de la información con el fin de identificar el error y tomar medidas para su corrección. Proteger la información del Titular es una condición crucial para el adecuado Tratamiento de datos personales, lo que requiere la adopción de medidas útiles, oportunas, efectivas y demostrables que mitiguen e impidan la suplantación de identidad y, en general, garanticen la seguridad en dicho Tratamiento -artículo 4 de la ley 1266 de 2008-.

La comunicación previa al ciudadano del reporte de información negativa puede hacerse por mecanismos diferentes al envío físico, siempre y cuando dicho medio alterno se ha pactado con anterioridad. Esas otras herramientas podrán consistir, entre otros, en  mensaje de datos -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-

El Tratamiento de datos sensibles requieren de una autorización especial por parte de su Titular y de una responsabilidad reforzada de Responsables y Encargados. Lo propio ocurre con los datos personales de niños, niñas y adolescentes, cuyos derechos son de naturaleza prevalente -artículo 7 Ley 1581 de 2012-. Se deben implementar mecanismos útiles, oportunos, efectivos y verificables que garanticen un Tratamiento seguro y confidencial de dicha información.

Se da el fenómeno de cosa juzgada cuando sobre la misma solicitud ya existe un pronunciamiento proferido por una autoridad judicial. Esto significa que un ciudadano no puede acudir a dos autoridades judiciales contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.

Para que una obligación pueda ser reportada a las centrales de información financiera, la Fuente del reporte debe probar la existencia de la misma, su cuantía, la identidad del deudor y su calidad de acreedor. El importe de los títulos con espacios en blanco, suscritos por entidades sometidas a inspección y vigilancia de la Superintendencia Financiera, debe ser certificado por el revisor fiscal de la respectiva entidad financiera  (Decreto 1713 de 2019)

La comunicación a que se refiere el artículo 12 de la Ley 1266 de 2008 debe hacerse de manera previa al reporte de la información negativa a una central de información financiera. Quien realice el reporte debe estar en la capacidad de probar que el envío de esa comunicación se realizó a la dirección actualizada e informada por el Titular de la información, de lo contrario, se tendrá como no satisfecho dicho requisito y el reporte debe tenerse como ilícito.

El ciudadano que sea reportado ante las centrales de información financiera debe haber sido informado previamente de dicho reporte con no menos de veinte (20) días calendario - inciso segundo del artículo 12 de la Ley 1266 de 2008-. El cumplimiento de ese término es imperativo para que el reporte sea lícito.

Es violatorio del principio de Non Bis In Ídem sancionar dos veces al mismo sujeto por la misma conducta y mismos hechos -modo, tiempo y lugar-.

Para que el reporte de información negativa de un ciudadano sea lícito es necesario que: (i) haya autorización expresa del Titular a la Fuente; (ii) que las obligaciones reportadas sean comprobables, (iii) y que se haya cumplido con el requisito de comunicación previa al Titular en los términos establecidos por el artículo 12 de la Ley 1266 de 2008.

Es ilegal e inadmisible responder las solicitudes ciudadanas dieciocho (18) meses después de presentada la consulta o el reclamo que realiza el titular del dato para exigir el respeto y garantía de sus derechos. Los Responsables deben responder de manera completa, de fondo y dentro de los términos fijados en la ley.

En los casos en que un ciudadano solicite a la fuente de la información la rectificación o aclaración del reporte de sus datos a las centrales de información financiera, corresponde al acreedor o Fuente de la obligación informar a estas de tal situación y solicitar que incluyan en el banco de datos correspondiente las leyendas “reclamo en trámite” y/o “información en discusión judicial” - numeral 8 del artículo 8 de la Ley 1266 de 2008-.  No cumplir con este deber constituye una vulneración al principio de veracidad de la información y al derecho fundamental de Habeas Data del ciudadano.

Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. Esta comunicación debe enviarse a la última dirección física suministrada por el Titular al acreedor o Fuente de la obligación. También podrán utilizarse medios alternos de comunicación como mensaje de datos -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-.

Para que un reporte ante las centrales de información financiera sea lícito: (i) el Titular de la información debe haber autorizado expresamente al acreedor o Fuente de la obligación realizar el reporte; (ii) la obligación reportada debe ser comprobable en su existencia, monto, calidad de la Fuente como acreedor e identidad del deudor y (iii) debe haberse surtido la comunicación previa al Titular según lo ordenado en el artículo 12 de la Ley 1266 de 2008.

