Superintendencia de Industria y Comercio

Top bar

Ir a GovCo

logo presidencia

Logo SIC y Gobierno de Colombia

Se encuentra usted aquí

Home » Manejo de información personal, 'Habeas data'

Tramites y servicios menu secundario

  1. Descargue la APP de PQRFS
  2. Denuncias consumidor
  3. "Web Callback"
    Callback (Servicio de devolución de llamadas)
  4. Normativa
  5. Demande aquí
  6. Presente su PQRFS
  7. Denuncias por corrupción
  8. Consulte su PQR en el CUN
  9. Consulta de empresas reparadoras de instalaciones de gas
  10. Información de trámites y OPAS
  11. SIC Facilita
  12. Oficina Virtual de Propiedad Industrial (SIPI)
  13. Consultas y otros
  14. Consulte el Estado de su Trámite
  15. Videollamada en Propiedad Industrial
  16. Videollamada de información general
  17. Asesoría en línea
  18. Trámites Jurisdiccionales por Competencia Desleal y Propiedad Industrial
  19. Herramienta Relatorías
  20. Devoluciones

Manejo de información personal, 'Habeas data'

Identifique de la siguiente lista de temas, cuál es la opción que más se relaciona con el problema que quiere aclarar.

1. Definiciones

Definiciones y terminología del manejo de datos

¿Qué es el derecho de Hábeas Data?

El derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

La Corte Constitucional lo definió como el derecho que otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de su divulgación, publicación o cesión, de conformidad con los principios que regulan el proceso de administración de datos personales. Asimismo, ha señalado que este derecho tiene una naturaleza autónoma que lo diferencia de otras garantías con las que está en permanente relación, como los derechos a la intimidad y a la información.

¿Quién es el titular de la información?

El titular de la información es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos. Ejemplo: Un usuario que celebró el contrato de prestación de servicio de comunicaciones.

¿Quién es la fuente de información?

La fuente de información es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. Ejemplo: El proveedor de servicios de comunicaciones.

Si la fuente entrega la información directamente a los usuarios, y no a través de un operador, tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos.

¿Qué se entiende por vínculo de cualquier otra índole?

El vínculo de cualquier otra índole debe entenderse como aquel que genere una o más obligaciones entre la fuente y el titular que legitime al primero a reportar información tanto negativa como positiva del último por lo que es claro que, el contar solamente con la autorización de reporte no genera obligación alguna entre la supuesta fuente y el reclamante; será requisito indispensable la existencia de una obligación entre estos para que sea posible realizar un reporte.

¿Quién es el operador de la información?

Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la ley. Ejemplo: Central de Información Financiera CIFIN y Datacrédito.

¿Quién es el usuario de la información?

El usuario es la persona natural o jurídica que puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. Ejemplo: Las entidades bancarias que solicitan la información con el fin de analizar el riesgo crediticio, o los proveedores de servicios de comunicaciones quienes pueden actuar como fuente de información, y asimismo como usuarios de la misma.

¿Qué es un dato personal?

El dato personal se refiere a cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos personales pueden ser públicos, semiprivados o privados.

Los datos serán públicos cuando la ley o la Constitución así lo establezcan, y cuando no sean de aquellos clasificados como semiprivados o privados. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas y los relativos al estado civil de las personas.

El dato semiprivado es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector personas o a la sociedad en general, como el dato financiero y crediticio.

El dato privado es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

¿Qué es el principio de finalidad?

El principio de finalidad, obliga a que las actividades de recolección de datos personales obedezcan a una finalidad legítima de acuerdo con la Constitución y la ley. Con fundamento en este principio la finalidad debe ser comunicada al titular de la información previa o concomitante con el otorgamiento del titular de la autorización, cuando ella sea necesaria o, en general, siempre que el titular solicite información al respecto.

¿En qué consiste la circulación restringida?

El principio de circulación restringida consiste en que a menos que la información sea pública, los datos personales no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que dicho acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o a los usuarios autorizados para ello.

¿Qué es la temporalidad de la información?

El principio de temporalidad de la información se refiere a la necesidad de que el dato del titular no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad del banco de datos.

