1

LEY ESTATUTARIA 1266 DE 2008 [1]

(diciembre 31)
Diario Oficial No. 47.219 de 31 de diciembre de 2008
CONGRESO DE LA REPBLICA
Por la cual se dictan las disposiciones generales del hbeas data y se regula el manejo
de la informacin contenida en bases de datos personales, en especial la financiera,
crediticia, comercial, de servicios y la proveniente de terceros pases y se dictan otras
disposiciones.
EL CONGRESO DE LA REPBLICA
DECRETA:
ARTCULO 1o. OBJETO. La presente ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de datos, y los dems
derechos, libertades y garantas constitucionales relacionadas con la recoleccin,
tratamiento y circulacin de datos personales a que se refiere el artculo 15 de la
Constitucin Poltica, as como el derecho a la informacin establecido en el artculo 20
de la Constitucin Poltica, particularmente en relacin con la informacin financiera y
crediticia, comercial, de servicios y la proveniente de terceros pases.
ARTCULO 2o. AMBITO DE APLICACIN. La presente ley se aplica a todos los datos
de informacin personal registrados en un banco de datos, sean estos administrados
por entidades de naturaleza pblica o privada.
Esta ley se aplicar sin perjuicio de normas especiales que disponen la confidencialidad
o reserva de ciertos datos o informacin registrada en bancos de datos de naturaleza
pblica, para fines estadsticos, de investigacin o sancin de delitos o para garantizar
el orden pblico.
Se exceptan de esta ley las bases de datos que tienen por finalidad producir la
Inteligencia de Estado por parte del Departamento Administrativo de Seguridad, DAS, y
de la Fuerza Pblica para garantizar la seguridad nacional interna y externa.
Los registros pblicos a cargo de las cmaras de comercio se regirn exclusivamente
por las normas y principios consagrados en las normas especiales que las regulan.
Igualmente, quedan excluidos de la aplicacin de la presente ley aquellos datos
mantenidos en un mbito exclusivamente personal o domstico y aquellos que circulan
internamente, esto es, que no se suministran a otras personas jurdicas o naturales.
ARTCULO 3o. DEFINICIONES. Para los efectos de la presente ley, se entiende por:
a) Titular de la informacin. Es la persona natural o jurdica a quien se refiere la
informacin que reposa en un banco de datos y sujeto del derecho de hbeas data y
dems derechos y garantas a que se refiere la presente ley;
b) Fuente de informacin. Es la persona, entidad u organizacin que recibe o conoce
datos personales de los titulares de la informacin, en virtud de una relacin comercial o
de servicio o de cualquier otra ndole y que, en razn de autorizacin legal o del titular,
suministra esos datos a un operador de informacin, el que a su vez los entregar al
usuario final. Si la fuente entrega la informacin directamente a los usuarios y no, a
travs de un operador, aquella tendr la doble condicin de fuente y operador y asumir
los deberes y responsabilidades de ambos. La fuente de la informacin responde por la
calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y
suministra informacin personal de terceros, se sujeta al cumplimiento de los deberes y
responsabilidades previstas para garantizar la proteccin de los derechos del titular de
los datos;
c) Operador de informacin. <Literal CONDICIONALMENTE exequible> Se denomina
operador de informacin a la persona, entidad u organizacin que recibe de la fuente
datos personales sobre varios titulares de la informacin, los administra y los pone en
conocimiento de los usuarios bajo los parmetros de la presente ley. Por tanto el
operador, en cuanto tiene acceso a informacin personal de terceros, se sujeta al
cumplimiento de los deberes y responsabilidades previstos para garantizar la proteccin
de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la
informacin, este no tiene relacin comercial o de servicio con el titular y por ende no es
responsable por la calidad de los datos que le sean suministrados por la fuente;
d) Usuario. El usuario es la persona natural o jurdica que, en los trminos y
circunstancias previstos en la presente ley, puede acceder a informacin personal de
uno o varios titulares de la informacin suministrada por el operador o por la fuente, o
directamente por el titular de la informacin. El usuario, en cuanto tiene acceso a
informacin personal de terceros, se sujeta al cumplimiento de los deberes y

2
responsabilidades previstos para garantizar la proteccin de los derechos del titular de
los datos. En el caso en que el usuario a su vez entregue la informacin directamente a
un operador, aquella tendr la doble condicin de usuario y fuente, y asumir los
deberes y responsabilidades de ambos;
e) Dato personal. Es cualquier pieza de informacin vinculada a una o varias personas
determinadas o determinables o que puedan asociarse con una persona natural o
jurdica. Los datos impersonales no se sujetan al rgimen de proteccin de datos de la
presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que
se trata de uso personal. Los datos personales pueden ser pblicos, semiprivados o
privados;
f) Dato pblico. Es el dato calificado como tal segn los mandatos de la ley o de la
Constitucin Poltica y todos aquellos que no sean semiprivados o privados, de
conformidad con la presente ley. Son pblicos, entre otros, los datos contenidos en
documentos pblicos, sentencias judiciales debidamente ejecutoriadas que no estn
sometidos a reserva y los relativos al estado civil de las personas;
g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza ntima, reservada,
ni pblica y cuyo conocimiento o divulgacin puede interesar no slo a su titular sino a
cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y
crediticio de actividad comercial o de servicios a que se refiere el Ttulo IV de la
presente ley.
