Se encuentra usted aquí

Manejo de información personal, 'Habeas data'

Identifique de la siguiente lista de temas, cuál es la opción que más se relaciona con el problema que quiere aclarar.

Definiciones y terminología del manejo de datos

¿Qué es el derecho de Hábeas Data?

El derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

La Corte Constitucional lo definió como el derecho que otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de su divulgación, publicación o cesión, de conformidad con los principios que regulan el proceso de administración de datos personales. Asimismo, ha señalado que este derecho tiene una naturaleza autónoma que lo diferencia de otras garantías con las que está en permanente relación, como los derechos a la intimidad y a la información.

¿Quién es el titular de la información?

El titular de la información es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos. Ejemplo: Un usuario que celebró el contrato de prestación de servicio de comunicaciones.

¿Quién es la fuente de información?

La fuente de información es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. Ejemplo: El proveedor de servicios de comunicaciones.

Si la fuente entrega la información directamente a los usuarios, y no a través de un operador, tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos.

¿Qué se entiende por vínculo de cualquier otra índole?

El vínculo de cualquier otra índole debe entenderse como aquel que genere una o más obligaciones entre la fuente y el titular que legitime al primero a reportar información tanto negativa como positiva del último por lo que es claro que, el contar solamente con la autorización de reporte no genera obligación alguna entre la supuesta fuente y el reclamante; será requisito indispensable la existencia de una obligación entre estos para que sea posible realizar un reporte.

¿Quién es el operador de la información?

Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la ley. Ejemplo: Central de Información Financiera CIFIN y Datacrédito.

¿Quién es el usuario de la información?

El usuario es la persona natural o jurídica que puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. Ejemplo: Las entidades bancarias que solicitan la información con el fin de analizar el riesgo crediticio, o los proveedores de servicios de comunicaciones quienes pueden actuar como fuente de información, y asimismo como usuarios de la misma.

¿Qué es un dato personal?

El dato personal se refiere a cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos personales pueden ser públicos, semiprivados o privados.

Los datos serán públicos cuando la ley o la Constitución así lo establezcan, y cuando no sean de aquellos clasificados como semiprivados o privados. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas y los relativos al estado civil de las personas.

El dato semiprivado es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector personas o a la sociedad en general, como el dato financiero y crediticio.

El dato privado es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

¿Qué es el principio de finalidad?

El principio de finalidad, obliga a que las actividades de recolección de datos personales obedezcan a una finalidad legítima de acuerdo con la Constitución y la ley. Con fundamento en este principio la finalidad debe ser comunicada al titular de la información previa o concomitante con el otorgamiento del titular de la autorización, cuando ella sea necesaria o, en general, siempre que el titular solicite información al respecto.

¿En qué consiste la circulación restringida?

El principio de circulación restringida consiste en que a menos que la información sea pública, los datos personales no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que dicho acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o a los usuarios autorizados para ello.

¿Qué es la temporalidad de la información?

El principio de temporalidad de la información se refiere a la necesidad de que el dato del titular no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad del banco de datos.

¿Qué es el principio de interpretación integral de derechos constitucionales?

La interpretación integral de derechos constitucionales, consiste en que la normas que rigen los datos personales se interpretarán en el sentido que se amparen otros derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Asimismo, se refiere a que los derechos de los titulares se interpretarán en armonía con el derecho a la información y demás derechos constitucionales aplicables.

¿En qué consiste el principio de seguridad?

El principio de seguridad impone que en la información contenida en los bancos de datos, así como aquella que resulte de las consultas que realicen los usuarios, se incorporen las medidas técnicas necesarias para garantizar la seguridad de los registros, con el fin de evitar su adulteración, pérdida, consulta o uso no autorizado.

¿Qué es el principio de confidencialidad?

El principio de confidencialidad en la información consiste en que todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan carácter público, están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar el suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas.

¿La actual regulación sobre hábeas data se refiere a toda la administración de los datos personales?

No. La regulación actual sobre hábeas data, Ley 1266 de 2008, constituye una regulación parcial de este derecho, concentrada en las reglas para la administración de datos personales de carácter financiero, comercial, de servicios y proveniente de terceros países, destinada al cálculo del riesgo crediticio.

