Superintendencia de Industria y Comercio
Top bar
.png){kind=small}
logo presidencia
Protección de Datos Personales
No puede efectuarse un reporte de información negativa a una central de información financiera, sin que previamente y en debida forma se le haya informado al titular de la información lo que ordena el artículo 12 de la Ley Estatutaria 1266 de 2008. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal sino que desconoce el derecho fundamental al debido proceso.
La configuración de un “hecho superado” no significa que desaparezcan las eventuales irregularidades en que una empresa pudiera haber incurrido en el tratamiento de datos y no eximen de responsabilidad a quien haya cometido dichos errores. Por lo tanto, la SIC podrá iniciar la respectiva investigación administrativa de carácter sancionatorio contra quien, entre otras, alegue un “ hecho superado”.
La Ley 1266 de 2008 no es de aplicación retroactiva. Por tanto, los reportes de información negativa realizados con anterioridad a la entrada en vigencia de esa Ley no deben cumplir con el deber legal de comunicación previa a que se refiere el artículo 12 de la Ley Estatutaria 1266 de 2008.
Facebook Colombia S.A.S. realiza una actividad que involucra el Tratamiento de Datos personales porque para prestar sus servicios de publicidad utiliza los Datos de los usuarios de Facebook Inc. Sin esta información, esa sociedad colombiana no podría prestar sus servicios. Facebook, como empresa tan determinante de la ciberseguridad del mundo, debe mejorar los niveles de seguridad de la información de sus usuarios.
La Ley Estatutaria 1581 de 2012 es aplicable a Facebook Inc. porque recolecta Datos personales en el territorio de la República de Colombia a través de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia. El Principio de Responsabilidad Demostrada (Accountability) le impone a Facebook Inc. el deber de probar que ha adoptado medidas apropiadas y efectivas para garantizar la seguridad de la información de sus usuarios. En el ciberespacio no desaparecen los derechos humanos ni la ciberseguridad.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.
La comunicación previa de que trata el artículo 12 de la Ley 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulneran los derechos fundamentales a la protección de datos personales y al debido proceso del Titular del Dato.
Las solicitudes del titular de la información relativas al reconocimiento de indemnización de daños y perjuicios no pueden ser atendidas por la Delegatura de Protección de Datos Personales, pues dichas funciones no fueron asignadas a la Superintendencia de Industria y Comercio por la Ley 1266 de 2008, siendo la jurisdicción civil ordinaria la encargada de emitir dichos pronunciamientos, previa la presentación de la acción civil correspondiente.
El reporte negativo de la información de un ciudadano ante las centrales de información financiera no puede permanecer más allá del tiempo que la Ley permite. Este será de máximo cuatro (4) años desde el pago cuando la mora es superior a dos (2) años, y de no más del doble de la mora cuando la mora en inferior a esos dos (2) años -artículo 13 de la Ley 1266 de 2008, artículo 2.2.2.28.3 del Decreto 1074 de 2015-. Si la obligación permanece insoluta, el tiempo máximo será de catorce (14) años contados a partir de la exigibilidad de la obligación -artículo 1.6, literal c) Título V de la Circular Única de la Superintendencia-.
Las controversias de carácter contractual referentes a la exoneración en el cobro de una obligación escapan de las competencias otorgadas a la Delegatura de Protección de Datos Personales, conforme a lo establecido en el artículo 17 de la ley 1266 de 2008. Será la jurisdicción civil ordinaria la encargada de dirimir dichas controversias, previa la presentación de la acción civil correspondiente.
La Ley 1581 de 2012, por ser estatutaria, tiene primacía sobre otras normas de inferior jerarquía. Por ende, los acuerdos de confidencialidad que fijen un tiempo para mantener la reserva de la información de los titulares son inconsistentes con el deber de confidencialidad contenido en el en literal h) del artículo 4 de la ley 1581 de 2012.
No puede efectuarse un reporte de información negativa a una central de información financiera sin que previamente y en debida forma se le haya informado al titular lo que ordena el artículo 12 de la Ley Estatutaria 1266 de 2008. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal sino que desconoce el derecho fundamental al debido proceso.