El Responsable del Tratamiento de los Datos personales tiene la obligación de adoptar, monitorear, evaluar y actualizar una Política de Tratamiento de Datos, así como el Manual Interno de Políticas y Procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012.  No basta con la simple redacción de textos para demostrar el nivel debido y exigido de diligencia, sino que se debe probar que lo dicho en los mismos se cumple en la práctica. Es necesario implementar medidas  útiles, oportunas, idóneas, eficaces y demostrables para proteger los derechos de los Titulares de la información.

Un error tecnológico en la administración de bases de datos o sistemas de información no es , per se, un hecho de fuerza mayor y/o caso fortuito. Lo anterior es una contingencia que se evita si se adopta un sistema de administración de riesgos asociados al Tratamiento de los datos personales.

El Responsable del Tratamiento de datos personales tiene el deber, entre otras cosas, de: (i) solicitar y conservar la autorización del Titular de los datos, que en ninguna circunstancia puede equipararse a su silencio; (ii) garantizar la seguridad de la información; (iii) adoptar y cumplir un Manual Interno de Políticas y Procedimiento para garantizar el cumplimiento de las normas de Protección de Datos. -literal k) del artículo 17 de la Ley 1581 de 2012-. Esas políticas y procedimientos deben ser monitoreados constantemente para que representen un mecanismo útil, oportuno, idóneo y efectivo de prevención y corrección de cualquier posible vulneración de los derechos de los Titulares de la información.

No puede efectuarse un reporte de información negativa a una central de información financiera sin que previamente y en debida forma se le haya informado al titular de la información lo que ordena el artículo 12 de la Ley Estatutaria 1266 de 2008. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal, sino que desconoce el derecho fundamental al Debido Proceso.

La comunicación previa que ordena el artículo 12 de la Ley 1266 de 2008 es un requisito imprescindible para poder realizar un reporte negativo a las centrales de información financiera. Esta comunicación debe ser enviada a la última dirección del domicilio del Titular que esté registrada en los archivos del acreedor o Fuente de la información. Sólo podrá enviarse por otros medios siempre que sean idóneos y haya habido previo acuerdo entre las partes.

No responder las solicitudes, peticiones o quejas de los ciudadanos dentro del término legal establecido de quince (15) días hábiles a partir del recibo de la queja -ítem II del artículo 16 de la Ley 1266 de 2008-, es una vulneración a los derechos fundamentales de Habeas Data y de Petición del Titular de la información. Así mismo, el deber de responder sólo se cumple si la respuesta, además de oportuna, es idónea, de fondo y completa y eficaz.

Para realizar un Tratamiento de datos personales, el Responsable del Tratamiento debe solicitar de manera previa la autorización del Titular -artículo 9 de la 1581 de 2012- y debe conservar copia o prueba de la misma Además, el Tratamiento debe obedecer a una finalidad legítima y específica que debe haber sido informada al ciudadano previamente o al momento del otorgamiento de la autorización. Es ilegal el tratamiento sin el cumplimiento de los mencionados requisitos.

El reporte negativo de la información de un ciudadano ante las centrales de información financiera no puede permanecer más allá del tiempo que la Ley permite. Este será de máximo cuatro (4) años desde el pago cuando la mora es superior a dos (2) años, y de no más del doble de la mora cuando la mora en inferior a esos dos (2) años -artículo 13 de la Ley 1266 de 2008, artículo 2.2.2.28.3 del Decreto 1074 de 2015-. Si la obligación permanece insoluta, el tiempo máximo será de catorce (14) años contados a partir de la exigibilidad de la obligación -artículo 1.6, literal c) Título V de la Circular Única de la Superintendencia-.

El hecho de que Wikimujeres S.A.S. utilice la plataforma ofrecida por Facebook, en ningún caso lo exime de cumplir con sus obligaciones en materia de protección de datos personales. Por ende, dicha sociedad debe cumplir íntegramente la ley 1581 de 2012 y sus normas reglamentarias. 