h) Dato privado. Es el dato que por su naturaleza ntima o reservada slo es relevante
para el titular.
i) Agencia de Informacin Comercial. Es toda empresa legalmente constituida que tenga
como actividad principal la recoleccin, validacin y procesamiento de informacin
comercial sobre las empresas y comerciantes especficamente solicitadas por sus
clientes, entendindose por informacin comercial aquella informacin histrica y actual
relativa a la situacin financiera, patrimonial, de mercado, administrativa, operativa,
sobre el cumplimiento de obligaciones y dems informacin relevante para analizar la
situacin integral de una empresa. Para los efectos de la presente ley, las agencias de
informacin comercial son operadores de informacin y fuentes de informacin.
PARGRAFO: A las agencias de informacin comercial, as como a sus fuentes o
usuarios, segn sea el caso, no se aplicarn las siguientes disposiciones de la presente
ley: numerales 2 y 6 del artculo 8o, artculo 12, y artculo 14.
j) Informacin financiera, crediticia, comercial, de servicios y la proveniente de terceros
pases.
Para todos los efectos de la presente ley se entender por informacin financiera,
crediticia, comercial, de servicios y la proveniente de terceros pases, aquella referida al
nacimiento, ejecucin y extincin de obligaciones dinerarias, independientemente de la
naturaleza del contrato que les d origen.
ARTCULO 4o. PRINCIPIOS DE LA ADMINISTRACIN DE DATOS. En el desarrollo,
interpretacin y aplicacin de la presente ley, se tendrn en cuenta, de manera
armnica e integral, los principios que a continuacin se establecen:
a) Principio de veracidad o calidad de los registros o datos. La informacin contenida en
los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y
comprensible. Se prohbe el registro y divulgacin de datos parciales, incompletos,
fraccionados o que induzcan a error;
b) Principio de finalidad. La administracin de datos personales debe obedecer a una
finalidad legtima de acuerdo con la Constitucin y la ley. La finalidad debe informrsele
al titular de la informacin previa o concomitantemente con el otorgamiento de la
autorizacin, cuando ella sea necesaria o en general siempre que el titular solicite
informacin al respecto;
c) Principio de circulacin restringida. La administracin de datos personales se sujeta a
los lmites que se derivan de la naturaleza de los datos, de las disposiciones de la
presente ley y de los principios de la administracin de datos personales especialmente
de los principios de temporalidad de la informacin y la finalidad del banco de datos.
Los datos personales, salvo la informacin pblica, no podrn ser accesibles por
Internet o por otros medios de divulgacin o comunicacin masiva, salvo que el acceso
sea tcnicamente controlable para brindar un conocimiento restringido slo a los
titulares o los usuarios autorizados conforme a la presente ley;
d) Principio de temporalidad de la informacin. La informacin del titular no podr ser
suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de
datos;

3
e) Principio de interpretacin integral de derechos constitucionales. La presente ley se
interpretar en el sentido de que se amparen adecuadamente los derechos
constitucionales, como son el hbeas data, el derecho al buen nombre, el derecho a la
honra, el derecho a la intimidad y el derecho a la informacin. Los derechos de los
titulares se interpretarn en armona y en un plano de equilibrio con el derecho a la
informacin previsto en el artculo 20 de la Constitucin y con los dems derechos
constitucionales aplicables;
f) Principio de seguridad. La informacin que conforma los registros individuales
constitutivos de los bancos de datos a que se refiere la ley, as como la resultante de las
consultas que de ella hagan sus usuarios, se deber manejar con las medidas tcnicas
que sean necesarias para garantizar la seguridad de los registros evitando su
adulteracin, prdida, consulta o uso no autorizado;
g) Principio de confidencialidad. Todas las personas naturales o jurdicas que
intervengan en la administracin de datos personales que no tengan la naturaleza de
pblicos estn obligadas en todo tiempo a garantizar la reserva de la informacin,
inclusive despus de finalizada su relacin con alguna de las labores que comprende la
administracin de datos, pudiendo slo realizar suministro o comunicacin de datos
cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley
y en los trminos de la misma.
ARTCULO 5o. CIRCULACIN DE INFORMACIN. La informacin personal
recolectada o suministrada de conformidad con lo dispuesto en la ley a los operadores
que haga parte del banco de datos que administra, podr ser entregada de manera
verbal, escrita, o puesta a disposicin de las siguientes personas y en los siguientes
trminos:
a) A los titulares, a las personas debidamente autorizadas por estos y a sus
causahabientes mediante el procedimiento de consulta previsto en la presente ley.
b) A los usuarios de la informacin, dentro de los parmetros de la presente ley.
c) A cualquier autoridad judicial, previa orden judicial.
d) <Literal CONDICIONALMENTE exequible> A las entidades pblicas del poder
ejecutivo, cuando el conocimiento de dicha informacin corresponda directamente al
cumplimiento de alguna de sus funciones.
e) A los rganos de control y dems dependencias de investigacin disciplinaria, fiscal,
o administrativa, cuando la informacin sea necesaria para el desarrollo de una
investigacin en curso.
f) A otros operadores de datos, cuando se cuente con autorizacin del titular, o cuando
sin ser necesaria la autorizacin del titular el banco de datos de destino tenga la misma
finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos.