¿Qué es el principio de interpretación integral de derechos constitucionales?

La interpretación integral de derechos constitucionales, consiste en que la normas que rigen los datos personales se interpretarán en el sentido que se amparen otros derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Asimismo, se refiere a que los derechos de los titulares se interpretarán en armonía con el derecho a la información y demás derechos constitucionales aplicables.

¿En qué consiste el principio de seguridad?

El principio de seguridad impone que en la información contenida en los bancos de datos, así como aquella que resulte de las consultas que realicen los usuarios, se incorporen las medidas técnicas necesarias para garantizar la seguridad de los registros, con el fin de evitar su adulteración, pérdida, consulta o uso no autorizado.

¿Qué es el principio de confidencialidad?

El principio de confidencialidad en la información consiste en que todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan carácter público, están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar el suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas.

2. Aplicación del 'Habeas data'

¿La actual regulación sobre hábeas data se refiere a toda la administración de los datos personales?

No. La regulación actual sobre hábeas data, Ley 1266 de 2008, constituye una regulación parcial de este derecho, concentrada en las reglas para la administración de datos personales de carácter financiero, comercial, de servicios y proveniente de terceros países, destinada al cálculo del riesgo crediticio.

En ese sentido la recopilación, tratamiento y circulación de datos en materia de seguridad social, asuntos tributarios, la realizada por las instituciones de inteligencia y seguridad del Estado, el registro mercantil, etc., están amparadas por el artículo 15 de la Constitución y desarrolladas por la jurisprudencia de la Corte Constitucional.

3. Operadores y fuentes de información

¿Qué autoridad ejerce la vigilancia de los operadores, las fuentes y usuarios de la información?

Por regla general, la autoridad que ejerce la función de vigilancia de los operadores, las fuentes y usuarios de la información crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto a la administración de datos personales es la Superintendencia de Industria y Comercio. Sin embargo, cuando la fuente, usuario u operador sea una entidad vigilada por la Superintendencia Financiera, será esta la entidad que ejerza dicha vigilancia, como es el caso de las entidades bancarias.

¿Cuál es el plazo que tiene un operador para atender una consulta?

La petición o consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se podrá prorrogar el anterior plazo por cinco (5) días hábiles más, previa justificación al interesado y señalando la fecha en que se atenderá la petición.

4. Entrega y suministro de datos

 ¿En qué casos es posible que el operador de un banco de datos pueda suministrar la información que administra?

La información personal que reposa en los bancos de datos, podrá ser entregada por el operador que la administra de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes casos:

  1. A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes.
  2. A los usuarios de la información, en los casos que se haya obtenido autorización del titular o, en aquellos establecidos expresamente en la ley .
  3. A cualquier autoridad judicial, previa orden judicial.
  4. A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.
  5. A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.
  6. A otros operadores de datos, cuando se cuente con autorización del titular.
  7. A otros operadores de datos, sin ser necesaria la autorización del titular , siempre que el banco de datos de destino tenga la misma finalidad que tiene el operador que entrega los datos.
  8. A un operador que administre un banco de datos extranjero, sin autorización del titular, siempre que se deje constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular.
  9. A otras personas autorizadas por la ley.

¿Es posible que la fuente únicamente reporte información desfavorable?

No. La ley prohíbe expresamente que la administración de datos personales se limite a información desfavorable. En ese sentido, será obligación de la fuente reportar al operador tanto la información positiva como la negativa, así como será obligación de este último suministrar al usuario igual tipo de información.

¿La información que reporte la fuente a los operadores debe ser veraz?

Sí. La fuente de información tiene el deber de garantizar que la información que suministre a los operadores de los bancos de datos sea veraz, completa, exacta, actualizada y comprobable.

También será su deber reportar en forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado, así como adoptar las medidas necesarias para que la información suministrada se mantenga actualizada.

De igual forma, le corresponderá a la fuente rectificar aquella información que haya suministrado de manera incorrecta al operador con el fin de cumplir con el principio de veracidad y calidad de los registros o datos.

¿El operador tiene el deber de establecer que la información que le remite la fuente es veraz?