El acreedor o la fuente de la obligación tiene el deber de eliminar el reporte negativo y tomar las medidas necesarias cuando se está ante un presunto caso de suplantación de la identidad del titular de la información reportada. Se vulnera el derecho a la protección de datos personales cuando se reporta información  que no sea comprobable para garantizar la veracidad de la misma y evitar situaciones de suplantación de la identidad.

Sólo es posible reportar a las centrales de información financiera datos veraces de los ciudadanos. Para que una obligación reportada cumpla con el principio de veracidad, ésta debe ser comprobable, es decir, debe probarse: (i) la existencia y cuantía de la obligación; (ii) la calidad de acreedor de la fuente y (iii) la identidad del deudor.

El deber de que la información reportada a las centrales de información financiera sea veraz, implica incluir en el reporte negativo la naturaleza y clase de la obligación. En consecuencia, un reporte es inexacto y desactualizado cuando, por ejemplo, no se incluye que la obligación reportada corresponde a un crédito hipotecario -artículo 8 Ley 1266 de 2008-.

La fuente de la información debe reportar y solicitar a las centrales de información financiera que se incluya la inscripción “reclamo en trámite” cuando el ciudadano titular de la información haya solicitado que se corrija, suprima o aclare cualquier aspecto relacionada con la obligación -literal c) del artículo 4; numeral 1 del artículo 8- de la Ley 1266 de 2008-.

No contestar las solicitudes, requerimientos, quejas o reclamos de los ciudadanos de manera debida, completa, de fondo y oportuna -artículo 16 de la Ley 1266 de 2008-, así como no realizar la solicitud de anotación de “reclamo en trámite” ante las centrales de información financiera, son conductas que constituyen una vulneración a los derechos fundamentales de Habeas Data y de Petición de las personas -numeral 8 del artículo 8 de la Ley 1266 de 2008-.

Es un deber constitucional respetar y obedecer de manera debida y oportuna las órdenes que esta Superintendencia da por medio de sus Resoluciones -numeral 9 del artículo 8 de la Ley 1266 de 2008-. Por tanto, cuando en una decisión se ordene eliminar un reporte negativo, se debe proceder con esa acción dentro del tiempo previsto para ello. Cumplir las órdenes extemporáneamente - más de once (11) meses de retraso-  es una conducta contraria a la Ley.

Resolver un derecho de petición nueve (9) meses después de haberse presentado es una conducta negligente e inadmisible del Responsable del tratamiento, que impide que los ciudadanos conozcan, actualicen o rectifiquen su información personal y que, por tanto, vulnera los derechos fundamentales de protección de datos personales  y Petición de las personas -Ley 1581 de 2012-.

Sólo pueden ser reportadas a las centrales de información financiera obligaciones de las que se pueda probar su existencia y exigibilidad. En caso de carecer de ese soporte probatorio, el acreedor o fuente no puede realizar el reporte y, de hacerlo, éste debe ser eliminado por incumplir con los presupuestos para que sea lícito -numeral 8 del artículo 8 de la Ley 1266 de 2008-.

Para que pueda realizarse un reporte negativo a las centrales de información financiera, debe comunicarse e informarse al titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008 de manera previa, debida y oportuna. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal sino que desconoce el derecho fundamental al debido proceso del ciudadano.

La ley 1266 de 2008 no es de aplicación retroactiva. El deber de comunicar lo que ordena el artículo 12 de la Ley 1266 de 2008 recae sobre el primer reporte negativo de una obligación..

El ciudadano que considere que se ha vulnerado su derecho fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el derecho al debido proceso contenido en el artículo 29 de la Constitución Política.

El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data no puede iniciar dos (2) o más veces una actuación administrativa ante la SIC por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por lo tanto, el derecho al debido proceso contenido en el artículo 29 de la Constitución Política.

La Fuente de la obligación tiene el deber de responder de manera debida, completa, oportuna y de fondo -numeral 7 del artículo y artículo 16 la Ley 1266 de 2008- las solicitudes de los ciudadanos. Una actuación contraria a ese deber constituye una vulneración a los derechos fundamentales de Habeas Data y de petición del ciudadano.

No es posible realizar un reporte negativo a las centrales de información financiera sin efectuar de manera previa, debida y oportuna la comunicación de lo ordenado en el artículo 12 de la Ley 1266 de 2008. La omisión de este requisito trae consigo la ilicitud del reporte y la vulneración del derecho fundamental al debido proceso del Titular de la información.

