Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su comunicación radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:
1. Objeto de la Consulta
Manifiesta en su escrito lo siguiente:
\»(…) Yo como empresa puedo enviar correos de cobranza a mis clientes que presentan más de 30 días de mora al correo que ellos me dijeron, o esto interfiera (sic) con la ley habeas data en protección de datos?”.
A continuación nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.
2. Facultades de la Superintendencia de Industria y Comercio en materia de Habeas Data
En virtud de las atribuciones conferidas por la Ley 1266 de 2008 y el artículo 1 del Decreto 4886 de 2011, la Superintendencia de Industria y Comercio está facultada para la protección de datos personales así:
- Vigilar a los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países de la misma naturaleza, en cuanto se refiere a la actividad de administración de datos personales, en los términos de la ley 1266 de 2008, sin perjuicio de la competencia de la Superintendencia
- lmpartir instrucciones en materia de protección al consumidor, protección de la competencia, propiedad industrial, administración de datos personales y en las demás áreas propias de sus funciones, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación.
- Habeas data
Sea lo primero señalar que el artículo 15 de la Constitución Política, establece:
\»Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”. Respecto de la disposición transcrita la Corte Constitucional, en Sentencia T-060 de 2003, Magistrado Ponente, Doctor Eduardo Montealegre Lynnet, ha señalado:
“El derecho de habeas data, definido por el artículo 15 de la Carta, consiste en la facultad que tiene cada persona para conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. La ubicación de la precitada norma en el Capítulo Primero del Libro Segundo de la Carta, correspondiente a los “derechos fundamentales”, no deja duda acerca de la categoría de tal reconocida al derecho en referencia. Respecto de su protección, el constituyente indicó adicionalmente que en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
“(…)
“De esta manera, el núcleo esencial del derecho de habeas data está integrado por el derecho a la libertad y a la autodeterminación informática en general, y por la libertad económica en particular, pues, como lo ha establecido la Corte, ella podría verse vulnerada al restringirse indebidamente en virtud de la circulación de datos que no sean veraces, o que no haya sido autorizada por la persona concernida o por la ley.
“La autodeterminación es la posibilidad de que dispone una persona para permitir que sus datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales. (…)”.
De igual modo la honorable Corte Constitucional en Sentencia C-981 de 2000, magistrado ponente Dra. Clara Inés Vargas Hernández, consideró que “hace parte del habeas data la previa autorización expresa y voluntaria que debe dar el interesado para que un tercero pueda disponer de su información personal, asistiéndole el derecho no solamente a autorizar su circulación sino a rectificarlos o actualizarlos”. Como se advierte, el artículo 15 de la Constitución Política establece que las personas, en desarrollo de su derecho a la autodeterminación informática y el principio de libertad, son quienes de forma expresa autorizan que la información que sobre ellos se recaude o circule pueda ser incluida en un banco de datos.
La ausencia de dicha autorización implica necesariamente que los datos personales asociados al titular no podrán ser reportados por la fuente a un operador de información.
Ahora bien, la Ley 1266 de 2008 de Habeas Data en su artículo 3 consagra las siguientes definiciones:
\»a) Titular de la información. Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley;
- Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. (…)
- Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales
sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. (…)
- g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.\»
Así mismo, la Corte Constitucional, mediante Sentencia C-1011 de 2008, la cual efectuó el proceso de revisión del proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) \»Por la cual se dictan disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países\», en unos de sus apartes, señaló:
“En contrario, los datos semiprivados y privados, habida cuenta la naturaleza de la información que contienen, se les adscriben restricciones progresivas en su legítima posibilidad de divulgación, que se aumentan en tanto más se acerquen a las prerrogativas propias del derecho a la intimidad. 1 De esta forma, el dato financiero, comercial y crediticio, si bien no es público ni tampoco íntimo, puede ser accedido legítimamente previa orden judicial o administrativa o a través de procedimientos de gestión de datos personales, en todo caso respetuosos de los derechos fundamentales interferidos por esos procesos, especialmente el derecho al hábeas data financiero.
