Vigencia de Autorización de reporte en centrales de Riesgo

Concepto 2013106970-003 del 21 de enero de 2014

 

Síntesis: La administración y disposición de los datos personales no es absoluta por parte de las fuentes de información, los operadores y los usuarios, puesto que aquellas actividades se hallan sujetas al cumplimiento de los principios de circulación restringida y de temporalidad de la información, con especial atención a los diversos literales del artículo 5° de la Ley 1266 de 2008 que taxativamente exigen el consentimiento expreso por parte del titular, pues vale la pena decir que tal autorización es la prueba de la autonomía informativa del titular del dato ante la fuente, para efectos de dar garantía al derecho fundamental al hábeas data. Asimismo haciendo referencia a la vigencia que posee la autorización del titular, se puede afirmar que aquella durará el tiempo que sea ejecutado el vínculo jurídico entre el cliente y la institución financiera

 

 

«(…) comunicación, mediante la cual formula cinco interrogantes respecto del derecho constitucional de hábeas data.

 

Amablemente le informamos que atendiendo el carácter general de los interrogantes contenidos en los numerales 1 a 4, se dispuso el traslado de su petición a la Superintendencia de Industria y Comercio a través del oficio 2013106970-001 que acompañamos para su conocimiento, para efectos de que esa entidad en su condición de Autoridad de protección de datos, según lo disponen las leyes estatutarias 1266 de 2008 y 1581 de 2012, dé respuesta a los mismos desde el ámbito de su competencia.

 

En lo relativo a nuestra competencia, responderemos su inquietud número 5, transcrita a continuación:

 

“¿mientras una persona utilice los servicios de un banco o entidad financiera, con un producto como tarjeta de crédito, dicha autorización sirve para consultar la información en las centrales de riesgo, información personal, así el producto se encuentre en mora?”

 

En primer lugar, le manifestamos que la recolección, tratamiento y circulación de la información financiera[1] derivada de un producto como tarjeta de crédito contratada con una de nuestras entidades vigiladas, tiene su propio marco legal en Colombia conformado por la Ley Estatutaria 1266 de 2008[2], los Decretos Reglamentarios 1727 de 2009 y 2952 de 2010, incluyendo además la jurisprudencia de la Corte Constitucional en la Sentencia C 1011 de 2008.

 

En virtud de lo dispuesto en la legislación, el manejo de la información otorgada por el titular debe llevarse a cabo con observancia de los principios allí consagrados, tanto al momento de su recepción como al de su entrega, debido a esto adquiere relevancia hacer mención a la autorización previa o concomitante, en especial para el cumplimiento del principio de finalidad establecido en el literal b) artículo 4° de la Ley Estatutaria 1266 de 2008:

 

La administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto.

 

Debe tener en cuenta que el legislador no definió en la reglamentación el contenido exacto de la autorización a otorgar por parte del titular de la información, aún así toda autorización se encuentra sujeta a los límites trazados por el mandato constitucional de protección de los datos personales y expresamente por las finalidades que presenta el artículo 15 de la Ley 1266 de 2008, como se puede leer seguidamente:

 

ARTÍCULO 15. ACCESO A LA INFORMACIÓN POR PARTE DE LOS USUARIOS. La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países podrá ser accedida por los usuarios únicamente con las siguientes finalidades:

 

Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así como para la evaluación de los riesgos derivados de una relación contractual vigente.

 

Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.

 

Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.

 

Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información.

 

En ese orden de ideas, la administración y disposición de los datos personales no es absoluta por parte de las fuentes de información, los operadores y los usuarios, puesto que aquellas actividades se hallan sujetas al cumplimiento de los principios de circulación restringida y de temporalidad de la información, con especial atención a los diversos literales del artículo 5° ibídem que taxativamente exigen el consentimiento expreso por parte del titular, pues vale la pena decir que tal autorización es la prueba de la autonomía informativa del titular del dato ante la fuente, para efectos de dar garantía al derecho fundamental al hábeas data.

 

Dentro del contexto aludido y haciendo referencia a la vigencia que posee la autorización del titular, se puede afirmar que aquella durará el tiempo que sea ejecutado el vínculo jurídico entre el cliente y la institución financiera, es decir entre su nacimiento hasta su extinción, si apelamos a un ejemplo en contratos de tracto sucesivo como la tarjeta de crédito, mientras el cliente posea el producto con la entidad bancaria, la institución financiera tendrá las prerrogativas consentidas por el titular del dato en la respectiva autorización, pero al terminarse este vínculo, la misma suerte le llevaría a la finalidad consentida expresamente en aquel documento.

 

Consideramos por último que es importante informarle que de encontrarse en mora en el cumplimento del pago de una cuota u obligación y la entidad vigilada acreedora cuenta con la autorización para generar un reporte negativo del titular en la base de datos de información financiera, tal evento de incumplimiento será objeto de registro y podrá ser consultado posteriormente por los usuarios cuando se solicite conocer el estado actual del titular; sin embargo cuando se ponga al día en su obligación la permanencia que tendrá el reporte negativo será el indicado por la exequibilidad condicionada fijada por la Corte Constitucional en su sentencia[3] cuyo contenido fue recogido por el artículo 3° del Decreto Reglamentario 2952 de 2010[4].

 

Finalmente corresponde a esta Entidad hacerle notar al peticionario que la información contenida en las bases de datos financieros, crediticios, comercial, de servicios y la proveniente de terceros países forma parte del historial crediticio de cada titular, en ello reposa la importancia de la existencia de información positiva del sujeto referido, en tanto que lo distingue como un agente del mercado económico cumplidor de sus obligaciones y lo habilita para acceder a los productos financieros.

 

 

(…).»

[1] Entiéndase por información financiera la referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen.

[2] Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

[3] Sentencia C 1011 de 2008: Resuelve… Sexto.- Declarar EXEQUIBLE el artículo 13 del Proyecto de Ley objeto de revisión, en el entendido que la caducidad del dato financiero en caso de mora inferior a dos años, no podrá exceder el doble de la mora, y que el término de permanencia de cuatro años también se contará a partir del momento en que se extinga la obligación por cualquier modo.

[4] Artículo 3°. Permanencia de la Información Negativa. En caso de mora inferior a dos (2) años, el término de permanencia de la información negativa no podrá exceder el doble de la mora.

Para los demás eventos, el término de permanencia de la información negativa será de cuatro (4) años contados a partir de la fecha en que la mora se extinga por cualquier modo.

En el caso de incumplimiento de obligaciones en las cuales no se puedan computar tiempos de mora, tal como sucede con las cuentas corrientes canceladas por mal manejo, el término de permanencia de la información negativa será de cuatro (4) años contados a partir de la fecha en que cese el incumplimiento o sea cancelado el producto.