Cuando el tiempo de permanencia de la información negativa se ha cumplido, el acreedor o Fuente de la obligación debe gestionar de oficio la eliminación del reporte caducado. La no actualización en tiempo debido que implique la permanencia del dato negativo por un mayor tiempo al permitido por la Ley, es una vulneración al principio de veracidad y al derecho fundamental de Habeas Data del Titular -artículo 13 de la Ley 1266 de 2008-.

Los casos en los que el reporte negativo corresponde a la migración de información suponen la existencia de un negocio jurídico con el que se transfirió la titularidad de la obligación. Por tanto, la legitimidad de la Fuente actual de la obligación para la realización de reportes dependerá de que pruebe su calidad de acreedor sobre la obligación reportada.

Cuando se detecte un error en la información reportada a las centrales de información financiera, este debe eliminarse dentro de los cinco (5) días hábiles siguientes de la detección de esa inconsistencia. Hacerlo después de ese término es una conducta negligente que infringe el derecho de Habeas Data del Titular de la información -artículos 4, 8 y 16 de la Ley 1266 de 2008-.

Para que el reporte negativo de una obligación sea veraz, la Fuente debe contar con los soportes de la existencia de la obligación, su cuantía, la calidad de acreedor de la Fuente y la identidad del deudor. En caso de que la calidad de acreedor se haya adquirido por cuenta de un negocio jurídico posterior al nacimiento de la obligación, se debe acreditar de manera incontrovertible la cesión de esa posición -literal a) artículo 4 de Ley 1266 de 2008-.

El reporte negativo de la información de un ciudadano ante las centrales de información financiera no puede permanecer más allá del tiempo que la Ley permite. Este será de máximo cuatro (4) años desde el pago cuando la mora es superior a dos (2) años, y de no más del doble de la mora cuando la mora en inferior a esos dos (2) años -artículo 13 de la Ley 1266 de 2008, artículo 2.2.2.28.3 del Decreto 1074 de 2015-. Si la obligación permanece insoluta, el tiempo máximo será de catorce (14) años contados a partir de la exigibilidad de la obligación -artículo 1.6, literal c) Título V de la Circular Única de la Superintendencia-.

No es lícito realizar un reporte negativo a las centrales de información financiera sin efectuar de manera previa, debida y oportuna la comunicación de lo ordenado en el artículo 12 de la Ley 1266 de 2008. La omisión de este requisito vulnera, entre otros, el derecho al debido proceso del Titular de la información.

La información reportada a las centrales de información financiera debe ser permanentemente actualizada por la Fuente de la obligación ante las centrales de información financiera. La Fuente debe informar de manera debida, completa, oportuna y periódica  los pagos que el Titular de la información realice, así como de cualquier cambio o contingencia que tenga relación con la obligación reportada - numerales 1 y 2 del artículo 8 de la Ley 1266 de 2008-.

La Fuente de la obligación reportada, una vez informada del posible caso de suplantación, debe gestionar la eliminación del reporte ante las centrales de información financiera, y tomar las medidas debidas, oportunas, idóneas, necesarias y demostrables para corroborar tal hecho y prevenir que se presenten futuros casos de suplantación de identidad -numeral 1del artículo 8 Ley 1266 de 2008-.

Frente a casos de migración de información debido a un negocio jurídico (compra de cartera), la Fuente de información no solo debe asegurarse de que es un sujeto legitimado para poder realizar reportes de información negativa sino que debe tener prueba de la veracidad de la información que pretende reportar  -artículo 4 y 8 de la Ley 1266 de 2008-.

La configuración de un “hecho superado” no significa que desaparezcan las eventuales irregularidades en que una empresa pudiera haber incurrido en el tratamiento de datos y no  eximen de responsabilidad  a quien haya cometido dichos errores. Por lo tanto, la SIC podrá iniciar la respectiva investigación administrativa de carácter sancionatorio contra quien, entre otras, alegue un “hecho superado”.

No es lícito realizar un reporte negativo a las centrales de información financiera sin efectuar de manera previa, debida y oportuna la comunicación de lo ordenado en el artículo 12 de la Ley 1266 de 2008. La omisión de este requisito vulnera, entre otros, el derecho al debido proceso del Titular de la información.