\»En este escenario, como lo ha reconocido esta Corporación en oportunidades anteriores, el acceso a la información es un acto compatible por la Constitución, amén de la necesidad de ponderar el ejercicio del derecho al hábeas data del titular de la información semiprivada, para el caso objeto de análisis de contenido comercial y crediticio, y la protección del derecho a la información que tiene los sujetos que concurren al mercado económico y que, por ende, están interesados en obtener datos que les permitan determinar el nivel de riesgo crediticio de los sujetos concernidos. precisamente, el objeto general del Proyecto de Ley es establecer las reglas
1 Sentencia C- 1011 de 2008 de 16 de Octubre de 2008, Referencia: Expediente PE 029, Magistrado Ponente: Jaime Córdoba Triviño. \»Aquí debe insistirse en que los derechos fundamentales a la intimidad, el buen nombre y al hábeas data tienen naturaleza independiente y cada uno de ellos ofrece un grupo de garantías específicas. Aunque en una etapa temprana de la jurisprudencia constitucional, el contenido de estos derechos era confundido, especialmente en la vertiente de considerar al hábeas data como una garantía propia del derecho a la intimidad, esta confusión está actualmente superada, de manera tal que al derecho al hábeas data se le confiere carácter autónomo y con espectro amplio, que ampara todos los procesos de administración de datos personales (…)”.
que permitan que la utilización de esa información semiprivada resulte respetuosa de los derechos y libertades predicables de los procesos de recolección, tratamiento y circulación de datos personales.\»
En tal virtud, al tratarse de la categoría de \»datos semiprivados\» para efectos de accesar a dicha información, se debe respetar los derechos fundamentales en todas las etapas de recolección, tratamiento y circulacion de la los datos personales.
El artículo 12 de la mencionada ley establece un requisito especial para las fuentes de la siguiente manera:
(…)
El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.
En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) días calendario siguientes a la fecha de envío de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y está aún no haya sido resuelta.
Al respecto, la Corte Constitucional mediante Sentencia C-1011 de 2008 señaló lo siguiente:
[L]a facultad conferida a la fuente de reportar la información financiera negativa luego de cumplido un término de veinte días calendario resulta, a juicio de la Corte, razonable. En efecto, el objetivo de la previsión es permitir que luego de notificársele la existencia de información negativa y la intención de ser reportado, sin que el titular de la información manifieste su desacuerdo, la fuente, quien actúa en condición de acreedor de la obligación correspondiente, pueda transmitir el
dato negativo al operador. Al respecto, debe enfatizarse que, en los términos planteados por la norma estatutaria y determinados en esta decisión, para que dicho reporte resulte procedente, se debió contar con la autorización previa, expresa y suficiente del sujeto concernido, conforme a lo previsto en el numeral 5º del artículo 8º del Proyecto de Ley.
En concordancia con lo anterior, el artículo 2 del Decreto 2952 de 2010 establece lo siguiente:
Reporte de Información Negativa. En desarrollo de lo dispuesto en el inciso segundo del artículo 12 de la Ley 1266 de 2008, el reporte de información negativa sobre incumplimiento de obligaciones sólo procederá previa comunicación al titular de la información, la cual podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes, siempre y cuando se incluya de manera clara y legible.
Las fuentes de información podrán pactar con los titulares, otros mecanismos mediante los cuales se dé cumplimiento al envío de la comunicación en mención, los cuales podrán consistir, entre otros, en cualquier tipo de mensaje de datos, siempre que se ajusten a lo previsto en la Ley 527 de 1999 y sus decretos reglamentarios y que la comunicación pueda ser objeto de consulta posteriormente.
En el evento en que se presenten moras sucesivas y continuas, la obligación de comunicar previamente al titular de la información, se entenderá cumplida con la comunicación correspondiente a la mora inicial.