En ese sentido la recopilación, tratamiento y circulación de datos en materia de seguridad social, asuntos tributarios, la realizada por las instituciones de inteligencia y seguridad del Estado, el registro mercantil, etc., están amparadas por el artículo 15 de la Constitución y desarrolladas por la jurisprudencia de la Corte Constitucional.

¿Qué autoridad ejerce la vigilancia de los operadores, las fuentes y usuarios de la información?

Por regla general, la autoridad que ejerce la función de vigilancia de los operadores, las fuentes y usuarios de la información crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto a la administración de datos personales es la Superintendencia de Industria y Comercio. Sin embargo, cuando la fuente, usuario u operador sea una entidad vigilada por la Superintendencia Financiera, será esta la entidad que ejerza dicha vigilancia, como es el caso de las entidades bancarias.

¿Cuál es el plazo que tiene un operador para atender una consulta?

La petición o consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se podrá prorrogar el anterior plazo por cinco (5) días hábiles más, previa justificación al interesado y señalando la fecha en que se atenderá la petición.

 ¿En qué casos es posible que el operador de un banco de datos pueda suministrar la información que administra?

La información personal que reposa en los bancos de datos, podrá ser entregada por el operador que la administra de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes casos:

  1. A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes.
  2. A los usuarios de la información, en los casos que se haya obtenido autorización del titular o, en aquellos establecidos expresamente en la ley .
  3. A cualquier autoridad judicial, previa orden judicial.
  4. A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.
  5. A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.
  6. A otros operadores de datos, cuando se cuente con autorización del titular.
  7. A otros operadores de datos, sin ser necesaria la autorización del titular , siempre que el banco de datos de destino tenga la misma finalidad que tiene el operador que entrega los datos.
  8. A un operador que administre un banco de datos extranjero, sin autorización del titular, siempre que se deje constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular.
  9. A otras personas autorizadas por la ley.

¿Es posible que la fuente únicamente reporte información desfavorable?

No. La ley prohíbe expresamente que la administración de datos personales se limite a información desfavorable. En ese sentido, será obligación de la fuente reportar al operador tanto la información positiva como la negativa, así como será obligación de este último suministrar al usuario igual tipo de información.

¿La información que reporte la fuente a los operadores debe ser veraz?

Sí. La fuente de información tiene el deber de garantizar que la información que suministre a los operadores de los bancos de datos sea veraz, completa, exacta, actualizada y comprobable.

También será su deber reportar en forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado, así como adoptar las medidas necesarias para que la información suministrada se mantenga actualizada.

De igual forma, le corresponderá a la fuente rectificar aquella información que haya suministrado de manera incorrecta al operador con el fin de cumplir con el principio de veracidad y calidad de los registros o datos.

¿El operador tiene el deber de establecer que la información que le remite la fuente es veraz?

No. El operador de la información debe asumir que el dato personal que le remite la fuente es verdadero y su responsabilidad se limita a verificar que los datos reportados (i) estén relacionados con información financiera, comercial y crediticia, (ii) sean pertinentes para el cálculo del riesgo crediticio y (iii) sean completos, esto es, que no sea fraccionada o parcial.

Si bien la actividad de acopio de la información de los operadores no constituye una operación neutra, ello no significa que el operador extienda su competencia a esferas que no le corresponden y sea éste quien esté llamado a determinar si la obligación objeto de reclamo ha sido pagada o se encuentra prescrita.

Sin perjuicio de lo anterior, será deber del operador cada vez que las fuentes reporten novedades, realizar periódica y oportunamente la actualización y rectificación de los datos, así como indicar en el respectivo registro individual que determinada información se encuentra en discusión, cuando se haya presentado solicitud de rectificación o actualización por parte de su titular.

¿Un usuario que consulta la información de una persona, debe indicar la finalidad perseguida?

Sí. El usuario que consulte la información de una persona contenida en una base de datos debe indicar la finalidad para la cual consultó dicha información y si tal conducta se realizó en cumplimiento del principio de finalidad legítima de la administración de datos personales, que no es otro que contar con herramientas para el cálculo del riesgo crediticio (análisis del riesgo).