Es requisito imprescindible para realizar un reporte negativo de la información de un ciudadano a las centrales de información financiera que se haya surtido la comunicación previa de lo ordenado en el artículo 12 de la Ley 1266 de 2008. Esta comunicación, para que sea válida, debe enviarse a la última dirección reportada por el titular.

Los presupuestos fundamentales para poder realizar un reporte negativo de la información de un ciudadano ante las centrales de información financiera son: (i) contar con autorización previa del Titular para poder realizar el reporte; (ii) tener soporte de la existencia, cuantía, calidad de acreedor o Fuente de la obligación e identidad del deudor y, (iii) realizar la comunicación previa de lo ordenado por el artículo 12 de la Ley 1266 de 2008.

La Delegatura para la Protección de Datos Personales no es competente para decidir sobre solicitudes de reparación económica por daños y perjuicios -numerales 5 y 6 del artículo 17 de la Ley 1266 de 2008-. 

Los datos negativos reportados a las centrales de información financiera no pueden mantenerse indefinidamente aún en el caso en que la obligación permanezca insoluta. En ese supuesto, el dato negativo caducará a los catorce (14) años contados a partir de la exigibilidad de la obligación -artículo 1.6, literal c) Título V de la Circular Única de la Superintendencia-. 

La revocatoria de autorización y la solicitud de supresión de la información son derechos del Titular del Dato, los cuales deben ser garantizados por los Responsables y Encargados del Tratamiento dentro de los términos del artículo 15 de la Ley 1581 de 2012.

El dato negativo debe ser suprimido de oficio una vez cumplido el tiempo de permanencia establecido en la Ley. Mantener esa información por un tiempo mayor  vulnera el "principio de temporalidad de la información" - Literal d) artículo 4 y  13 de la Ley 1266 de 2008-. 

La figura de “hecho superado” no significa que desaparezca las eventuales irregularidades en que haya podido incurrir el Responsable del Tratamiento de los datos personales, ni le exime de la responsabilidad que le es exigible. Por tanto, la SIC puede iniciar la respectiva investigación administrativa de carácter sancionatorio contra quien, entre otras, alegue un “hecho superado”.

El principio de veracidad y calidad de los datos reportados a las centrales de información financiera obliga a que la información sea completa, exacta, actualizada, comprobable y comprensible. Por tanto, la Fuente de la información debe contar con las pruebas que dieron origen a la obligación, así como demostrar su calidad de acreedor y la identidad del deudor -artículos 4 y 8 de la Ley 1266 de 2008-.

La comunicación a que se refiere el artículo 12 de la ley 1266 de 2008 debe realizarse de manera previa al reporte de información negativa  a una central de información financiera. No con posterioridad al mismo. 

Rappi incumplió el deber de solicitar y conservar copia de la autorización del Titular del dato y se demoró mas de 22 meses en suprimir datos de una persona que tuvo que presentarle dos peticiones para dicho efecto. Los derechos de las personas se deben garantizarse oportunamente sin que el ciudadano tenga que rogarle o insistirle a las empresas.

La creación de un usuario en una plataforma tecnológica no significa, per se, que él autorizó el tratamiento de sus datos personales. Al utilizarse herramientas o procesos tecnológicos en páginas web o aplicaciones (APP) es imprescindible que el Responsable establezca la real identidad del titular del dato; evitando que terceros o suplantadores de identidad autoricen el tratamiento.

Para que un reporte de información negativa a las centrales de información financiera sea lícito, el acreedor o Fuente de la obligación debe: (i) contar con autorización previa del Titular para realizar el reporte; (ii) acreditar los soportes idóneos de la existencia de la obligación y su cuantía, la calidad de acreedor o Fuente y la identidad del deudor; (iii) haber comunicado al Titular de manera previa, debida y oportuna lo ordenado en el artículo 12 de la Ley 1266 de 2008.

La autorización para el tratamiento de datos no es necesaria en los casos previstos en el artículo 10 de la Ley 1581 de 2012. Ello no significa que se pierda la protección sobre esos datos y los derechos de las personas porque  quien trata datos sin autorización está obligado a cumplir las demás disposiciones de la citada Ley. 

La actualización permanente de la información es un requisito importante para garantizar la veracidad de los datos reportados a las centrales de información financiera. El Tratamiento de datos es una actividad dinámica, que obliga a la Fuente de la información a reportar de manera debida, oportuna y periódica cualquier cambio en el estado de la obligación reportada. -literal a) del artículo 4 de la Ley 1266 de 2008-.