La Ley 1266 de 2008 no es de aplicación retroactiva. Por tanto, los reportes de información negativa realizados con anterioridad a la entrada en vigencia de esa Ley no deben cumplir con el deber legal de comunicación previa a que se refiere el artículo 12 de la Ley Estatutaria 1266 de 2008.
La Ley Estatutaria 1581 de 2012 aplica a las entidades del sector financiero, asegurador y bursátil cuando tratan datos personales para fines diferentes al cálculo del riesgo crediticio. Una base de datos puede contener diversa clase de información y utilizarse para múltiples propósitos (análisis de riesgo crediticio, marketing). Cuando ello sucede, esa base de datos está dentro del ámbito de aplicación de las leyes 1266 de 2008 y 1581 de 2012. El Banco de Bogotá utiliza la base de datos de clientes y prospecto de cliente para fines de publicidad, mercadeo y otros propósitos diferentes al calculo de riesgo crediticio. Por eso, esa base de datos también se rige por la Ley 1581 de 2012 y debe ser inscrita en el Registro Nacional de Bases de Datos (RNBD).
La foto que capta la imagen del rostro de una persona es un dato personal sensible porque trata datos biométricos (Artículo 5 de la Ley 1581 de 2012). Para la recolección y uso de este tipo de datos deben observarse las reglas especiales señaladas en el artículo 6 del decreto 1377 de 2013 en concordancia con lo dispuesto en los artículos 9 y 12 de la citada ley. La autorización puede obtenerse mediante cualquiera de los mecanismos autorizados por la ley y sus normas reglamentarias, pero el Responsable debe asegurarse de conservar copia de la misma para suministrarla al Titular del dato cuando la requiera en virtud del literal b) del artículo 8 de la citada ley y para dar cumplimiento al literal b) del artículo 17 de la misma.
Para usar fotos con fines de publicidad o marketing y que captan la imagen facial de una persona, es necesario que el Responsable del Tratamiento solicite la autorización previa, expresa e informada a que se refiere la Ley Estatutaria 1581 de 2012. Esta se puede obtenerse mediante cualquiera de los mecanismos autorizados por la ley y sus normas reglamentarias, pero el Responsable debe asegurarse de conservar copia de la misma para suministrarla al Titular del dato cuando la requiera en virtud del literal b) del artículo 8 de la citada ley y para dar cumplimiento al literal b) del artículo 17 de la misma.
Es muy grave reportar ilegalmente a las personas ante centrales de información financiera y, además, manifestarles que la información fue borrada cuando ello no ha sucedido en la práctica. El incumplimiento del artículo 12 de la Ley Estatutaria 1266 de 2008 generó que una persona estuviese reportada ilegalmente por aproximadamente nueve (9) meses. Quien recolecta, usa o trata datos personales tiene el deber de administrar correctamente las bases de datos, lo cual implica efectuar esa labor de manera leal, lícita y ética.
Las empresas deben guardar reserva sobre la información que les sea suministrada por los operadores de los Bancos de Datos, por las fuentes o los titulares de la información y utilizar los datos únicamente para los fines para los que le fueron entregados. Cuando una empresa es sancionada varias meses por la misma conducta se pone en evidencia graves falencias en esa organización para tratar adecuadamente los datos personales.
No toda información es un dato personal, ni que todo dato personal requiere de la autorización para ser tratado. Una dirección de correo electrónico no es, per se, un dato personal y algunas direcciones de correo electrónico son datos personales de naturaleza pública. La recurrente no adoptó las medidas de seguridad necesarias para evitar que 196 direcciones de correo electrónico fuesen conocidas indebidamente por terceros.
Resolución número 34638 de 02 de julio de 2020 (DIRECTV COLOMBIA LTDA)
DIRECTV COLOMBIA LTDA no demostró haber adoptado medidas apropiadas y efectivas para cumplir el principio y el deber de seguridad, pues permitió que un tercero no autorizado conociera información privada de otra persona. Por el contrario, sólo ha implementado medidas formales de seguridad, las cuales son insuficientes para garantizar un tratamiento seguro de los datos personales. Sin seguridad no existe debido tratamiento de datos personales y la seguridad no se logra con la mera redacción de políticas, sino con la implementación real de las mismas en todas las actividades que involucran tratamiento de datos personales.