En concordancia con lo anterior, el numeral 1.3.6., del Capítulo Primero, del Título V de la Circular Única de esta Superintendencia señala lo siguiente respecto a la prueba que se requiere de la comunicación enviada al titular de la información para el reporte negativo:
1.3.6. Deber de comunicar al titular de la información previamente al reporte
En caso de que la Superintendencia de Industria y Comercio requiera a la fuente para que allegue la prueba del envío de la comunicación previa a que hace referencia el artículo 12 de la Ley 1266 de 2008, ésta debe aportar lo siguiente:
- Copia de la comunicación escrita enviada al titular de la información con la certificación de haber sido remitida a la última dirección registrada ante la fuente y
la fecha de envío, o copia del extracto o de la factura enviada al titular de la información, en el cual se incluyó la comunicación previa al reporte, con la certificación de haber sido remitido a la última dirección registrada ante la fuente y la fecha de envío. En este último evento, cuando la comunicación previa se incluya en el extracto o en la factura, el texto de la misma debe ser claro, legible, fácilmente comprensible y ubicarse en un lugar visible del documento.
- En los casos en que se utilicen otros mecanismos de remisión de la comunicación, se debe allegar la prueba que acredite que la fuente acordó previamente con el titular un mecanismo diferente para informar sobre el eventual reporte negativo a
- En los casos en los que las fuentes de información hayan adquirido la obligación objeto de reporte mediante compraventa, subrogación, cesión de derechos o cualquier otra forma de transferencia del derecho de dominio, se tendrá como válida la comunicación previa remitida por el cedente u originador del crédito, siempre que la información haya continuado en el tiempo y el vendedor de la obligación no la haya eliminado del historial crediticio. En los casos en los cuales el reporte efectuado por el cedente u originador del crédito haya sido realizado antes de la entrada en vigencia de la Ley 1266 de 2008, no se les exigirá dicha comunicación
Cuando la Superintendencia de Industria y Comercio profiera una orden de eliminación de un reporte, como resultado de una actuación administrativa o de una investigación en la que no se haya acreditado la remisión al titular de la comunicación previa, la fuente deberá informar al operador que no cumplió con este requisito y eliminar el reporte negativo hasta tanto se cumpla con él. Cuando la eliminación del reporte tenga como causa el incumplimiento del deber de remitir la comunicación previa, la fuente no podrá reportar esa obligación con información positiva y, en consecuencia, las casillas o vectores correspondientes deberán aparecer sin información.
En consecuencia, la Ley 1266 de 2008 señala que debe existir un incumplimiento de las obligaciones del titular que le permite a la fuente de información reportar esta información negativa en las bases de datos de los operadores, para lo cual, de debe enviar comunicación al titular de la información por lo menos con veinte
(20) días calendario anteriores al reporte, con el fin de que el titular en este lapso de tiempo pueda demostrar o efectuar el pago de la obligación, o controvertir aspectos como la obligación, la cuota o la fecha de exigibilidad de la misma.
La mencionada comunicación podrá enviarse sin la exigencia que sea por correo certificado, a través de los extractos periódicos que las fuentes envíen a sus clientes o a través de cualquier tipo de mensaje de datos con las siguientes condiciones: (i) que se ajusten a lo previsto en la Ley 527 de 1999 y sus decretos reglamentarios; (ii) que sea previamente acordado con el titular de la información e envío por este medio; y (iii) que la comunicación pueda ser objeto de consulta posteriormente.
Así mismo, la fuente de información debe demostrar que envió la comunicación escrita, el extracto o factura al titular de la información con la certificación de haber sido remitida a la última dirección registrada en su base de datos y su fecha en envió.
Cuando la comunicación se incluya en el extracto o en la factura, el texto de la misma debe ser claro, legible, fácilmente comprensible y ubicarse en un lugar visible del documento.
En el evento, en que se pacte otro mecanismo de comunicación entre el titular y la fuente de información se deberá acreditar dicho acuerdo y permitir su consulta de envío al titular.