Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y Contencioso Administrativo, damos respuesta a su consulta radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:
- Objeto de la consulta
Solicita en su escrito que se le informe si las entidades financieras pueden realizar reportes negativos ante los operadores de información.
A continuación, nos permitimos suministrarle información relevante en relación con el tema de su consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.
- Habeas data
Sea lo primero señalar que el artículo 15 de la Constitución Política, establece:
«Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
«En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución».
Respecto de la disposición transcrita la Corte Constitucional, en Sentencia T-060 de 2003, Magistrado Ponente, Doctor Eduardo Montealegre Lynnet, señaló:
«El derecho de habeas data, definido por el artículo 15 de la Carta, consiste en la facultad que tiene cada persona para conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. La ubicación de la precitada norma en el Capítulo Primero del Libro Segundo de la Carta, correspondiente a los «derechos fundamentales», no deja duda acerca de la categoría de tal reconocida al derecho en referencia. Respecto de su protección, el constituyente indicó adicionalmente que en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
«De esta manera, el núcleo esencial del derecho de habeas data está integrado por el derecho a la libertad y a la autodeterminación informática en general, y por la libertad económica en particular, pues, como lo ha establecido la Corte, ella podría verse vulnerada al restringirse indebidamente en virtud de la circulación de datos que no sean veraces, o que no haya sido autorizada por la persona concernida o por la ley.
«La autodeterminación es la posibilidad de que dispone una persona para permitir que sus
datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales. (…)”.
De igual modo la honorable Corte Constitucional en Sentencia C-981 de 2000, magistrado ponente Dra. Clara Inés Vargas Hernández, consideró que «hace parte del habeas data la previa autorización expresa y voluntaria que debe dar el interesado para que un tercero pueda disponer de su información personal, asistiéndole el derecho no solamente a autorizar su circulación sino a rectificarlos o actualizarlos».
Como se advierte, el artículo 15 de la Constitución Política establece que las personas, en desarrollo de su derecho a la autodeterminación informática y el principio de libertad, son quienes de forma expresa autorizan que la información que sobre ellos se recaude o circule pueda ser incluida en un banco de datos.
La ausencia de dicha autorización implica necesariamente que los datos personales asociados al titular no podrán ser reportados por la fuente a un operador de información.
Ahora bien, la Ley 1266 de 2008 de Habeas Data en su artículo 3 consagra las siguientes definiciones:
«a) Titular de la información. Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley;
- Fuente de información. Es la persona, entidad u organización que recibe o conoce datos, personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. (…)
- Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. (…)
- g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente «
Así mismo, la Corte Constitucional, mediante Sentencia C-1011 de 2008, la cual efectuó el proceso de revisión del proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) «Por la cual se dictan disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países», en unos de sus apartes, señaló:
«En contrario, los datos semiprivados y privados, habida cuenta la naturaleza de la información que contienen, se les adscriben restricciones progresivas en su legítima posibilidad de divulgación, que se aumentan en tanto más se acerquen a las prerrogativas propias del derecho a la intimidad1. De esta forma, el dato financiero, comercial y crediticio, si bien no es público ni tampoco íntimo, puede ser accedido legítimamente previa orden judicial o administrativa o a través de procedimientos de gestión de datos personales, en todo caso respetuosos de los derechos fundamentales interferidos por esos procesos, especialmente el derecho al hábeas data financiero.
«En este escenario, como lo ha reconocido esta Corporación en oportunidades anteriores, el acceso a la información es un acto compatible por la Constitución, amén de la necesidad de ponderar el ejercicio del derecho al hábeas data del titular de la información semiprivada, para el caso objeto de análisis de contenido comercial y crediticio, y la protección del derecho a la información que tiene los sujetos que concurren al mercado económico y que, por ende, están interesados en obtener datos que les permitan determinar el nivel de riesgo crediticio de los sujetos concernidos, precisamente, el objeto general del Proyecto de Ley es establecer las reglas que permitan que la utilización de esa información semiprivada resulte respetuosa de los derechos y libertades predicables de los procesos de recolección, tratamiento y circulación de datos personales.»
En tal virtud, al tratarse de la categoría de «datos semiprivados» para efectos de accesar a dicha información, se debe respetar los derechos fundamentales en todas las etapas de recolección, tratamiento y circulación de los datos personales.
- Autorización por parte del titular de la información
El artículo 8 de la Ley 1266 de 2008, establece, entre otros, el siguiente deber para las fuentes de información así:
- Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no
1 Sentencia C-1011 de 2008 de 16 de octubre de 2008, Referencia: Expediente PE – 029, Magistrado Ponente: Jaime Córdoba Triviño. «Aquí debe insistirse en que los derechos fundamentales a la intimidad, el buen nombre y al hábeas data tienen naturaleza independiente y cada uno de ellos ofrece un grupo de garantías específicas. Aunque en una etapa temprana de la jurisprudencia constitucional, el contenido de estos derechos era confundido, especialmente en la vertiente de considerar al hábeas data como una garantía propia del derecho a la intimidad, esta confusión está actualmente superada, de manera tal que al derecho al hábeas data se le confiere carácter autónomo y con espectro amplio, que ampara todos los procesos de administración de datos personales (…)».
suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley.