Si el receptor de la informacin fuere un banco de datos extranjero, la entrega sin
autorizacin del titular slo podr realizarse dejando constancia escrita de la entrega de
la informacin y previa verificacin por parte del operador de que las leyes del pas
respectivo o el receptor otorgan garantas suficientes para la proteccin de los derechos
del titular.
g) A otras personas autorizadas por la ley.
TITULO II.
DERECHOS DE LOS TITULARES DE LA INFORMACION.
ARTCULO 6o. DERECHOS DE LOS TITULARES DE LA INFORMACIN. Los titulares
tendrn los siguientes derechos:
1. Frente a los operadores de los bancos de datos:
1.1 Ejercer el derecho fundamental al hbeas data en los trminos de la presente ley,
mediante la utilizacin de los procedimientos de consultas o reclamos, sin perjuicio de
los dems mecanismos constitucionales y legales.
1.2 Solicitar el respeto y la proteccin de los dems derechos constitucionales o
legales, as como de las dems disposiciones de la presente ley, mediante la utilizacin
del procedimiento de reclamos y peticiones.
1.3 Solicitar prueba de la certificacin de la existencia de la autorizacin expedida por la
fuente o por el usuario.
1.4 Solicitar informacin acerca de los usuarios autorizados para obtener informacin.
PARGRAFO. La administracin de informacin pblica no requiere autorizacin del
titular de los datos, pero se sujeta al cumplimiento de los principios de la administracin
de datos personales y a las dems disposiciones de la presente ley.
La administracin de datos semiprivados y privados requiere el consentimiento previo y
expreso del titular de los datos, salvo en el caso del dato financiero, crediticio,

4
comercial, de servicios y el proveniente de terceros pases el cual no requiere
autorizacin del titular. En todo caso, la administracin de datos semiprivados y
privados se sujeta al cumplimiento de los principios de la administracin de datos
personales y a las dems disposiciones de la presente ley.
2. Frente a las fuentes de la informacin:
2.1 <Numeral CONDICIONALMENTE exequible> Ejercer los derechos fundamentales
al hbeas data y de peticin, cuyo cumplimiento se podr realizar a travs de los
operadores, conforme lo previsto en los procedimientos de consultas y reclamos de
esta ley, sin perjuicio de los dems mecanismos constitucionales o legales.
2.2 Solicitar informacin o pedir la actualizacin o rectificacin de los datos contenidos
en la base de datos, lo cual realizar el operador, con base en la informacin aportada
por la fuente, conforme se establece en el procedimiento para consultas, reclamos y
peticiones.
2.3 Solicitar prueba de la autorizacin, cuando dicha autorizacin sea requerida
conforme lo previsto en la presente ley.
3. Frente a los usuarios:
3.1 Solicitar informacin sobre la utilizacin que el usuario le est dando a la
informacin, cuando dicha informacin no hubiere sido suministrada por el operador.
3.2 Solicitar prueba de la autorizacin, cuando ella sea requerida conforme lo previsto
en la presente ley.
PARGRAFO. Los titulares de informacin financiera y crediticia tendrn
adicionalmente los siguientes derechos:
Podrn acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes,
operadores o usuarios por violacin de las normas sobre administracin de la
informacin financiera y crediticia.
As mismo, pueden acudir ante la autoridad de vigilancia para pretender que se ordene
a un operador o fuente la correccin o actualizacin de sus datos personales, cuando
ello sea procedente conforme lo establecido en la presente ley.
TITULO III.
DEBERES DE LOS OPERADORES, LAS FUENTES Y LOS USUARIOS DE
INFORMACION.
ARTCULO 7o. DEBERES DE LOS OPERADORES DE LOS BANCOS DE DATOS. Sin
perjuicio del cumplimiento de las dems disposiciones contenidas en la presente ley y
otras que rijan su actividad, los operadores de los bancos de datos estn obligados a:
1. Garantizar, en todo tiempo al titular de la informacin, el pleno y efectivo ejercicio del
derecho de hbeas data y de peticin, es decir, la posibilidad de conocer la informacin
que sobre l exista o repose en el banco de datos, y solicitar la actualizacin o
correccin de datos, todo lo cual se realizar por conducto de los mecanismos de
consultas o reclamos, conforme lo previsto en la presente ley.
2. Garantizar, que en la recoleccin, tratamiento y circulacin de datos, se respetarn
los dems derechos consagrados en la ley.
3. Permitir el acceso a la informacin nicamente a las personas que, de conformidad
con lo previsto en esta ley, pueden tener acceso a ella.
4. Adoptar un manual interno de polticas y procedimientos para garantizar el adecuado
cumplimiento de la presente ley y, en especial, para la atencin de consultas y reclamos
por parte de los titulares.