No. El operador de la información debe asumir que el dato personal que le remite la fuente es verdadero y su responsabilidad se limita a verificar que los datos reportados (i) estén relacionados con información financiera, comercial y crediticia, (ii) sean pertinentes para el cálculo del riesgo crediticio y (iii) sean completos, esto es, que no sea fraccionada o parcial.

Si bien la actividad de acopio de la información de los operadores no constituye una operación neutra, ello no significa que el operador extienda su competencia a esferas que no le corresponden y sea éste quien esté llamado a determinar si la obligación objeto de reclamo ha sido pagada o se encuentra prescrita.

Sin perjuicio de lo anterior, será deber del operador cada vez que las fuentes reporten novedades, realizar periódica y oportunamente la actualización y rectificación de los datos, así como indicar en el respectivo registro individual que determinada información se encuentra en discusión, cuando se haya presentado solicitud de rectificación o actualización por parte de su titular.

¿Un usuario que consulta la información de una persona, debe indicar la finalidad perseguida?

Sí. El usuario que consulte la información de una persona contenida en una base de datos debe indicar la finalidad para la cual consultó dicha información y si tal conducta se realizó en cumplimiento del principio de finalidad legítima de la administración de datos personales, que no es otro que contar con herramientas para el cálculo del riesgo crediticio (análisis del riesgo).

5. Autorización previa para entrega de datos

¿Es deber de la fuente contar con la autorización previa, libre y expresa del titular de la información, para que se incluya su información en las bases de datos?

Sí. La autorización dada por el titular de la información la cual debe ser previa, libre y expresa, es requisito indispensable para que se incluya la información de los titulares en las bases de datos, pues de lo contrario estaríamos en presencia de una violación del principio de libertad consagrado a favor de los titulares. Será obligación de la fuente conservar copia o evidencia de la respectiva autorización.

Será deber del operador solicitar semestralmente a la fuente la certificación de la existencia de la autorización otorgada por el titular.

¿Qué sucede si una fuente de información no cuenta con la autorización para realizar el reporte?

En el evento el que una fuente no cuente con la autorización del titular de la información para realizar el reporte a un operador, deberá proceder eliminar todo tipo de información, positiva o negativa, que hubiere reportado.

¿Qué sucede si una fuente de información no cuenta con los soportes de la obligación?

En el caso en el que la fuente de información no cuente con los soportes de la obligación debe abstenerse de realizar el reporte ya que es necesario que tenga certeza sobre la existencia y las condiciones del crédito. En el evento de que tal reporte ya se haya efectuado, deberá proceder eliminar todo tipo de información, positiva o negativa, que hubiere reportado.

En ese sentido, se pronunció la Corte Constitucional  al señalar que no basta con que las entidades que realicen el reporte tengan los registros contables que soporten la existencia de la obligación, sino que, además, como condición para hacer el reporte y como medio para hacer efectivo el derecho de las personas a conocer las circunstancias del mismo, deben contar con los documentos de soporte, en los que conste la respectiva obligación.

¿La fuente puede realizar el reporte del dato negativo al operador del banco de datos, sin informar previamente al titular de la información?

No. El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos, sólo procederá previa comunicación al titular de la información, con el fin de que éste pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.

Las fuentes podrán pactar con los titulares de la información, otros mecanismos mediante los cuales se dé cumplimiento al envío de la comunicación, siempre y cuando la comunicación pueda ser objeto de consulta posteriormente, como por ejemplo los mensajes de datos.

En el evento en que se presentes moras sucesivas y continuas, la obligación de comunicar previamente al titular de la información, se entenderá cumplida con la comunicación correspondiente a la mora inicial.

Las fuentes de información sólo podrán efectuar el reporte de la información transcurridos veinte (20) días calendario a la fecha de envío de la comunicación en la última dirección de domicilio del titular de la información que se encuentre registrada en los archivos de la fuente de la información.

6. Administración de datos de usuarios

¿Cuáles son los principios generales que orientan la administración de datos?

Los principios generales que orientan en el desarrollo, interpretación y aplicación de la administración de datos son: veracidad o calidad de los registros o datos, finalidad, circulación restringida, temporalidad de la información, interpretación integral de derechos constitucionales, seguridad y confidencialidad.