COLOMBIA TELECOMUNICACIONES S.A. E.S.P. incluyó a la Titular del dato en una "lista negra"; actuación que está prohibida por constituir un ejercicio abusivo y desproporcionado de la facultad legal de administración de los datos personales, y que es contraria a los principios de libertad, finalidad y legalidad en el tratamiento de dichos datos, ya que constituye un uso no autorizado de la información de los ciudadanos.
No es necesario que el ciudadano presente más de una solicitud para que supriman o eliminen sus datos. Los derechos del Titular del dato deben garantizarse oportunamente. Los Responsables del Tratamiento deben obrar de manera muy profesional, diligente e implementar la responsabilidad demostrada (accountability) en esta materia.
Debe ser respetuoso de la regulación de datos personales cualquier tratamiento de números telefónicos mediante “marcadores predictivos”, robocalls, inteligencia artificial y otras tecnologías o procedimientos automatizados para contactar personas.
Los edificios de oficinas o conjuntos residenciales que se someten al régimen de propiedad horizontal son personas jurídicas Responsables del Tratamiento de los datos que recolectan, almacenan o usan sobre todas las personas que ingresan a sus instalaciones. Por lo tanto, están obligados a obtener la autorización previa e informada de las personas de las cuales realicen tratamiento de datos, y deben demostrar que informaron todo lo que ordena el artículo 12 de la Ley 1581 de 2012.
Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió́, ni le exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para dar inicio a una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado".
Resolución número 43761 de 31 de julio de 2020 (MUNICIPIO DE CAJIBÍO - CAUCA)
En Caso de que una obligación legal constituya la base jurídica que legitima el Tratamiento de información personal, todos los demás principios rectores en materia de Protección de Datos seguirán siendo aplicables. De esta manera, si la entidad pública desea recolectar huellas dactilares es necesario que se cumplan los principios de necesidad y proporcionalidad. Adicionalmente, es importante evaluar de manera previa si existian otros medios menos lesivos e instructivos para los empleados que, al mismo tiempo, le permitieran cumplir con la finalidad legal.
Resolución número 43861 de 31 de julio de 2020 (COMPAÑÍA COMUNICACIÓN CELULAR S.A.)
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. Esta comunicación debe enviarse a la última dirección física suministrada por el Titular al acreedor o Fuente de la obligación. También podrán utilizarse medios alternos de comunicación como mensaje de datos, siempre y cuando el Titular haya autorizado el envío por dichos medios -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-.
Resolución número 43862 de 31 de julio de 2020 (AFIANZADORA DE COLOMBIA S.A. -FIANZACOL S.A.-)
La configuración del "hecho superado" no libera de responsabilidad jurídica a quien vulnera la regulación de datos personales ni lo exime de ser sancionado por incumplir la Ley. Es importante señalar que ni la responsabilidad, ni la sanción frente al incumplimiento del régimen jurídico de protección de Datos personales, se desvanece ante la configuración de un "hecho superado".
Resolución número 49321 de 21 de agosto de 2020 (TCC S.A.S.)
Transcribir o parafrasear lo que dice la ley no cumple con lo ordenado por el literal k) del artículo 17 de la Ley 1581 de 2012 porque en el Manual Interno se deben establecer las "políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley". Adicionalmente, lo mencionado en dicho Manual debe ser útil, oportuno, idóneo y demostrable para proteger los derechos de los Titulares de la información.
Resolución número 50091 de 25 de agosto de 2020 (COLOMBIA TELECOMUNICACIONES S.A E.S.P.)