5. Solicitar la certificacin a la fuente de la existencia de la autorizacin otorgada por el
titular, cuando dicha autorizacin sea necesaria, conforme lo previsto en la presente ley.
6. Conservar con las debidas seguridades los registros almacenados para impedir su
deterioro, prdida, alteracin, uso no autorizado o fraudulento.
7. Realizar peridica y oportunamente la actualizacin y rectificacin de los datos, cada
vez que le reporten novedades las fuentes, en los trminos de la presente ley.
8. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la
informacin, en los trminos sealados en la presente ley.
9. Indicar en el respectivo registro individual que determinada informacin se encuentra
en discusin por parte de su titular, cuando se haya presentado la solicitud de
rectificacin o actualizacin de la misma y no haya finalizado dicho trmite, en la forma
en que se regula en la presente ley.
10. Circular la informacin a los usuarios dentro de los parmetros de la presente ley.
11. Cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta en
relacin con el cumplimiento de la presente ley.
12. Los dems que se deriven de la Constitucin o de la presente ley.

5
ARTCULO 8o. DEBERES DE LAS FUENTES DE LA INFORMACIN. Las fuentes de
la informacin debern cumplir las siguientes obligaciones, sin perjuicio del
cumplimiento de las dems disposiciones previstas en la presente ley y en otras que
rijan su actividad:
1. Garantizar que la informacin que se suministre a los operadores de los bancos de
datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable.
2. Reportar, de forma peridica y oportuna al operador, todas las novedades respecto
de los datos que previamente le haya suministrado y adoptar las dems medidas
necesarias para que la informacin suministrada a este se mantenga actualizada.
3. Rectificar la informacin cuando sea incorrecta e informar lo pertinente a los
operadores.
4. Disear e implementar mecanismos eficaces para reportar oportunamente la
informacin al operador.
5. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva
autorizacin otorgada por los titulares de la informacin, y asegurarse de no suministrar
a los operadores ningn dato cuyo suministro no est previamente autorizado, cuando
dicha autorizacin sea necesaria, de conformidad con lo previsto en la presente ley.
6. Certificar, semestralmente al operador, que la informacin suministrada cuenta con la
autorizacin de conformidad con lo previsto en la presente ley.
7. Resolver los reclamos y peticiones del titular en la forma en que se regula en la
presente ley.
8. Informar al operador que determinada informacin se encuentra en discusin por
parte de su titular, cuando se haya presentado la solicitud de rectificacin o
actualizacin de la misma, con el fin de que el operador incluya en el banco de datos
una mencin en ese sentido hasta que se haya finalizado dicho trmite.
9. Cumplir con las instrucciones que imparta la autoridad de control en relacin con el
cumplimiento de la presente ley.
10. Los dems que se deriven de la Constitucin o de la presente ley.
ARTCULO 9o. DEBERES DE LOS USUARIOS. Sin perjuicio del cumplimiento de las
disposiciones contenidas en la presente ley y dems que rijan su actividad, los usuarios
de la informacin debern:
1. Guardar reserva sobre la informacin que les sea suministrada por los operadores de
los bancos de datos, por las fuentes o los titulares de la informacin y utilizar la
informacin nicamente para los fines para los que le fue entregada, en los trminos de
la presente ley.
2. Informar a los titulares, a su solicitud, sobre la utilizacin que le est dando a la
informacin.
3. Conservar con las debidas seguridades la informacin recibida para impedir su
deterioro, prdida, alteracin, uso no autorizado o fraudulento.
4. Cumplir con las instrucciones que imparta la autoridad de control, en relacin con el
cumplimiento de la presente ley.
5. Los dems que se deriven de la Constitucin o de la presente ley.
TITULO IV.
DE LOS BANCOS DE DATOS DE INFORMACION FINANCIERA, CREDITICIA,
COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAISES.
ARTCULO 10. PRINCIPIO DE FAVORECIMIENTO A UNA ACTIVIDAD DE INTERS
PBLICO. La actividad de administracin de informacin financiera, crediticia,
comercial, de servicios y la proveniente de terceros pases est directamente
relacionada y favorece una actividad de inters pblico, como lo es la actividad
financiera propiamente, por cuanto ayuda a la democratizacin del crdito, promueve el
desarrollo de la actividad de crdito, la proteccin de la confianza pblica en el sistema
financiero y la estabilidad del mismo, y genera otros beneficios para la economa
nacional y en especial para la actividad financiera, crediticia, comercial y de servicios
del pas.
PARGRAFO 1o. La administracin de informacin financiera, crediticia, comercial, de
servicios y la proveniente de terceros pases, por parte de fuentes, usuarios y
operadores deber realizarse de forma que permita favorecer los fines de expansin y
democratizacin del crdito. Los usuarios de este tipo de informacin debern valorar
este tipo de informacin en forma concurrente con otros factores o elementos de juicio
que tcnicamente inciden en el estudio de riesgo y el anlisis crediticio, y no podrn
basarse exclusivamente en la informacin relativa al incumplimiento de obligaciones
suministrada por los operadores para adoptar decisiones frente a solicitudes de crdito.

