Concepto 2014106586-001 del 2 de diciembre de 2014
Síntesis: La Ley 1266 de 2008 por el cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en la base de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países permite que las Sociedades Administradoras de Inversión SAI, en su calidad de fuentes de la información, puedan reportar en las operaciones de descuento y factoring, el comportamiento y hábito de pago de los deudores, como elemento de análisis adicional en el estudio de riesgo crediticio y financiero.
«(…) comunicación mediante la cual desea conocer la posibilidad que existe, para que las Sociedades Administradoras de Inversión SAI, en su calidad de fuentes de la información, puedan reportar en las operaciones de descuento y factoring, el comportamiento y hábito de pago de los deudores, como elemento de análisis adicional en el estudio de riesgo crediticio y financiero.
Sobre la materia objeto de consulta cabe señalar que de acuerdo con el literal b) del artículo 3º de la Ley 1266 de 2008, la fuente de información está definida como “la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. (…) La fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos” (Subrayado y resaltado fuera de texto).
De hecho, en la práctica esta Superintendencia observa que los establecimientos de crédito; las sociedades fiduciarias como voceras de patrimonios autónomos de carteras improductivas; empresas del sector real, en su calidad de fuentes y usuarias, reportan y acceden a la información contenida en los operadores de bancos de datos, como elemento de análisis para establecer y mantener una relación comercial, contractual, “(…) cualquiera que sea su naturaleza (…)”, realizar estudios de mercadeo, investigaciones comerciales, estadísticas, etc, de acuerdo con lo dispuesto en el artículo 15 de la Ley 1266 de 2008, en concordancia con lo dispuesto en el Decreto 1727 de 2009, por medio del cual se fija al sector financiero[1] y sector real, las pautas para reportar la información a los operadores de bancos de datos.
Ahora bien, tampoco puede perderse de vista que de acuerdo con el objeto y el ámbito de aplicación, de que tratan los artículos 1 y 2 de la Ley 1266 de 2008, ésta Ley aplica no solo a los datos personales de naturaleza crediticia y financiera, tal como lo señala en su comunicación, sino también a aquellos relacionados con información comercial, de servicios y la proveniente de terceros países; en esa medida, toda aquella información relacionada directa o indirectamente con la prestación de un servicio, a un cliente o usuario por parte de una entidad vigilada nuestra, se rige en principio por la Ley 1266 de 2008, en concordancia con lo establecido en la Ley 1581 de 2012, por expresa remisión del literal e) de su artículo 2º.
De esta manera, tenemos que el artículo 10 de la misma Ley, señala que la información contenida en dichas bases de datos, tiene como propósito permitir a los usuarios el acceso para fines crediticios, comerciales, financieros y de servicios, en aras de favorecer la expansión y democratización del crédito, de hecho la citada norma señala claramente que “(…) Los usuarios de este tipo de información deberán valorar este tipo de información en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio” (Subraya y resaltado fuera de texto)
En igual sentido, la Corte Constitucional, al estudiar la constitucionalidad del artículo 10 de la Ley 1266 de 2008, recalcó lo siguiente: “el cumplimiento de la función constitucionalmente legitima del cálculo del riesgo crediticio, consistente en contar con información para la adecuada distribución de los recursos de crédito y la subsecuente garantía de la estabilidad financiera y la protección del ahorro público, se cumple de manera suficiente y razonable cuando cada una de estas variables sean tenidas en cuenta por las entidades correspondientes como paso previo para la suscripción de contratos.” en cuyas actividades, la administración de datos personales brinda a las entidades supervisadas un elemento de análisis, que de manera concurrente con otros elementos, les permita medir la posibilidad de que una entidad incurra en pérdidas y se disminuya el valor de sus activos, como consecuencia que un deudor o contraparte incumpla sus obligaciones,[2] ya sea en la realización de operaciones activas de crédito, instrumentos financieros derivados y productos estructurados, etc,
Para la Corte Constitucional, en la precitada Sentencia señala lo siguiente: “(…) el adecuado cálculo del riesgo crediticio es un aspecto importante para la protección de los recursos de intermediación y, por ende, del sistema financiero en su conjunto. Si se parte de la base que los recursos utilizados para las actividades del sector financiero se obtienen del ahorro de los ciudadanos, entonces resulta válido, desde la perspectiva constitucional, que se efectúen acciones destinadas a evitar que tales recursos se dilapiden y, en últimas, a satisfacer el interés público representado en las actividades de intermediación financiera (Art. 335 C.P.). Adicionalmente, debe tenerse en cuenta que de la estabilidad del sistema financiero en su conjunto dependen otros fines constitucionalmente valiosos, entre ellos la democratización del crédito”.