COLOMBIA TELECOMUNICACIONES, como práctica de mercadeo, consultó de oficio la historia de crédito del Titular, "con fines comerciales y de venta", sin contar con el consentimiento del Titular para ello. Un formato sin firma no es igual al consentimiento exigido por la Ley para poder Tratar Datos personales. En esta materia debe existir plena prueba de la voluntad inequívoca de la persona para permitir que terceros recolecten, usen, consulten o realicen cualquier actividad con su información - numeral 1 del artículo 9 de la Ley 1266 de 2008, en concordancia con el artículo 15 -
Las entidades públicas deben ser responsables, diligentes y muy profesionales con el Tratamiento seguro de los datos personales. La PERSONERÍA MUNICIPAL DE MANIZALES, como persona jurídica de naturaleza pública, tiene el deber de dar cumplimiento a las normas de Protección de Datos. Dicha Personería, al llevar a cabo el registro de sus bases de datos en el RNBD, expresamente reconoció que no ha adoptado medidas de seguridad para proteger los datos personales en el 90,9% de las bases de datos registradas. Sin seguridad no hay debido Tratamiento de Datos personales.
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. Esta comunicación debe enviarse a la última dirección física suministrada por el Titular al acreedor o Fuente de la obligación. También podrán utilizarse medios alternos de comunicación como mensaje de datos, siempre y cuando el Titular haya autorizado el envío por dichos medios -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-.
UBER B.V. usa “cookies” para recolectar o tratar datos personales en el Territorio de la República de Colombia, las cuales instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia, razón por la cual debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias. Por su parte, Uber Colombia S.A.S. realiza una actividad que involucra el Tratamiento de Datos Personales, en particular, utilizando los Datos de los usuarios de Uber para prestar sus servicios de publicidad. En esa medida, Uber Colombia S.A.S. es corresponsable del Tratamiento de Datos Personales de los usuarios de la plataforma en Colombia y, por tanto, debe ser muy responsable, diligente y muy profesional con el Tratamiento seguro de dichos datos.
El Departamento Administrativo de la Función Pública recolectó Datos Personales sensibles de servidores públicos, como, entre otros, los referidos a su orientación sexual, sin que en la autorización para el Tratamiento de dicha información se hubiera informado a los Titulares lo siguiente : (i) las finalidades especificas del Tratamiento de los datos recolectados, (ii) el hecho de que se recolectarían algunos datos sensibles y que, por tratarse de esa clase de información, no estaban obligadas a autorizar su Tratamiento (iii) cuáles de esos datos eran sensibles, iv) así como lo que ordena el artículo 12 de la Ley 1581 de 2012.
La Entidad Promotora de Salud Servicio Occidental de Salud S.A. SOS, no respondió de manera completa la solicitud del Titular del Dato. Dicha entidad, como Responsable del Tratamiento de la información de los ciudadanos, tiene el deber de atender y responder de manera completa, debida, de fondo y oportuna, las solicitudes de los Titulares de la información, conforme lo estable el artículo 17 de la Ley 1581 de 2012.
En los casos en que no se prueba la presunta vulneración al derecho de Habeas Data del Titular de la información, por ejemplo, porque a la fecha de expedición del acto administrativo el Titular no estaba reportado de manera negativa en las bases de datos de los operadores de información, se configura un caso de hecho superado, por lo que no es procedente emitir una orden para eliminar la información negativa que no existe.
Es improcedente el recurso de reposición de EFECTIVO LTDA contra una resolución que resuelve un recurso de apelación porque allí se exhortó al representante legal de dicha sociedad. El exhorto no es una orden ni una sanción, sino una cordial sugerencia para que una persona voluntariamente proceda de determinada manera o se abstenga de hacer algo, lo que de ninguna manera constituye una nueva orden o un acto administrativo definitivo. No es procedente el recurso de reposición contra un acto administrativo que resuelve un recurso de apelación.
La sociedad COMUNICACIÓN CELULAR S.A. COMCEL S.A. incumplió el deber de enviar al Titular la comunicación previa al reporte de información negativa, como lo ordena el artículo 12 de la Ley Estatutaria 1266 de 2008. La nombrada comunicación es un requisito imprescindible para poder realizar dicho reporte negativo en las bases de datos de los operadores de información. Si se omite ese requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin..