¿Es deber de la fuente contar con la autorización previa, libre y expresa del titular de la información, para que se incluya su información en las bases de datos?

Sí. La autorización dada por el titular de la información la cual debe ser previa, libre y expresa, es requisito indispensable para que se incluya la información de los titulares en las bases de datos, pues de lo contrario estaríamos en presencia de una violación del principio de libertad consagrado a favor de los titulares. Será obligación de la fuente conservar copia o evidencia de la respectiva autorización.

Será deber del operador solicitar semestralmente a la fuente la certificación de la existencia de la autorización otorgada por el titular.

¿Qué sucede si una fuente de información no cuenta con la autorización para realizar el reporte?

En el evento el que una fuente no cuente con la autorización del titular de la información para realizar el reporte a un operador, deberá proceder eliminar todo tipo de información, positiva o negativa, que hubiere reportado.

¿Qué sucede si una fuente de información no cuenta con los soportes de la obligación?

En el caso en el que la fuente de información no cuente con los soportes de la obligación debe abstenerse de realizar el reporte ya que es necesario que tenga certeza sobre la existencia y las condiciones del crédito. En el evento de que tal reporte ya se haya efectuado, deberá proceder eliminar todo tipo de información, positiva o negativa, que hubiere reportado.

En ese sentido, se pronunció la Corte Constitucional  al señalar que no basta con que las entidades que realicen el reporte tengan los registros contables que soporten la existencia de la obligación, sino que, además, como condición para hacer el reporte y como medio para hacer efectivo el derecho de las personas a conocer las circunstancias del mismo, deben contar con los documentos de soporte, en los que conste la respectiva obligación.

¿La fuente puede realizar el reporte del dato negativo al operador del banco de datos, sin informar previamente al titular de la información?

No. El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos, sólo procederá previa comunicación al titular de la información, con el fin de que éste pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.

Las fuentes podrán pactar con los titulares de la información, otros mecanismos mediante los cuales se dé cumplimiento al envío de la comunicación, siempre y cuando la comunicación pueda ser objeto de consulta posteriormente, como por ejemplo los mensajes de datos.

En el evento en que se presentes moras sucesivas y continuas, la obligación de comunicar previamente al titular de la información, se entenderá cumplida con la comunicación correspondiente a la mora inicial.

Las fuentes de información sólo podrán efectuar el reporte de la información transcurridos veinte (20) días calendario a la fecha de envío de la comunicación en la última dirección de domicilio del titular de la información que se encuentre registrada en los archivos de la fuente de la información.

¿Cuáles son los principios generales que orientan la administración de datos?

Los principios generales que orientan en el desarrollo, interpretación y aplicación de la administración de datos son: veracidad o calidad de los registros o datos, finalidad, circulación restringida, temporalidad de la información, interpretación integral de derechos constitucionales, seguridad y confidencialidad.

¿En qué consiste la veracidad o calidad de los registros o datos?

El principio de veracidad o calidad de los registros o datos consiste en que la información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. De la misma manera, este principio prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan al error.

¿Cuánto tiempo debe durar la información en los bancos de datos?

Cuando la información que repose en los bancos de datos sea de carácter positivo, dicha información deberá permanecer de manera indefinida.

En relación con la información de carácter negativo es necesario hacer la diferencia teniendo en cuenta el tiempo de mora de la obligación:

  1. En aquellos eventos en que la mora sea inferior a dos (2) años, el término de permanencia de la información negativa no podrá exceder el doble de la mora.
  2. Para los demás eventos, esto es, aquellos en los que la mora sea superior a dos (2) años, el término de permanencia de la información negativa será de cuatro (4) años contados a partir de la fecha en que la mora se extinga por cualquier modo.
  3. En el caso de incumplimiento de obligaciones en las cuales no es posible computar los tiempos de mora, tal como sucede con las cuentas corrientes canceladas por mal manejo, el término de permanencia de la información negativa será de cuatro (4) años contados a partir de la fecha en que cese el incumplimiento o sea cancelado el producto.

¿Cuánto tiempo debe durar el dato negativo de una obligación que no se ha cumplido?

Conforme el principio de finalidad, la información de datos personales de carácter negativo debe estar supedita a que sean útiles y pertinentes para el cálculo del riesgo financiero, por ello, no se concibe que los datos personales duren indefinidamente en el tiempo cuando pierden su funcionalidad.