En concordancia con lo anterior, el numeral 1.3.3., del Capítulo primero, del Título V de la Circular Única de esta entidad, dispone lo siguiente:
«1.3.3. Deber de solicitar y conservar copia de la respectiva autorización otorgada por los titulares de la información y de asegurarse de no entregar a los operadores ningún dato cuyo suministro no esté previamente autorizado.
Con el fin de dar cumplimiento a lo establecido en el numeral 5 del artículo 8 de la Ley 1266 de 2008, las fuentes de información deben garantizar que todo reporte de información positiva o negativa que repose en la base de datos de un operador de información, sin excepción alguna, cuente con la autorización otorgada por su titular. Dicha autorización debe cumplir con los siguientes requisitos:
- Ser expresa, es decir, contener la manifestación de una voluntad libre, específica e inequívoca que le permita a la fuente recopilar, disponer o divulgar la información crediticia del
- Ser previa, esto es, otorgada con antelación al reporte de la información. La autorización previa y expresa a la que hace referencia el numeral 5 del artículo 8 de la Ley 1266 de 2008 puede ser otorgada de manera verbal o mediante documento físico o electrónico, siempre que cumpla con los siguientes requisitos:
- Que la fuente de la información identifique plenamente al titular en el momento en que se otorgue dicha autorización.
- Que el titular exprese su voluntad de manera previa, libre, espontánea, específica e inequívoca en el sentido de autorizar a la fuente para recopilar, usar o divulgar su información.
- Que se informe plenamente al titular acerca de la finalidad para la cual está otorgando la autorización.
- En caso de que la autorización se otorgue por medios electrónicos, que la misma se ajuste a las previsiones contempladas en la Ley 527 de 1999 y demás normas
- Que se conserve copia de la En los casos en que la autorización se obtenga por vía telefónica, se deberá guardarse la respectiva grabación.
Cualquier dato positivo o negativo que repose en la base de datos de un operador de información sin contar con la autorización otorgada por su titular, debe ser eliminado de manera inmediata, una vez se advierta la ausencia de la misma como consecuencia de la solicitud del titular, surtida a través del respectivo reclamo.
En los casos de enajenación de obligaciones, la autorización previa y expresa otorgada por el titular de la información a la entidad originadora de la obligación, se considera válida para efectos de realizar los reportes de información negativa y/o positiva ante los operadores, sin perjuicio del deber de la fuente de acreditar tal enajenación».
Por lo anterior, las fuentes de información deben garantizar que para el reporte negativo o positivo de la información se cuente con la autorización expresa y previa al reporte por parte del titular, y haberle informado la finalidad para la cual se está otorgando dicha autorización.
- Procedimiento para el reporte negativo
El artículo 12 de la mencionada ley establece un requisito especial para las fuentes de la siguiente manera:
» (…)
El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.
En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) días calendario siguientes a la fecha de envío de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y está aún no haya sido resuelta.»
Al respecto, la Corte Constitucional mediante Sentencia C-1011 de 2008 señaló lo siguiente:
«La facultad conferida a la fuente de reportar la información financiera negativa luego de cumplido un término de veinte días calendario resulta, a juicio de la Corte, razonable. En efecto, el objetivo de la previsión es permitir que luego de notificársele la existencia de información negativa y la intención de ser reportado, sin que el titular de la información manifieste su desacuerdo, la fuente, quien actúa en condición de acreedor de la obligación correspondiente, pueda transmitir el dato negativo al operador. Al respecto, debe enfatizarse que, en los términos planteados por la norma estatutaria y determinados en esta decisión, para que dicho reporte resulte procedente, se debió contar con la autorización previa, expresa y suficiente del sujeto concernido, conforme a lo previsto en el numeral 5o del artículo 8o del Proyecto de Ley.»
En concordancia con lo anterior, el artículo 2.2.2.28.2., del Decreto 1074 de 2015 establece lo siguiente:
«Reporte de Información Negativa. En desarrollo de lo dispuesto en el inciso segundo del artículo 12 de la Ley 1266 de 2008, el reporte de información negativa sobre incumplimiento de obligaciones sólo procederá previa comunicación al titular de la información, la cual podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes, siempre y cuando se incluya de manera clara y legible.
Las fuentes de información podrán pactar con los titulares, otros mecanismos mediante los cuales se dé cumplimiento al envío de la comunicación en mención, los cuales podrán consistir, entre otros, en cualquier tipo de mensaje de datos, siempre que se ajusten a lo previsto en la Ley 527 de 1999 y sus decretos reglamentarios y que la comunicación pueda ser objeto de consulta posteriormente.
En el evento en que se presenten moras sucesivas y continuas, la obligación de comunicar previamente al titular de la información, se entenderá cumplida con la comunicación correspondiente a la mora inicial.»
5. Conclusiones
5.1. Teniendo en cuenta que la fuente de información es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole, puede realizar el reporte negativo de una persona que se encuentra en mora en el cumplimiento de sus obligaciones, siempre y cuando cuente con la autorización del titular de la información.
- La fuente de información debe enviar una comunicación al titular de la información por lo menos con veinte (20) días calendario anteriores al reporte, con el fin de que el titular en este lapso de tiempo pueda demostrar o efectuar el pago de la obligación, o controvertir aspectos como la obligación, la cuota o la fecha de exigibilidad de la misma. La mencionada comunicación podrá enviarse sin la exigencia que sea por correo certificado, a través de los extractos periódicos que las fuentes envíen a sus clientes, o mediante mensajes de datos, de conformidad con la Ley 527 de