La Autorización y/o consentimiento que exige la Ley 1581 de 2012 para el Tratamiento de los datos de los ciudadanos es calificado, esto es, debe ser previo, expreso e informado; características anteriores que deben acreditarse y demostrarse por el Responsable del Tratamiento aún en el supuesto de que dicho consentimiento sea otorgado por el Titular a través de conductas inequívocas, lo que en el caso concreto no demostró la sociedad Winner Group S.A. La autorización mediante conductas inequívocas también debe ser previa e informada.
De acuerdo con lo establecido en el artículo 76 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, los recursos de reposición y apelación deberán interponerse dentro de los 10 días siguientes a la notificación del acto administrativo de que se trate, so pena de ser rechazados, conforme lo establece el 78 de ese mismo Código. DIRECTV COLOMBIA LTDA interpuso el recurso de reposición y en subsidio apelación 19 días después de la notificación electrónica del acto administrativo recurrido, razón por la que dicho recurso fue extemporáneo y, por tanto, debe ser rechazado.
El GRUPOASECOB obró como Encargado del Tratamiento de Datos Personales del Titular, dado que la información de contacto para realizar actividades de cobro fue suministrada por el Responsable de la información al GRUPO ASECOB en virtud de un contrato de prestación de servicios para realizar una gestión de cobro sobre obligaciones dinerarias. A su vez, la información de contacto tomada del Registro Mercantil por parte del GRUPO ASECOB es de naturaleza pública y, por ende, como regla general puede ser utilizada para fines lícitos, como lo es el cobro de cartera.
La adulteración del formulario de afiliación del Titular bajo custodia de la E.PS SANITAS S.A.S, sin su autorización, además de ilegal, constituye una vulneración al literal d) del artículo 16 de la Ley Estatuaria 1581 de 2012, que ordena “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. Una empresa que se dedica a la prestación del servicio de salud (derecho fundamental) como la E.P.S. Sanitas S.A.S., y que trata Datos de más de cuarenta y tres millones y medio (43’500.000) de personas, debe ser extremadamente diligente y garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos.
Ni la responsabilidad, ni la sanción frente al incumplimiento del régimen jurídico de protección de Datos personales, se desvanece ante la configuración de un hecho superado. La circunstancia de que se esté ante un caso de “hecho superado”, no significa que desaparezcan las eventuales irregularidades en que incurrió la sociedad ASYCO S.A.S., ni la exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para dar inicio a una actuación administrativa de carácter sancionatorio contra quien, entre otras cosas, alegue un caso de “hecho superado”.
No se puede reportar información sobre la cual no exista certeza de su veracidad porque ello no solo afecta el buen nombre de las personas sino que induce a error a los usuarios de la información y al público en general. La Ley 1266 de 2008 exige que las fuentes de información garanticen que los datos reportados sean, entre otras, comprobables. No se puede jugar con los derechos de las personas, sino que se deben garantizar. Por eso, si no es comprobable la información que se va a reportar, la fuente debe abstenerse de realizar el reporte. Las personas no deben ser sometidas al escarnio público con reportes negativos sobre los cuales no existe certeza ni prueba de la veracidad de la información. Su reputación no puede ser puesta en tela de juicio con ocasión de obligaciones o situaciones no comprobables. Nótese que ganar un buen nombre no es sencillo, perderlo es fácil y recuperarlo es muy difícil o, según el caso, imposible.
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. Esta comunicación debe enviarse a la última dirección física suministrada por el Titular al acreedor o Fuente de la obligación. También podrán utilizarse medios alternos de comunicación como mensaje de datos, siempre y cuando el Titular haya autorizado el envío por dichos medios -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-, como en efecto lo demostró la sociedad COLOMBIA TELECOMUNICACIONES S.A. E.S.P.
Las órdenes o instrucciones que imparta esta Superintendencia deben cumplirse oportuna y debidamente. La sociedad MULTIFIN E.C., a pesar de tener conocimiento de la orden impartida por esta Autoridad, tardó más de once (11) meses en solicitar el retiro del reporte de la Titular de los Datos ante las centrales de información financiera, cuando el plazo concedido para el cumplimiento de dicha orden fue de cinco (5) días.