¿En qué consiste la veracidad o calidad de los registros o datos?

El principio de veracidad o calidad de los registros o datos consiste en que la información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. De la misma manera, este principio prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan al error.

¿Cuánto tiempo debe durar la información en los bancos de datos?

Cuando la información que repose en los bancos de datos sea de carácter positivo, dicha información deberá permanecer de manera indefinida.

En relación con la información de carácter negativo es necesario hacer la diferencia teniendo en cuenta el tiempo de mora de la obligación:

  1. En aquellos eventos en que la mora sea inferior a dos (2) años, el término de permanencia de la información negativa no podrá exceder el doble de la mora.
  2. Para los demás eventos, esto es, aquellos en los que la mora sea superior a dos (2) años, el término de permanencia de la información negativa será de cuatro (4) años contados a partir de la fecha en que la mora se extinga por cualquier modo.
  3. En el caso de incumplimiento de obligaciones en las cuales no es posible computar los tiempos de mora, tal como sucede con las cuentas corrientes canceladas por mal manejo, el término de permanencia de la información negativa será de cuatro (4) años contados a partir de la fecha en que cese el incumplimiento o sea cancelado el producto.

¿Cuánto tiempo debe durar el dato negativo de una obligación que no se ha cumplido?

Conforme el principio de finalidad, la información de datos personales de carácter negativo debe estar supedita a que sean útiles y pertinentes para el cálculo del riesgo financiero, por ello, no se concibe que los datos personales duren indefinidamente en el tiempo cuando pierden su funcionalidad.

Es el caso del titular de una obligación que no se ha cumplido y que desde la fecha de su exigibilidad han pasado más de 10 años, en el cual la jurisprudencia constitucional  ha considerado que el sujeto titular de la información reportada, tiene derecho al olvido y, por tanto, la información no puede permanecer indefinidamente en las centrales de riesgo.

Cuando la extinción de la obligación se dé por prescripción, para proteger el derecho de hábeas data no será necesario que aquella se declare judicialmente. En consecuencia, el dato negativo permanecerá por el término de cuatro (4) años contados a partir del momento en que reconozca judicialmente o en caso de no existir pronunciamiento judicial, una vez transcurridos diez (10) años desde el momento en el que la obligación se hace exigible.

7. Controversias

Controversias en el manejo de la información

¿El operador está obligado a comunicar que determinada información se encuentra en discusión por parte de su titular?

Si. El cuestionamiento del dato hace parte de una información veraz y completa y, además, se articula con el derecho fundamental al debido proceso, por cuanto la persona afectada con una información desfavorable o incierta, debe tener la oportunidad legal de presentar sus argumentos y razones para cuestionarla. Si dicha información es puesta en circulación, es claro que las razones de desavenencia del titular con determinados datos, sean también puestas en circulación para lograr las condiciones de veracidad e imparcialidad que caracterizan al dato personal.

¿Cuando la información que repose en los bancos de datos no esté actualizada o sea equivocada, qué puede hacer el titular?

Cuando el titular de la información considere que en los bancos de datos reposa información que no es correcta o que se encuentre desactualizada podrá presentar un reclamo ante el operador con el fin de que se proceda a su corrección o actualización.

El reclamo se formulará mediante escrito dirigido al operador del banco de datos, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer.

Este mecanismo igualmente podrá ser utilizado por el causahabiente del titular de la información.

¿Qué puede hacer el operador si el reclamo está incompleto?

En caso de que el escrito que contiene el reclamo resulte incompleto, el operador deberá oficiar al interesado para que subsane las fallas. Transcurrido un mes desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación.

¿Qué información se debe incluir en registro individual del banco de datos cuando se presenta un reclamo?

Una vez recibido el reclamo, el operador incluirá en el registro individual en un término no mayor a dos (2) días hábiles una anotación que diga "reclamo en trámite". Dicha información deberá mantenerse hasta que el reclamo sea decidido y deberá incluirse en la información que se suministra a los usuarios.

¿Cuál es el plazo que tiene un operador para atender una reclamación?