En esa medida, la fuente de la información responde por la calidad de los datos suministrados al operador y se sujeta al cumplimiento de los deberes y responsabilidades previstas, en especial las señaladas en el artículo 8º ibídem para garantizar la protección de los derechos del titular de los datos. Así, desde que exista un contrato como fuente generadora de obligaciones en los términos del artículo 1494 del Código Civil, en concordancia con el artículo 882 del Código de Comercio[3], y la autorización previa, expresa y consentida, otorgada por el titular de la información, las Sociedades Administradoras de Inversión SAI, pueden reportar de forma periódica y oportuna al operador, desde el inicio de la operación, todas las novedades respecto de los datos que previamente les hayan suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste sea veraz, completa, exacta, actualizada y comprobable.
Del mismo modo, en caso de incumplimiento, las Sociedades Administradoras de Inversión SAI, deben garantizar el debido proceso y el derecho de contradicción al deudor incumplido, en esa medida, el reporte de información negativa sobre incumplimiento de obligaciones que hagan las fuentes de información a los operadores de bancos de datos, procederá previa comunicación al titular de la información, con el fin de que éste pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad.
Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes. En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) días calendario siguiente a la fecha de envío de la comunicación, de acuerdo con lo señalado en el inciso 2º del artículo 12 de la Ley 1266 de 2008.
En conclusión, la Ley 1266 de 2008 por el cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en la base de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países permite que las Sociedades Administradoras de Inversión SAI, en su calidad de fuentes de la información, puedan reportar en las operaciones de descuento y factoring, el comportamiento y hábito de pago de los deudores, como elemento de análisis adicional para las finalidades antes señaladas.
(…).»
[1] La Corte Constitucional en Sentencia C-1011 de 2008, señaló respecto al artículo 17 de la Ley 1266 de 2008, que la función de vigilancia sobre la conducta de los agentes que intervienen en el proceso de administración de datos personales, se asigna “(…) a la Superintendencia Financiera cuando la fuente, el operador o el usuario, sea una entidad vigilada por este órgano (…) “Respecto de la actividad financiera, bursátil y aseguradora y de cualquier otra relacionada con el manejo, aprovechamiento e inversión de los recursos captados del público (…) La Superintendencia Financiera desarrolla el propósito estatal de asegurar la confianza en el sistema financiero, así como garantizar la transparencia de las actividades realizadas por las entidades vigiladas, evitar la comisión de delitos, en especial, relacionados con el lavado de activos, y proteger los intereses de terceros de buena fe que pueden resultar lesionados por operaciones de mercado irregulares, inseguras o inadecuadas”.
[2] Capítulo II – Gestión del Riesgo Crediticio – Circular Básica Contable y Financiera C.E. 100 de 1995.
Capítulo XVIII – Instrumentos Financieros Derivados y Productos Estructurados – Circular Básica Contable y Financiera C.E. 100 de 1995.
[3] Artículo 822. Los principios que gobiernan la formación de los actos y contratos y las obligaciones de derecho civil, sus efectos, interpretaciones, modo de extinguirse, anularse o rescindirse, serán aplicables a las obligaciones y negocios jurídicos mercantiles, a menos que la ley establezca otra cosa.
.