Es el caso del titular de una obligación que no se ha cumplido y que desde la fecha de su exigibilidad han pasado más de 10 años, en el cual la jurisprudencia constitucional  ha considerado que el sujeto titular de la información reportada, tiene derecho al olvido y, por tanto, la información no puede permanecer indefinidamente en las centrales de riesgo.

Cuando la extinción de la obligación se dé por prescripción, para proteger el derecho de hábeas data no será necesario que aquella se declare judicialmente. En consecuencia, el dato negativo permanecerá por el término de cuatro (4) años contados a partir del momento en que reconozca judicialmente o en caso de no existir pronunciamiento judicial, una vez transcurridos diez (10) años desde el momento en el que la obligación se hace exigible.

Controversias en el manejo de la información

¿El operador está obligado a comunicar que determinada información se encuentra en discusión por parte de su titular?

Si. El cuestionamiento del dato hace parte de una información veraz y completa y, además, se articula con el derecho fundamental al debido proceso, por cuanto la persona afectada con una información desfavorable o incierta, debe tener la oportunidad legal de presentar sus argumentos y razones para cuestionarla. Si dicha información es puesta en circulación, es claro que las razones de desavenencia del titular con determinados datos, sean también puestas en circulación para lograr las condiciones de veracidad e imparcialidad que caracterizan al dato personal.

¿Cuando la información que repose en los bancos de datos no esté actualizada o sea equivocada, qué puede hacer el titular?

Cuando el titular de la información considere que en los bancos de datos reposa información que no es correcta o que se encuentre desactualizada podrá presentar un reclamo ante el operador con el fin de que se proceda a su corrección o actualización.

El reclamo se formulará mediante escrito dirigido al operador del banco de datos, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer.

Este mecanismo igualmente podrá ser utilizado por el causahabiente del titular de la información.

¿Qué puede hacer el operador si el reclamo está incompleto?

En caso de que el escrito que contiene el reclamo resulte incompleto, el operador deberá oficiar al interesado para que subsane las fallas. Transcurrido un mes desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación.

¿Qué información se debe incluir en registro individual del banco de datos cuando se presenta un reclamo?

Una vez recibido el reclamo, el operador incluirá en el registro individual en un término no mayor a dos (2) días hábiles una anotación que diga "reclamo en trámite". Dicha información deberá mantenerse hasta que el reclamo sea decidido y deberá incluirse en la información que se suministra a los usuarios.

¿Cuál es el plazo que tiene un operador para atender una reclamación?

El operador cuenta con un término máximo para atender el reclamo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la petición dentro de dicho término, éste se podrá prorrogar máximo por ocho (8) días hábiles, justificando previamente al interesado los motivos de la demora y señalando la fecha en que se atenderá la petición.

Cuando la fuente de información sea diferente del operador, este último deberá dar traslado del reclamo a la fuente en un término máximo de dos (2) días hábiles, quien deberá resolver e informar la respuesta al operador en un plazo máximo de diez (10) días hábiles. En todo caso, la respuesta deberá darse al titular por el operador en el término máximo de 15 días hábiles contados a partir del día siguiente a la fecha de presentación de la reclamación.

¿La reclamación se puede presentar directamente ante la fuente de información?

Sí. El reclamo puede ser presentado directamente ante la fuente, quien a su vez procederá a resolverlo. En este caso será obligación de la fuente informar al operador sobre la recepción del reclamo dentro de los dos (2) días hábiles siguientes a su recibo, con el fin de que incluya la expresión "reclamo en trámite" dentro del registro individual.

¿Qué puede hacer el titular información cuando no esté de acuerdo con la respuesta del operador o de la fuente a la reclamación que presentó?

En caso que el titular no esté de acuerdo con la respuesta que se expidió en relación con su reclamación, éste podrá acudir ante la Superintendencia de Industria y Comercio con el fin de poner en conocimiento los motivos de su reclamación.

De la misma manera podrá acudir ante la Superintendencia cuando el operador o la fuente ante quien presentó la reclamación no haya dado respuesta dentro de la oportunidad legal.