6
La Superintendencia Financiera de Colombia podr imponer las sanciones previstas en
la presente ley a los usuarios de la informacin que nieguen una solicitud de crdito
basados exclusivamente en el reporte de informacin negativa del solicitante.
PARGRAFO 2o. La consulta de la informacin financiera, crediticia, comercial, de
servicios y la proveniente de terceros pases por parte del titular, ser gratuita al menos
una (1) vez cada mes calendario.
ARTCULO 11. REQUISITOS ESPECIALES PARA LOS OPERADORES. Los
operadores de bancos de datos de informacin financiera, crediticia, comercial, de
servicios y la proveniente de terceros pases que funcionen como entes independientes
a las fuentes de la informacin, debern cumplir con los siguientes requisitos especiales
de funcionamiento:
1. Debern constituirse como sociedades comerciales, entidades sin nimo de lucro, o
entidades cooperativas.
2. Debern contar con un rea de servicio al titular de la informacin, para la atencin
de peticiones, consultas y reclamos.
3. Debern contar con un sistema de seguridad y con las dems condiciones tcnicas
suficientes para garantizar la seguridad y actualizacin de los registros, evitando su
adulteracin, prdida, consulta o uso no autorizado conforme lo previsto en la presente
ley.
4. Debern actualizar la informacin reportada por las fuentes con una periodicidad no
superior a diez (10) das calendario contados a partir del recibo de la misma.
ARTCULO 12. REQUISITOS ESPECIALES PARA FUENTES. Las fuentes debern
actualizar mensualmente la informacin suministrada al operador, sin perjuicio de lo
dispuesto en el Ttulo III de la presente ley.
El reporte de informacin negativa sobre incumplimiento de obligaciones de cualquier
naturaleza, que hagan las fuentes de informacin a los operadores de bancos de datos
de informacin financiera, crediticia, comercial, de servicios y la proveniente de terceros
pases, slo proceder previa comunicacin al titular de la informacin, con el fin de que
este pueda demostrar o efectuar el pago de la obligacin, as como controvertir
aspectos tales como el monto de la obligacin o cuota y la fecha de exigibilidad. Dicha
comunicacin podr incluirse en los extractos peridicos que las fuentes de informacin
enven a sus clientes.
En todo caso, las fuentes de informacin podrn efectuar el reporte de la informacin
transcurridos veinte (20) das calendario siguientes a la fecha de envo de la
comunicacin en la ltima direccin de domicilio del afectado que se encuentre
registrada en los archivos de la fuente de la informacin y sin perjuicio, si es del caso,
de dar cumplimiento a la obligacin de informar al operador, que la informacin se
encuentra en discusin por parte de su titular, cuando se haya presentado solicitud de
rectificacin o actualizacin y esta an no haya sido resuelta.
ARTCULO
13.
PERMANENCIA
DE
LA
INFORMACIN.
<Artculo
CONDICIONALMENTE exequible> La informacin de carcter positivo permanecer de
manera indefinida en los bancos de datos de los operadores de informacin.
Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de
la cartera, y en general, aquellos datos referentes a una situacin de incumplimiento de
obligaciones, se regirn por un trmino mximo de permanencia, vencido el cual deber
ser retirada de los bancos de datos por el operador, de forma que los usuarios no
puedan acceder o consultar dicha informacin. El trmino de permanencia de esta
informacin ser de cuatro (4) aos contados a partir de la fecha en que sean pagadas
las cuotas vencidas o sea pagada la obligacin vencida.
ARTCULO 14. CONTENIDO DE LA INFORMACIN. El Gobierno Nacional establecer
la forma en la cual los bancos de datos de informacin financiera, crediticia, comercial,
de servicios y la proveniente de terceros pases, debern presentar la informacin de
los titulares de la informacin. Para tal efecto, deber sealar un formato que permita
identificar, entre otros aspectos, el nombre completo del deudor, la condicin en que
acta, esto es, como deudor principal, deudor solidario, avalista o fiador, el monto de la
obligacin o cuota vencida, el tiempo de mora y la fecha del pago, si es del caso.
El Gobierno Nacional al ejercer la facultad prevista en el inciso anterior deber tener en
cuenta que en el formato de reporte deber establecer que:
a) <Literal CONDICIONALMENTE exequible> Se presenta reporte negativo cuando
la(s) persona(s) naturales o jurdicas efectivamente se encuentran en mora en sus
cuotas u obligaciones.

7
b) <Literal CONDICIONALMENTE exequible> Se presenta reporte positivo cuando la(s)
persona(s) naturales y jurdicas estn al da en sus obligaciones.
El incumplimiento de la obligacin aqu prevista dar lugar a la imposicin de las
mximas sanciones previstas en la presente ley.
PARGRAFO 1o. Para los efectos de la presente ley se entiende que una obligacin ha
sido voluntariamente pagada, cuando su pago se ha producido sin que medie sentencia
judicial que as lo ordene.
PARGRAFO 2o. Las consecuencias previstas en el presente artculo para el pago
voluntario de las obligaciones vencidas, ser predicable para cualquier otro modo de
extincin de las obligaciones, que no sea resultado de una sentencia judicial.