La caducidad del dato negativo sobre obligaciones dinerarias es de cuatro (4) años desde el pago cuando la mora es superior a dos (2) años, y de no más del doble de la mora cuando la mora en inferior a esos dos (2) años -artículo 13 de la Ley 1266 de 2008, artículo 2.2.2.28.3 del Decreto 1074 de 2015-. Si la obligación permanece insoluta, el tiempo máximo será de catorce (14) años contados a partir de la exigibilidad de la obligación -artículo 1.6, literal c) Título V de la Circular Única de la Superintendencia-.
La venta de cartera no es un mecanismo de purga de las eventuales irregularidades del pasado. Quien adquiere la cartera debe ser muy diligente con miras a establecer si quien le vende la misma cumplió correctamente sus deberes respecto de la regulación de tratamiento de datos personales (due diligence respecto de tratamiento de datos personanles). Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. La comunicación previa realizada por el vendedor de la cartera es válida siempre y cuando se haya realizado correctamente.
Existe libertad de expresión, pero no libertad de destrucción de los derechos de las personas y de sus familias. En internet te condenan socialmente, pero no judicialmente. La difusión de información negativa en internet es igual a una sanción perpetua implementada sin respetar el debido proceso. Plagiosos.org no es juez de la República de Colombia, ni mucho menos tiene competencia legal para decidir sobre situaciones de supuestas infracciones de propiedad intelectual. Sus afirmaciones son meras opiniones y, como tales, únicamente representan una “valoración que se forma una persona respecto de algo o de alguien”. La SIC no es competente para ordenar el bloqueo temporal de datos en los casos en que se trata de un asunto relacionado con la libertad de expresión. La opinión, per se, no es susceptible de ser bloqueada por esta autoridad ya que ello está por fuera del ámbito de nuestras competencias legales. En la regulación colombiana son los jueces o las autoridades con funciones jurisdiccionales los competentes para decidir sobre las eventuales vulneraciones de derechos de autor.
La recolección, uso, circulación y el tratamiento de los datos personales privados, semiprivados y sensibles sólo puede realizarse cuando exista la autorización previa, expresa e informada del Titular, tal y como lo establece el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012. La sociedad OUTSOURCING S.A.S. actuó ilegalmente, porque no acreditó dicha autorización -artículo 9 de la Ley 1581 de 2012-
El DUE DILIGENCE respecto de aspectos sobre tratamiento de datos involucrados en la compra o cesión de cartera, demanda un labor profesional, diligente y exhaustiva que comprende la revisión de todos los documentos y las pruebas para evitar adquirir problemas jurídicos u obligaciones con irregularidades. Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. SERLEFIN S.A. no acreditó el envío de la notificación previa al reporte negativo, conforme con lo señalado en el precitado artículo. Dicha sociedad, en su calidad de cesionaria de las obligaciones reportadas, debe garantizar el derecho Fundamental de Habeas Data de los Titulares que han autorizado el Tratamiento de sus Datos.
Es improcedente la interposición de un recurso frente al acto administrativo que no sea definitivo sino de trámite, tal y como lo contempla el artículo 75 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
Debe existir plena prueba de la voluntad inequívoca de la persona para permitir que terceros recolecten, usen, consulten o realicen cualquier actividad con su información - numeral 1 del artículo 9 de la Ley 1266 de 2008, en concordancia con el artículo 15 -. En el caso concreto no se logró comprobar que la sociedad SUMITEMP S.A.S conservara la información del Titular en sus bases de datos, ni que la hoja de vida de éste haya sido suministrada a terceros sin el consentimiento del Titular.
No puede efectuarse un reporte de información negativa a una central de información financiera, sin que previamente y en debida forma se le haya informado al titular de la información lo que ordena el artículo 12 de la Ley Estatutaria 1266 de 2008. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal, sino que desconoce el derecho fundamental al debido proceso.
l ICETEX demostró haber realizado el reporte de información negativa surtiendo de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. No obstante, durante la actuación administrativa el ICETEX no fue diligente en presentar oportunamente las pruebas pertinentes para que fuesen consideradas antes de proferir la resolución recurrida.