¿Si el titular controvierte la información, es posible que la fuente realice el reporte?

Sí. Cuando el titular de la información haya presentado solicitud de rectificación o actualización y ésta aún no haya sido resuelta, la fuente podrá realizar el reporte, condicionado a que comunique al operador que dicha información se encuentra en discusión por parte de su titular.

Sin embargo, si el titular de la información ha controvertido judicialmente la existencia del crédito, la fuente se deberá abstener de realizar el correspondiente reporte mientras la obligación esté en disputa, y solamente lo podrá realizar una vez se dirima dicha situación dentro del proceso judicial.

La anterior excepción, es acogida por la Corte Constitucional  al considerar que el derecho fundamental de Habeas Data equiparado con los intereses de la fuente para efectos del reporte negativo respecto de situaciones que no están plenamente esclarecidas, hace que la titular cargue con las consecuencias negativas que este tipo de información trae consigo.

¿Puede la SIC ordenar la corrección, actualización o retiro de datos personales?

Sí. La Superintendencia de Industria y Comercio podrá ordenar de oficio o a petición de parte, la corrección, actualización o retiro de datos personales cuando ello sea procedente. Cuando sea a petición de parte, se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o lo fue en forma desfavorable.

Si la fuente es un proveedor de servicios de telecomunicaciones y no se obtiene respuesta, se podrá solicitar ante la Superintendencia de Industria y Comercio que adelante la actuación por Silencio Administrativo Positivo.

En el evento que la respuesta sea desfavorable, se deberá agotar el procedimiento en sede de empresa ante el proveedor de servicios de telecomunicaciones, mediante la presentación de los recursos de reposición y en subsidio de apelación, para que en caso de persistir la desfavorabilidad, la Superintendencia de Industria y Comercio conozca de fondo.

Por último, cuando el titular de la información acuda ante la SIC, y acredite que surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, la SIC podrá ordenar la corrección, actualización o retiro de datos personales, en los siguientes eventos:

  1. Cuando habiéndose decidido favorablemente la petición, queja o recurso de reposición, el proveedor de servicios de comunicaciones no proceda de conformidad con la corrección, actualización o retiro de datos personales.
  2. Cuando el proveedor de servicios de comunicaciones reconozca, en sede de empresa, que operó el silencio administrativo, pero no ejecute sus efectos en relación con la corrección, actualización, o retiro de datos personales.

¿Qué requisitos debe contener la reclamación que se presente ante la SIC?

La queja que el titular de la información presente ante la SIC debe contener como mínimo la siguiente información:

  1. Nombre completo del titular de la información
  2. Dirección física y electrónica de quien presenta la reclamación.
  3. Poder debidamente otorgado, cuando la reclamación se presenta mediante apoderado.
  4. Certificado de existencia y representación expedido por la Cámara de Comercio, en caso que la reclamación se presente por una persona jurídica. En estos eventos deberá ser presentada por su representante legal.
  5. Descripción de los hechos en los que se fundamenta.
  6. Copia del reclamo presentado previamente ante el operador o la fuente.
  7. Copia de la respuesta que se dio al reclamo o la manifestación expresa de no fue atendido.
  8. Pruebas y documentos que sustenten los hechos de la reclamación.

¿Qué pasa si la reclamación que se presenta ante la SIC no está completa?

Si la reclamación que presente ante la SIC no está completa, la Superintendencia requerirá por una sola vez al solicitante para que subsane la reclamación. Si pasados dos (2) meses el solicitante no atendió el requerimiento, se entenderá que se ha desistido de la reclamación y, en consecuencia, se procederá al archivo de ésta, sin perjuicio de que el interesado presente posteriormente una nueva reclamación.

¿Una vez esté completa la reclamación qué procedimiento adelanta la SIC?

Estando completa la solicitud, la SIC procederá a enviar un oficio al operador o la fuente dependiendo del caso, al que le anexará copia del escrito presentado por el titular de la información, solicitando que dentro del término de quince (15) días hábiles, rinda explicaciones y aporte o solicite las pruebas que pretenda hacer valer dentro de la actuación administrativa.

De igual forma, la SIC enviará un oficio al solicitante comunicándole el inicio de la investigación administrativa en contra del operador o la fuente según corresponda.