PARGRAFO 3o. Cuando un usuario consulte el estado de un titular en las bases de
datos de informacin financiera, crediticia, comercial, de servicios y la proveniente de
terceros pases, estas tendrn que dar informacin exacta sobre su estado actual, es
decir, dar un reporte positivo de los usuarios que en el momento de la consulta estn al
da en sus obligaciones y uno negativo de los que al momento de la consulta se
encuentren en mora en una cuota u obligaciones.
El resto de la informacin contenida en las bases de datos financieros, crediticios,
comercial, de servicios y la proveniente de terceros pases har parte del historial
crediticio de cada usuario, el cual podr ser consultado por el usuario, siempre y
cuando hubiere sido informado sobre el estado actual.
PARGRAFO 4o. Se prohbe la administracin de datos personales con informacin
exclusivamente desfavorable.
ARTCULO 15. ACCESO A LA INFORMACIN POR PARTE DE LOS USUARIOS. La
informacin contenida en bancos de datos de informacin financiera, crediticia,
comercial, de servicios y la proveniente de terceros pases podr ser accedida por los
usuarios nicamente con las siguientes finalidades: Como elemento de anlisis para
establecer y mantener una relacin contractual, cualquiera que sea su naturaleza, as
como para la evaluacin de los riesgos derivados de una relacin contractual vigente.
Como elemento de anlisis para hacer estudios de mercado o investigaciones
comerciales o estadsticas.
Para el adelantamiento de cualquier trmite ante una autoridad pblica o una persona
privada, respecto del cual dicha informacin resulte pertinente.
Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma
general o para cada caso particular se haya obtenido autorizacin por parte del titular
de la informacin.
TITULO V.
PETICIONES DE CONSULTAS Y RECLAMOS.
ARTCULO 16. PETICIONES, CONSULTAS Y RECLAMOS.
I. Trmite de consultas. Los titulares de la informacin o sus causahabientes podrn
consultar la informacin personal del titular, que repose en cualquier banco de datos,
sea este del sector pblico o privado. El operador deber suministrar a estos,
debidamente identificados, toda la informacin contenida en el registro individual o que
est vinculada con la identificacin del titular.
La peticin, consulta de informacin se formular verbalmente, por escrito, o por
cualquier canal de comunicacin, siempre y cuando se mantenga evidencia de la
consulta por medios tcnicos.
La peticin o consulta ser atendida en un trmino mximo de diez (10) das hbiles
contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la
peticin o consulta dentro de dicho trmino, se informar al interesado, expresando los
motivos de la demora y sealando la fecha en que se atender su peticin, la cual en
ningn caso podr superar los cinco (5) das hbiles siguientes al vencimiento del
primer trmino.
PARGRAFO. La peticin o consulta se deber atender de fondo, suministrando
integralmente toda la informacin solicitada.
II. Trmite de reclamos. Los titulares de la informacin o sus causahabientes que
consideren que la informacin contenida en su registro individual en un banco de datos
debe ser objeto de correccin o actualizacin podrn presentar un reclamo ante el
operador, el cual ser tramitado bajo las siguientes reglas:
1. La peticin o reclamo se formular mediante escrito dirigido al operador del banco de
datos, con la identificacin del titular, la descripcin de los hechos que dan lugar al
reclamo, la direccin, y si fuere el caso, acompaando los documentos de soporte que
se quieran hacer valer. En caso de que el escrito resulte incompleto, se deber oficiar al

8
interesado para que subsane las fallas. Transcurrido un mes desde la fecha del
requerimiento, sin que el solicitante presente la informacin requerida, se entender
que ha desistido de la reclamacin o peticin.
2. Una vez recibido la peticin o reclamo completo el operador incluir en el registro
individual en un trmino no mayor a dos (2) das hbiles una leyenda que diga reclamo
en trmite y la naturaleza del mismo. Dicha informacin deber mantenerse hasta que
el reclamo sea decidido y deber incluirse en la informacin que se suministra a los
usuarios.
3. El trmino mximo para atender la peticin o reclamo ser de quince (15) das
hbiles contados a partir del da siguiente a la fecha de su recibo. Cuando no fuere
posible atender la peticin dentro de dicho trmino, se informar al interesado,
expresando los motivos de la demora y sealando la fecha en que se atender su
peticin, la cual en ningn caso podr superar los ocho (8) das hbiles siguientes al
vencimiento del primer trmino.
4. En los casos en que exista una fuente de informacin independiente del operador,
este ltimo deber dar traslado del reclamo a la fuente en un trmino mximo de dos (2)
das hbiles, la cual deber resolver e informar la respuesta al operador en un plazo
mximo de diez (10) das hbiles. En todo caso, la respuesta deber darse al titular por
el operador en el trmino mximo de quince (15) das hbiles contados a partir del da
siguiente a la fecha de presentacin de la reclamacin, prorrogables por ocho (8) das
hbiles ms, segn lo indicado en el numeral anterior. Si el reclamo es presentado ante
la fuente, esta proceder a resolver directamente el reclamo, pero deber informar al
operador sobre la recepcin del reclamo dentro de los dos (2) das hbiles siguientes a
su recibo, de forma que se pueda dar cumplimiento a la obligacin de incluir la leyenda
que diga reclamo en trmite y la naturaleza del mismo dentro del registro individual, lo
cual deber hacer el operador dentro de los dos (2) das hbiles siguientes a haber
recibido la informacin de la fuente.