La respuesta de los derechos de petición se debe enviar a la dirección correcta del Titular de la información. Las solicitudes del Titular de la información deben responderse de  manera debida, completa, oportuna y eficaz -numeral 8 del artículo 7 de la Ley 1266 de 2008-.

La Fuente de la información no puede realizar reportes positivos y/o negativo del Titular si no cuenta con la autorización previa y expresa de éste para esos fines. Por tanto, los reportes realizados sin el cumplimiento de dicho deber deberán ser eliminados por la Fuente de manera inmediata. -numeral 5 del artículo 8 de la Ley 1266 de 2008-.

Al actual acreedor y Fuente de la obligación le corresponde acreditar el cumplimiento del deber de comunicar al Titular de la información de manera debida y oportuna lo ordenando en el artículo 12 de la Ley 1266 de 2008. Lo anterior sin importar que el acreedor que realiza el reporte no haya sido el acreedor originario o inicial.

Esta Superintendencia no puede investigar conductas presuntamente violatorias del derecho fundamental de Habeas Data del ciudadano que hayan sido objeto de acción de Tutela en contra del mismo demandado, por idénticos hechos y con igual objeto a propósito, pues se desconocería el principio de Non Bis In Ídem y, por ende, el derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.

Contar con la autorización previa del Titular de la información para realizar reportes ante las centrales de información financiera, es un deber que es exigible a las Fuentes de la información desde antes de la expedición de la Ley 1266 de 2008 -artículo 15 Constitución Política-. No haber obtenido la autorización constituye una violación directa al derecho de Habeas Data del Titular.

El principio de veracidad y calidad de los registros o datos obliga a que la información contenida en los bancos de datos sea completa, exacta, actualizada, comprobable y comprensible. Por ende, la Fuente de la información debe estar en capacidad de probar la existencia y cuantía de la obligación, su calidad de acreedor y la identidad del deudor.

Los ciudadanos que tengan reportes ante las centrales de información financiera tienen la facultad de realizar peticiones, solicitudes, quejas o reclamos al acreedor o Fuente de la información reportada, así como el derecho de recibir una respuesta de éstos que sea debida, completa, oportuna, demostrable y eficaz -numeral 8 del artículo 7 y apartado II del artículo 16 de la Ley 1266 de 2008-.

La ley 1266 de 2008 no es de aplicación retroactiva. El deber de comunicar lo que ordena el artículo 12 de la Ley 1266 de 2008 recae sobre el primer reporte negativo de una obligación.

Es deber de la Fuente de la información solicitar de manera previa la autorización del Titular para realizar reportes negativos y/o positivos a las centrales de información financiera, así como conservar copia de dicha autorización -numeral 5 del artículo 8 de la Ley 1266 de 2008-.

Se vulnera el derecho a la protección de datos personales cuando se reporta información que no sea comprobable para garantizar la veracidad de ésta y evitar situaciones de suplantación de la identidad.

La configuración de un “hecho superado” no significa que desaparezcan las eventuales irregularidades en que una empresa pudiera haber incurrido en el tratamiento de datos y no eximen de responsabilidad a quien haya cometido dichos errores. Por lo tanto, la SIC podrá iniciar la respectiva investigación administrativa de carácter sancionatorio contra quien, entre otras, alegue un “hecho superado”. 

No es lícito realizar un reporte negativo de la información de un ciudadano a las centrales de información financiera sin surtir de manera previa, debida y oportuna la comunicación de lo ordenado en el artículo 12 de la Ley 1266 de 2008. Enviar dicha comunicación posterior al reporte, es una vulneración del derecho al debido proceso del Titular de la información.

Los Responsables del Tratamiento de datos de los ciudadanos tienen el deber de acatar de manera debida y oportuna las instrucciones que imparte esta Superintendencia - literal o) del artículo 17 de la Ley 1581 de 2012-. Omitir el cumplimiento de dichas órdenes, requerimientos o instrucciones es una actuación negligente e inaceptable que presta mérito para ser sancionado.