¿Cuáles pueden ser las decisiones que adopte la SIC dentro de la actuación administrativa?

Una vez vencido el plazo para presentar las explicaciones por parte del investigado y practicadas las pruebas en caso de que hayan sido solicitadas o decretadas de oficio, la SIC podrá:

  1. Archivar la actuación administrativa, si no encuentra probada la vulneración de las disposiciones sobre administración de datos personales de carácter financiero, comercial, de servicios y proveniente de terceros países.
  2. Imponer sanciones por considerar que se vulneró el régimen de administración de datos personales de carácter financiero, comercial, de servicios y proveniente de terceros países.
  3. Impartir órdenes administrativas para restablecer el derecho del titular de la información.

¿Puede la Superintendencia iniciar de oficio investigaciones administrativas por el presunto incumplimiento del régimen de protección de datos personales?

Sí. Cuando la SIC considere que posiblemente se ha vulnerado las disposiciones sobre administración de datos personales de carácter financiero, comercial, de servicios y proveniente de terceros países, podrá iniciar de oficio las correspondientes investigaciones administrativas con el fin de proteger del interés general.

¿Cuáles sanciones puede imponer la Superintendencia de Industria y Comercio?

Para los casos en que la Superintendencia de Industria y Comercio establezca el incumplimiento de las disposiciones sobre hábeas data por parte de algún operador, fuente o usuario de la información personal, podrá imponer las siguientes sanciones:

  1. Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción.
  2. Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la ley, así como por la inobservancia de las órdenes e instrucciones impartidas por las Superintendencias para corregir tales violaciones.
  3. Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logística, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión.
  4. Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.

¿Qué sucede si el obligado no cumple con la orden impartida por la SIC?

Si el obligado no cumple con la orden impartida, la Superintendencia iniciará una investigación, y como resultado de ella podrá imponer multas sucesivas mientras subsista el incumplimiento que las originó.

¿Qué se puede hacer cuando persiste la inconformidad con la decisión adoptada por la SIC?

Si alguna de las personas que intervienen en la investigación administrativa (titular de la información, fuente, operador o usuario) no está de acuerdo con la decisión adoptada por la Superintendencia, podrá dentro de los cinco (5) días siguientes a la fecha de notificación del acto administrativo que pone fin a la actuación, interponer recurso de reposición ante el mismo funcionario que adoptó la decisión, expresando los motivos por los cuales considera que la decisión es equivocada y, en consecuencia, debe ser modificada.

La Superintendencia tiene dos (2) meses para resolver el recurso de reposición, contados a partir de su presentación.

¿Contra la decisión que resolvió el recurso de reposición procede algún recurso?

No. Contra la decisión que resuelve el recurso de reposición no procede recurso alguno. En caso de persistir la inconformidad, se podrá iniciar demanda ante los jueces de la República, mediante la acción de Nulidad y Restablecimiento del Derecho.

¿Qué pasa cuando el incumplimiento de las obligaciones se da porque el titular de la información ha sido víctima del secuestro, desaparición forzada o desplazamiento forzado?

Cuando el incumplimiento de las obligaciones se origine en una situación de fuerza mayor causada por el secuestro, la desaparición forzada o el desplazamiento forzado del titular de la información, dicho incumplimiento no se deberá reflejar como información negativa en su reporte.

¿Quiénes pueden solicitar la actualización de los datos cuando el titular de la información es víctima del secuestro, desaparición forzada o desplazamiento forzado?

Las personas que tengan parentesco hasta el cuarto grado de consanguinidad, segundo de afinidad, primero civil, o con quien esté ligado por matrimonio o unión permanente con el titular de la información, podrán solicitar ante los operadores de información la actualización del reporte.

Dependiendo de la situación particular deberá cumplir los requisitos señalados en el Decreto 2952 de 2010 con el fin de demostrar que el titular de la información fue víctima del secuestro, desaparición forzada o desplazamiento forzado.

¿Cuando la solicitud cumpla con los requisitos legales, qué deberá hacer el operador?

Una vez la solicitud cumpla con los requisitos, el operador deberá actualizar el reporte de titulares secuestrados o desaparecidos forzosamente, esto es, deberá "inactivar" u "ocultar" toda la información comercial y crediticia del titular (positiva y negativa) de manera que los usuarios no puedan tener acceso a ella.