No puede efectuarse un reporte de información negativa a una central de información financiera, sin que previamente y en debida forma se le haya informado al Titular de la información lo que ordena el artículo 12 de la Ley Estatutaria 1266 de 2008. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal, sino que desconoce el derecho fundamental al debido proceso.
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008, lo que no acreditó la COOPERATIVA PARA EL BIENESTAR SOCIAL-COOPEBIS, pues no demostró haber enviado la comunicación previa al reporte negativo a la última dirección física suministrada por el Titular. A su vez, tampoco probó tener autorización del Titular para poder usar medios alternos para enviar dicha comunicación, como mensaje de datos, -literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-.
La CORPORACIÓN INTERACTUAR envió la comunicación previa al reporte negativo ante una central de información financiera, a un número de teléfono móvil no autorizado por el Titular, incumpliendo la obligación de realizar dicho reporte sólo si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular lo ordenado en el artículo 12 de la Ley 1266 de 2008. Se recuerda que podrán utilizarse medios alternos de comunicación al físico para el envío de dicha comunicación, como mensaje de datos, siempre y cuando el Titular haya autorizado el envío por dichos medios y, además, siempre que dicha comunicación se remita al número de teléfono móvil que específicamente haya suministrado el Titular para esos efectos -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-.
El DUE DILIGENCE respecto de aspectos sobre tratamiento de datos involucrados en la compra o cesión de cartera, demanda un labor profesional, diligente y exhaustiva que comprende la revisión de todos los documentos y las pruebas para evitar adquirir problemas jurídicos u obligaciones con irregularidades. Una comunicación que únicamente informa sobre la venta de cartera no informa lo que exige el artículo 12 de la Ley Estatutaria 1266 de 2008 y, por tanto, no es válida para esos efectos. La comunicación previa realizada por el vendedor de cartera es válida siempre y cuando se haya realizado correctamente, lo que no acreditó la sociedad investigada.
PUBLICAR PUBLICIDAD MULTIMEDIA S.A.S. no allegó la Autorización otorgada por la Titular de la información para realizar el reporte negativo ante las centrales de riesgo, de conformidad con lo establecido en el numeral 5 del artículo 8 de la Ley 1266 de 2008. Los avisos de privacidad no reemplazan la Autorización del Titular del dato ni tienen aplicación respecto de la información regida por la Ley 1266 de 2008, ya que son una institución que surgió de la reglamentación de la Ley 1581 de 2012.
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. Efectuar un reporte sin cumplir dicho requisito no solo es ilegal, sino que desconoce el derecho fundamental al debido proceso.
La autorización mediante conductas inequívocas es jurídicamente válida siempre y cuando sea previa e informada. SODIMAC COLOMBIA S.A. no cumplió con el deber de informar al Titular todo lo que ordena la ley, razón por la cual la autorización que manifiesta haber obtenido no cumple los requisitos legales. Los avisos de privacidad no suplen la autorización previa, expresa e informada del Titular de la información. No es una buena práctica en materia de tratamiento de datos personales utilizar mecanismos de obtención del consentimiento en los que tenga el mismo efecto que la persona ACEPTE o NO ACEPTE. No es sensato que dé lo mismo aceptar o no aceptar. Eso es irrespetuoso con los seres humanos porque no importa la autonomía de las personas, ni su voluntad.
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. El deber establecido en el precitado artículo se cumple, entre otros requisitos, con el envío de la comunicación física a la última dirección informada por el Titular a la Fuente. No es necesario que la remisión de dicha comunicación se realice por correo certificado o que incluya el acuse de recibido para cumplirlo.
La sociedad MUNDIAL DE COBRANZA S.A.S., no envió la comunicación previa al reporte negativo a la dirección que el Titular informó al momento de suscribir los documentos soporte de las obligaciones adquiridas. Sólo podrá realizarse un reporte de información negativa si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. Esta comunicación debe enviarse a la última dirección física suministrada por el Titular al acreedor o Fuente de la obligación, lo que no demostró la sociedad investigada.