Un dato veraz debe ser necesariamente actualizado. Por tanto, la Fuente de la información debe cerciorarse de que la información que reporta esté actualizada y, una vez reportada, debe informar a la central de información financiera de cualquier variación o contingencia en el estado de la obligación -literal a) del artículo 4 y numeral 1 del artículo 8 de Ley 1266 de 2008-

Los Titulares de los datos tienen el derecho de solicitar al Responsable del Tratamiento la exclusión o supresión de sus datos personales. Esta solicitud debe ser atendida oportuna y debidamente sin que el ciudadano tenga que insistir para hacer valer sus derechos.

Es necesario contar con la autorización previa del Titular del dato para que un tercero pueda consultar su información contenida en una base de datos, archivo o sistema de información. La autorización, para ser válida, deberá especificar la finalidad para la cual se concede. - numeral 1 del artículo 9, artículo 15 de la Ley 1266 de 2008-.

La autorización previa para que un tercero pueda realizar consultas en el historial crediticio del Titular debe especificar la finalidad para la cual se concede, no es ilimitada ni atemporal, y no puede ser usada indiscriminadamente -artículo 9 de la Ley 1266 de 2008-.

Los Responsables del Tratamiento de la información de los ciudadanos tienen la obligación de mantener la información bajo condiciones de seguridad idóneas, eficaces, oportunas y demostrables, que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales de las personas -literal d) del artículo 17 de la Ley 1581 de 2012-.

Las respuestas automatizadas, preestablecidas y estandarizadas que no se refieran al caso específico del ciudadano no son útiles para cumplir debidamente la atención de consultas o reclamos del Titular del dato.  No es aceptable que el Titular de la información tenga que realizar reiteradas peticiones al Responsable solicitando la eliminación de sus datos.

El Responsable del Tratamiento de los datos debe atender las solicitudes, peticiones, quejas y reclamos de manera debida, oportuna, de fondo, completa y demostrable. No es aceptable que el ciudadano tenga que realizar varias solicitudes y que deba esperar más de un (1) año para que su petición sea respondida -artículo 15 de la Ley 1581 de 2012-.

El uso de procesos tecnológicos automatizados para el Tratamiento de los datos no está exento de cumplir el deber legal de solicitar y conservar copia de la autorización previa y expresa de la persona Titular del dato. Los formularios preestablecidos y el diligenciamiento obligatorio de ciertos campos para permitir un proceso en línea no satisfacen, per se, dicho requisito -artículo 9 de la Ley 1581 de 2012-. 

Las medidas de seguridad de los datos deben ser idóneas, oportunas, demostrables y efectivas cuando se realiza el tratamiento de esa información. No basta expedir documentos o políticas sino que es necesario asegurar que lo escrito en el papel se cumpla en la práctica. 

Para que el acreedor o Fuente de la obligación pueda realizar un reporte negativo de la información de un ciudadano a una central de información financiera se debe: (i) contar con autorización previa del Titular para realizar el reporte; (ii) poseer los soportes idóneos que acrediten la existencia y exigibilidad de la obligación, su calidad de acreedor y la identidad del deudor; (iii) comunicar de manera previa al Titular lo ordenado en el artículo 12 de la Ley 1266 de 2008.  

No contar con la autorización previa del Titular para realizar reportes ante las centrales de información financiera, vulnera su derecho fundamental de Habeas. Esta infracción puede ser motivo de investigación y sanción por parte de esta Superintendencia, con independencia de si se configura un “hecho superado”.

La Delegatura para la Protección de Datos no es competente para dirimir controversias contractuales o para decidir sobre solicitudes de reparación económica por daños y perjuicios -numerales 5 y 6 del artículo 17 de la Ley 1266 de 2008-. 

El Consejo de Administración de una Propiedad Horizontal no puede tomar decisiones que pueden ir en contra de los preceptos de la Ley 1581 de 2012, como la instalación de cámaras de seguridad sin el cumplimiento de los requerimientos legales. Lo anterior pone en riesgo los derechos de los Titulares no solo en la esfera de Datos Personales, sino en su intimidad y privacidad -literal d) del artículo 17 de la Ley 1581 de 2012-.

La suplantación de identidad de una persona, desde la perspectiva del Tratamiento de Datos Personales, representa una vulneración a los principios de veracidad, seguridad y circulación restringida de la información. Por tanto, quien trate datos personales deberá tomar medidas útiles, oportunas, efectivas y demostrables para impedir la suplantación de identidad.