En relación con la actualización del reporte de titulares desplazados forzosamente, los operadores deberán eliminar el reporte de las obligaciones dinerarias vigentes cuyo incumplimiento se haya causado a partir de la fecha en que se produjo el desplazamiento y con ocasión de dicha situación.

¿Con qué mecanismo cuenta el titular para conocer la información que reposa de él en los bancos de datos?

Los titulares de la información podrán conocer la información personal que repose de ellos en cualquier banco de datos, mediante la presentación de peticiones o consultas ante el operador que la administre.

La petición o consulta de información se formulará de manera verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos.

Por su parte, el operador deberá atender de fondo la solicitud, suministrando integralmente toda la información requerida, incluyendo aquélla contenida en el registro individual o que esté vinculada con la identificación del titular.

Este mecanismo igualmente podrá ser utilizado por el causahabiente del titular de la información.

¿La consulta de la información tiene algún costo para el titular?

La consulta de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países por parte del titular, será gratuita al menos una (1) vez cada mes calendario.

¿Los titulares de información están obligados a cumplir con alguna formalidad cuando realizan las consultas o peticiones a los operadores?

Sí. Las entidades que administran bases de datos deben garantizar que los datos de las personas únicamente sean suministrados a su legítimo titular, razón por la cual es necesario permitirles a los operadores que exijan a los titulares de información unos deberes encaminados a dicho fin, esto es, la restricción de la circulación del dato personal.

En ese sentido, la SIC ha considerado que una medida adecuada para preservar la privacidad y el derecho del hábeas data del titular y protegerlo de divulgaciones no autorizadas de su información personal, es la exigencia por parte de los operadores de la presentación personal de las consultas que se hagan por escrito, incluyendo el reconocimiento de la firma del titular por parte de un notario público.

De conformidad con lo anterior, los operadores deberán atender las peticiones que realicen los titulares de la información en forma escrita, siempre y cuando:

  1. La petición esté firmada por el respectivo titular y contenga la nota de presentación personal ante notario público, o
  2. El titular de la información se presente directamente a radicar su petición escrita y exhiba un documento de identidad al momento de la radicación del escrito, o
  3. La petición sea presentada por escrito mediante apoderado o autorizado, con el anexo del poder otorgado debidamente autenticado ante notario público, o
  4. La petición de información de persona jurídica, sea suscrita por el representante legal de la sociedad con presentación personal ante notario con el anexo del certificado de existencia y representación legal expedido por la respectiva Cámara de Comercio, o
  5. La petición de información de persona jurídica, se solicite mediante apoderado, con el anexo del poder debidamente otorgado y autenticado ante notario público con el anexo del certificado de existencia y representación legal expedido por la respectiva Cámara de Comercio.

Una vez haya consultado esta información, usted podrá determinar si continúa o no con un proceso de denuncia o reclamos o si desiste de ellas.

Después de leer la información de esta sección, encuentro que...

No parece haber mérito para establecer una denuncia o demandarSi la información contenida en esta sección le ayuda a aclarar que no ha existido ningún tipo de incumplimiento o de vulneración de sus derechos, lo invitamos a que se siga informando como consumidor en esta página Web. Recuerde, que en estas condiciones usted no debería presentar ningún reclamo o denuncia. Si parece haber un hecho en donde si se debe demandar o denunciar. Si por el contrario y a través de la información de esta sección encuentra que no se han cumplido por parte del fabricante, proveedor o comercializador con alguna de las responsabilidades mencionadas, usted puede hacer uso de su derecho de establecer un proceso de reclamo o denuncia.

Icono de demanda
Si quiero establecer una demanda

Icono de reclamo
Si quiero denunciar una conducta

Demande Denuncie
Para mi caso es mejor denunciar si busco que se conozca esta situación para evitar que a otros consumidores les suceda lo mismo. Para mi caso es mejor demandar si busco que se me repare el daño ocasionado o la pérdida. Quiero que me retornen o repongan el bien, producto o se me devuelva el dinero.
Quiero tener más información sobre la diferencia entre demandas y denuncias