Es necesario contar con la autorización previa del Titular del dato para que un tercero pueda consultar su información contenida en una base de datos, archivo o sistema de información. La Autorización, para ser válida, deberá especificar la finalidad para la cual se concede, la cual debe ser informada de manera previa o concomitante con el otorgamiento del consentimiento. COLOMBIA TELECOMUNICACIONES S.A. E.S.P., como práctica de mercadeo, consultó de oficio la historia de crédito de la Titular “con fines comerciales y de venta”, y no allegó copia de la nombrada autorización, con la que se pudiera determinar si esa finalidad fue efectivamente conocida por la Titular , con esto, vulnerando el artículo 15 de la Ley 1266 de 2008.
La sociedad MIRO SEGURIDAD LTDA es una empresa de seguridad privada que actúa en calidad de Encargado del Tratamiento de la información, por lo que no le corresponde el deber de eliminar la información del Titular. No obstante, en su calidad de Encargado del Tratamiento, sí tiene el deber de dar respuesta de manera completa, clara y de fondo a las peticiones presentadas por éste, conforme lo establece el artículo 15 de la Ley 1581 de 2012.
Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. El deber establecido en el precitado artículo se cumple, entre otros requisitos, con el envío de la comunicación física a la última dirección informada por el Titular a la Fuente y con la constancia de la certificación de envío, que debe precisar la fecha de remisión de la comunicación previa y la dirección del destinatario, mas no el acuse de recibo por parte de la Titular (firma).
La Autorización y/o consentimiento que exige la Ley 1581 de 2012 para el Tratamiento de los datos de los ciudadanos es calificado, esto es, debe ser previo, expreso e informado; características anteriores que no fueron acreditadas por la sociedad AMARILLO S.A.S. En particular, porque no demostró haber conservado en condiciones óptimas y verificables, copia de la Autorización que en su momento hubiera otorgado el Titular de la información para el debido Tratamiento de sus Datos.
La sociedad YANBAL DE COLOMBIA S.A.S. demostró a través del contrato electrónico de vendedor independiente suscrito por la Titular, que ésta otorgó autorización para el envío de la comunicación previa al reporte negativo por medio alternos al físico -Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-. Dicho contrato electrónico tiene plena validez de acuerdo con el artículo 14 de la Ley 527 de 1999, que contempla que la formación del contrato y su aceptación podrán ser expresadas por medio de un mensaje de datos. Sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008, lo que en el caso concreto fue demostrado por la sociedad investigada.
AYUDAS Y GESTIONES 3AG S.A.S. realizó un reporte de información negativa sin haber surtido de manera previa, debida y oportuna el deber de comunicar a la Titular de la información lo ordenado en el artículo 12 de la Ley 1266 de 2008. Además, no dio respuesta de fondo al derecho de petición elevado por la Titular, toda vez que no se pronunció, entre otros asuntos, sobre la inscripción ante el operador de información relacionada con el reclamo presentado, así como en lo relacionado con la comunicación previa. No responder de manera respetuosa, completa, de fondo y dentro del término legal establecido un reclamo o consulta hecho por un Titular de información, vulnera su derecho fundamental de Habeas Data, impidiendo que conozca, actualice o rectifique la información que sobre él se tenga en una base de datos o archivo.
El ICETEX no realizó el envío de la comunicación previa que ordena el artículo 12 de la Ley 1266 de 2008 al Titular de la información, con mínimo 20 días calendario de anticipación al reporte de información negativa. Se recuerda que sólo podrá realizarse un reporte de información negativa de una persona a una central de información financiera si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el precitado artículo.
CREDIJAMAR S.A., no demostró el cumplimiento del deber consagrado en el artículo 12 de la Ley 1266 de 2008, toda vez que no remitió las comunicaciones previas a los reportes negativos realizados ante las centrales de información financiera. Se debe resaltar que sólo podrá realizarse un reporte de información negativa de una persona si se ha surtido de manera previa, debida y oportuna el deber de comunicar al Titular de la información lo ordenado en el precitado artículo.
El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.