5. Para dar respuesta a la peticin o reclamo, el operador o la fuente, segn sea el
caso, deber realizar una verificacin completa de las observaciones o planteamientos
del titular, asegurndose de revisar toda la informacin pertinente para poder dar una
respuesta completa al titular.
6. Sin perjuicio del ejercicio de la accin de tutela para amparar el derecho fundamental
del hbeas data, en caso que el titular no se encuentre satisfecho con la respuesta a la
peticin, podr recurrir al proceso judicial correspondiente dentro de los trminos
legales pertinentes para debatir lo relacionado con la obligacin reportada como
incumplida. La demanda deber ser interpuesta contra la fuente de la informacin la
cual, una vez notificada de la misma, proceder a informar al operador dentro de los
dos (2) das hbiles siguientes, de forma que se pueda dar cumplimiento a la obligacin
de incluir la leyenda que diga informacin en discusin judicial y la naturaleza de la
misma dentro del registro individual, lo cual deber hacer el operador dentro de los dos
(2) das hbiles siguientes a haber recibido la informacin de la fuente y por todo el
tiempo que tome obtener un fallo en firme. Igual procedimiento deber seguirse en caso
que la fuente inicie un proceso judicial contra el titular de la informacin, referente a la
obligacin reportada como incumplida, y este proponga excepciones de mrito.
TITULO VI.
VIGILANCIA DE LOS DESTINATARIOS DE LA LEY.
ARTCULO 17. FUNCIN DE VIGILANCIA. <Artculo CONDICIONALMENTE
exequible> La Superintendencia de Industria y Comercio ejercer la funcin de
vigilancia de los operadores, las fuentes y los usuarios de informacin financiera,
crediticia, comercial, de servicios y la proveniente de terceros pases, en cuanto se
refiere a la actividad de administracin de datos personales que se regula en la
presente ley.
En los casos en que la fuente, usuario u operador de informacin sea una entidad
vigilada por la Superintendencia Financiera de Colombia, esta ejercer la vigilancia e
impondr las sanciones correspondientes, de conformidad con las facultades que le son
propias, segn lo establecido en el Estatuto Orgnico del Sistema Financiero y las
dems normas pertinentes y las establecidas en la presente ley.
Para el ejercicio de la funcin de vigilancia a que se refiere el presente artculo, la
Superintendencia de Industria y Comercio y la Superintendencia Financiera de
Colombia, segn el caso, tendrn en adicin a las propias las siguientes facultades:
1. Impartir instrucciones y rdenes sobre la manera como deben cumplirse las
disposiciones de la presente ley relacionadas con la administracin de la informacin

9
financiera, crediticia, comercial, de servicios y la proveniente de terceros pases fijar los
criterios que faciliten su cumplimiento y sealar procedimientos para su cabal
aplicacin.
2. Velar por el cumplimiento de las disposiciones de la presente ley, de las normas que
la reglamenten y de las instrucciones impartidas por la respectiva Superintendencia.
3. Velar porque los operadores y fuentes cuenten con un sistema de seguridad y con las
dems condiciones tcnicas suficientes para garantizar la seguridad y actualizacin de
los registros, evitando su adulteracin, prdida, consulta o uso no autorizado conforme
lo previsto en la presente ley.
4. Ordenar a cargo del operador, la fuente o usuario la realizacin de auditoras
externas de sistemas para verificar el cumplimiento de las disposiciones de la presente
ley.
5. Ordenar de oficio o a peticin de parte la correccin, actualizacin o retiro de datos
personales cuando ello sea procedente, conforme con lo establecido en la presente ley.
Cuando sea a peticin de parte, se deber acreditar ante la Superintendencia que se
surti el trmite de un reclamo por los mismos hechos ante el operador o la fuente, y
que el mismo no fue atendido o fue atendido desfavorablemente.
6. Iniciar de oficio o a peticin de parte investigaciones administrativas contra los
operadores, fuentes y usuarios de informacin financiera, crediticia, comercial, de
servicios y la proveniente de terceros pases, con el fin de establecer si existe
responsabilidad administrativa derivada del incumplimiento de las disposiciones de la
presente ley o de las rdenes o instrucciones impartidas por el organismo de vigilancia
respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten
pertinentes.
ARTCULO 18. SANCIONES. La Superintendencia de Industria y Comercio y la
Superintendencia Financiera podrn imponer a los operadores, fuentes o usuarios de
informacin financiera, crediticia, comercial, de servicios y la proveniente de terceros
pases previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes
sanciones:
Multas de carcter personal e institucional hasta por el equivalente a mil quinientos
(1.500) salarios mnimos mensuales legales vigentes al momento de la imposicin de la
sancin, por violacin a la presente ley, normas que la reglamenten, as como por la
inobservancia de las rdenes e instrucciones impartidas por dicha Superintendencia.
Las multas aqu previstas podrn ser sucesivas mientras subsista el incumplimiento que
las origin.