El operador cuenta con un término máximo para atender el reclamo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la petición dentro de dicho término, éste se podrá prorrogar máximo por ocho (8) días hábiles, justificando previamente al interesado los motivos de la demora y señalando la fecha en que se atenderá la petición.

Cuando la fuente de información sea diferente del operador, este último deberá dar traslado del reclamo a la fuente en un término máximo de dos (2) días hábiles, quien deberá resolver e informar la respuesta al operador en un plazo máximo de diez (10) días hábiles. En todo caso, la respuesta deberá darse al titular por el operador en el término máximo de 15 días hábiles contados a partir del día siguiente a la fecha de presentación de la reclamación.

¿La reclamación se puede presentar directamente ante la fuente de información?

Sí. El reclamo puede ser presentado directamente ante la fuente, quien a su vez procederá a resolverlo. En este caso será obligación de la fuente informar al operador sobre la recepción del reclamo dentro de los dos (2) días hábiles siguientes a su recibo, con el fin de que incluya la expresión "reclamo en trámite" dentro del registro individual.

¿Qué puede hacer el titular información cuando no esté de acuerdo con la respuesta del operador o de la fuente a la reclamación que presentó?

En caso que el titular no esté de acuerdo con la respuesta que se expidió en relación con su reclamación, éste podrá acudir ante la Superintendencia de Industria y Comercio con el fin de poner en conocimiento los motivos de su reclamación.

De la misma manera podrá acudir ante la Superintendencia cuando el operador o la fuente ante quien presentó la reclamación no haya dado respuesta dentro de la oportunidad legal.

8. Consultar la información por el titular

¿Con qué mecanismo cuenta el titular para conocer la información que reposa de él en los bancos de datos?

Los titulares de la información podrán conocer la información personal que repose de ellos en cualquier banco de datos, mediante la presentación de peticiones o consultas ante el operador que la administre.

La petición o consulta de información se formulará de manera verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos.

Por su parte, el operador deberá atender de fondo la solicitud, suministrando integralmente toda la información requerida, incluyendo aquélla contenida en el registro individual o que esté vinculada con la identificación del titular.

Este mecanismo igualmente podrá ser utilizado por el causahabiente del titular de la información.

¿La consulta de la información tiene algún costo para el titular?

La consulta de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países por parte del titular, será gratuita al menos una (1) vez cada mes calendario.

¿Los titulares de información están obligados a cumplir con alguna formalidad cuando realizan las consultas o peticiones a los operadores?

Sí. Las entidades que administran bases de datos deben garantizar que los datos de las personas únicamente sean suministrados a su legítimo titular, razón por la cual es necesario permitirles a los operadores que exijan a los titulares de información unos deberes encaminados a dicho fin, esto es, la restricción de la circulación del dato personal.

En ese sentido, la SIC ha considerado que una medida adecuada para preservar la privacidad y el derecho del hábeas data del titular y protegerlo de divulgaciones no autorizadas de su información personal, es la exigencia por parte de los operadores de la presentación personal de las consultas que se hagan por escrito, incluyendo el reconocimiento de la firma del titular por parte de un notario público.

De conformidad con lo anterior, los operadores deberán atender las peticiones que realicen los titulares de la información en forma escrita, siempre y cuando:

  1. La petición esté firmada por el respectivo titular y contenga la nota de presentación personal ante notario público, o
  2. El titular de la información se presente directamente a radicar su petición escrita y exhiba un documento de identidad al momento de la radicación del escrito, o
  3. La petición sea presentada por escrito mediante apoderado o autorizado, con el anexo del poder otorgado debidamente autenticado ante notario público, o
  4. La petición de información de persona jurídica, sea suscrita por el representante legal de la sociedad con presentación personal ante notario con el anexo del certificado de existencia y representación legal expedido por la respectiva Cámara de Comercio, o
  5. La petición de información de persona jurídica, se solicite mediante apoderado, con el anexo del poder debidamente otorgado y autenticado ante notario público con el anexo del certificado de existencia y representación legal expedido por la respectiva Cámara de Comercio.

Una vez haya consultado esta información, usted podrá determinar si continúa o no con un proceso de denuncia o reclamos o si desiste de ellas.