La Fuente de la información debe estar en la capacidad de probar el envío de la comunicación previa al Titular, según lo establecido en el artículo 12 de la Ley 1266 de 2008. De no hacerlo, el reporte negativo ante las centrales de la información financiera debe ser eliminado.

Para que la comunicación previa de lo ordenado en el artículo 12 de la Ley 1266 de 2008 sea válida y surta los efectos consagrados en la precitada Ley, esta debe efectuarse, como mínimo, con veinte (20) días calendario de anticipación a la realización del reporte negativo, y debe ser enviada a la última dirección informada por Titular.

Se desconoce el principio de veracidad y de caducidad de la información negativa reportada a las centrales de información, cuando se marca con el estado “insoluta” una obligación que ha caducado - literal a) del artículo 4 y artículo 13 de la Ley 1266 de 2008-. 

El Tratamiento de datos personales de menores de edad exige mayor responsabilidad y cuidado. Se deben implementar procesos de seguridad de la información, así como la adopción de un Manual Interno de Políticas y Procedimientos. El cumplimiento de los mismos debe ser  monitoreado con el fin de garantizar que sean útiles, oportunas, idóneas, efectivas y demostrables.

El principio de seguridad y confidencialidad se vulnera cuando se remite un correo electrónico que permite a una o varias personas ver o conocer las direcciones de correo electrónico de los  destinatarios de dicho mensaje.  En el tratamiento de datos personales de naturaleza pública se deben aplicar los principios rectores del artículo 4 de la ley 1581 de 2012, salvo los de libertad y confidencialidad.

La comunicación a que se refiere el artículo 12 de la ley 1266 de 2008 debe realizarse de manera previa al reporte de información negativa, y no con posterioridad al mismo. Únicamente surte efectos y garantiza el Derecho al Debido Proceso la comunicación previa, debida y oportuna que se haga siguiendo lo establecido en el precitado artículo.

Se vulneran los derechos fundamentales de protección de datos y de petición del Titular cuando no se responde una solicitud de supresión de la información dentro de los siguientes quince (15) días hábiles a su realización -artículo 15 Ley 1581 de 2012-.

Los Operadores de información están obligados a emitir respuestas exactas, claras, precisas y congruentes con lo solicitado por los Titulares de la Información. Sin una respuesta de fondo o si la misma es errónea o imprecisa, los Titulares no pueden ejercer sus derechos de actualización, rectificación y supresión bajo los términos de la Ley 1266 de 2008.

La Ley 1581 de 2012 sólo exceptúa de su ámbito de aplicación el “dato periodístico o de contenido editorial”  -(artículo 2, literal d), pero esa excepción no cubre, conforme a lo señalado por la sentencia C-748 de 2011 de la Corte Constitucional, a la información de carácter personal recolectada para otro tipo de finalidades o propósitos de los medios de comunicación como, entre otros, para fines de marketing o prospección comercial, resolver consultas y reclamos, cumplimiento de obligaciones tributarias, laborales y contractuales, etc.

La Política de Tratamiento de Información (PTI) debe  redactarse con un lenguaje claro y sencillo, teniendo en cuenta el tipo de audiencia, en particular si se tratan de niños, niñas o adolescentes, personas con alguna discapacidad, mayores adultos, o personas que no hablen el idioma castellano. La PTI debe diferenciarse claramente de aquella no relacionada con la protección de datos, como disposiciones contractuales o términos generales de uso.

Es deber de los Responsables de contar con una política (o manual) interno para la atención de consultas y reclamos que presenten los Titulares de la Información -  literal k) del artículo 17 de la Ley 1581 de 2012-. Dicha política debe incluir un mecanismo de monitoreo para evaluar su efectividad en la práctica y cumplir el principio de responsabilidad demostrada (accountability) 

La falta de controles sobre la veracidad de la información que le suministran terceros al  Responsable del Tratamiento, puede generar el uso y circulación de información errónea. En caso en que se presente una falla de seguridad que afecte datos personales, los Responsables del Tratamiento deben implementar las medidas necesarias para remediar el incidente y mitigar los posibles efectos o consecuencias negativas para los Titulares concernidos, así como con las medidas correctivas para evitar que ese tipo de fallas vuelvan a suceder a futuro.)