Suspensin de las actividades del banco de datos, hasta por un trmino de seis (6)
meses, cuando se estuviere llevando a cabo la administracin de la informacin en
violacin grave de las condiciones y requisitos previstos en la presente ley, as como
por la inobservancia de las rdenes e instrucciones impartidas por las
Superintendencias mencionadas para corregir tales violaciones.
Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el
trmino de suspensin, no hubiere adecuado su operacin tcnica y logstica, y sus
normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la
resolucin que orden la suspensin. Cierre inmediato y definitivo de la operacin de
bancos de datos que administren datos prohibidos.
ARTCULO 19. CRITERIOS PARA GRADUAR LAS SANCIONES. Las sanciones por
infracciones a que se refiere el artculo anterior se graduarn atendiendo los siguientes
criterios, en cuanto resulten aplicables:
a) La dimensin del dao o peligro a los intereses jurdicos tutelados por la presente ley.
b) El beneficio econmico que se hubiere obtenido para el infractor o para terceros, por
la comisin de la infraccin, o el dao que tal infraccin hubiere podido causar.
c) La reincidencia en la comisin de la infraccin.
d) La resistencia, negativa u obstruccin a la accin investigadora o de vigilancia de la
Superintendencia de Industria y Comercio.
e) La renuencia o desacato a cumplir, con las rdenes impartidas por la
Superintendencia de Industria y Comercio.
f) El reconocimiento o aceptacin expresos que haga el investigado sobre la comisin
de la infraccin antes de la imposicin de la sancin a que hubiere lugar.
ARTCULO 20. RGIMEN DE TRANSICIN PARA LAS ENTIDADES DE CONTROL.
La Superintendencia de Industria y Comercio y la Superintendencia Financiera
asumirn, seis (6) meses despus de la entrada en vigencia de la presente ley, las
funciones aqu establecidas. Para tales efectos, dentro de dicho trmino el Gobierno

10
Nacional adoptar las medidas necesarias para adecuar la estructura de la
Superintendencia de Industria, Comercio y Financiera dotndola de la capacidad
presupuestal y tcnica necesaria para cumplir con dichas funciones.
TITULO VII.
DE LAS DISPOSICIONES FINALES.
ARTCULO 21. RGIMEN DE TRANSICIN. Para el cumplimiento de las disposiciones
contenidas en la presente ley, las personas que, a la fecha de su entrada en vigencia
ejerzan alguna de las actividades aqu reguladas, tendrn un plazo de hasta seis (6)
meses para adecuar su funcionamiento a las disposiciones de la presente ley.
Los titulares de la informacin que a la entrada en vigencia de esta ley estuvieren al da
en sus obligaciones objeto de reporte, y cuya informacin negativa hubiere
permanecido en los bancos de datos por lo menos un ao contado a partir de la
cancelacin de las obligaciones, sern beneficiarios de la caducidad inmediata de la
informacin negativa.
A su vez, los titulares de la informacin que se encuentren al da en sus obligaciones
objeto de reporte, pero cuya informacin negativa no hubiere permanecido en los
bancos de datos al menos un ao despus de canceladas las obligaciones,
permanecern con dicha informacin negativa por el tiempo que les hiciere falta para
cumplir el ao, contado a partir de la cancelacin de las obligaciones.
Los titulares de la informacin que cancelen sus obligaciones objeto de reporte dentro
de los seis (6) meses siguientes a la entrada en vigencia de la presente ley,
permanecern con dicha informacin negativa en los bancos de datos por el trmino de
un (1) ao, contado a partir de la fecha de cancelacin de tales obligaciones. Cumplido
este plazo de un (1) ao, el dato negativo deber ser retirado automticamente de los
bancos de datos.
El beneficio previsto en este artculo se perder en caso que el titular de la informacin
incurra nuevamente en mora, evento en el cual su reporte reflejar nuevamente la
totalidad de los incumplimientos pasados, en los trminos previstos en el artculo 13 de
esta ley.
ARTCULO 22. VIGENCIA Y DEROGATORIAS. Esta ley rige a partir de la fecha de
publicacin y deroga las disposiciones que le sean contrarias.
El Presidente del honorable Senado de la Repblica,
HERNN FRANCISCO ANDRADE SERRANO.
El Secretario General del honorable Senado de la Repblica,
EMILIO RAMN OTERO DAJUD.
El Presidente de la honorable Cmara de Representantes,
GERMN VARN COTRINO.
El Secretario General de la honorable Cmara de Representantes,
JESS ALFONSO RODRGUEZ CAMARGO.
REPUBLICA DE COLOMBIA - GOBIERNO NACIONAL
Publquese y cmplase.
Dada en Bogot, D. C., a 31 de diciembre de 2008.
LVARO URIBE VLEZ
El Director del Departamento Administrativo de la Presidencia de la Repblica,
Encargado de las funciones del Despacho del Ministro del Interior y de Justicia,
BERNARDO MORENO VILLEGAS.
***
1 Revisin Previa de Constitucionalidad. Declarado Exequible mediante Sentencia C1011 del 16 de octubre de 2008.