HÁBEAS DATA, LEY 1266 DE 2008, RÉGIMEN DE TRANSICIÓN, REPORTES

Concepto 2009003276-001 del 23 de febrero de 2009.

Síntesis: La Ley 1266 de 2008 regula la administración de datos personales de carácter

financiero destinados al cálculo del riesgo crediticio y estableció un régimen de transición
para las personas que, a la fecha de entrada en vigencia de la citada norma, se
encontraban ejerciendo como fuentes u operadores de la información; éstas cuentan con
un plazo de hasta 6 meses para adecuar su funcionamiento a las disposiciones allí
contenidas. Cada fuente de información es autónoma para diseñar e implementar los
mecanismos que considere convenientes para reportar oportunamente la información al
operador.

«(…) formula algunas preguntas en relación con la Ley 1266 de 2008.

Antes de proceder a absolver cada una de sus preguntas, este despacho considera necesario
efectuar algunas precisiones de índole legal y jurisprudencial, aclarando de antemano, que
mediante el presente concepto no se avala o descalifica la actividad comercial de una
empresa determinada, sino que se resuelven los interrogantes por usted formulados en
abstracto.

1.- Primera pregunta: ¿Qué ocurre con la información personal que se encuentra
en las bases de datos privadas, (distinta a la consignada en las centrales de
riesgo) ya pre – existentes a la entrada en vigencia de la antes nombrada Ley, la
cual en su debido momento fue autorizada su recolección por el usuario y ya no
existe soporte de dicha autorización, pero pertenece al ámbito de información
privada, se debe borrar? Se puede utilizar esa información pero solicitando
nuevamente una autorización o no es necesaria esta autorización?:

1.1.- Precisiones de índole legal y jurisprudencial:

1.1.1.- Mediante Sentencia C – 1011 de 2008 de dieciséis (16) de octubre de

dos mil ocho (2008), la Corte Constitucional revisó el proyecto de ley
estatutaria sobre Habeas Data1.
1.1.2.- En la mencionada Sentencia, la Corte aclaró que el proyecto de ley
“constituye una regulación parcial del derecho fundamental al hábeas
data, concentrada en las reglas para la administración de datos
personales de carácter financiero destinados al cálculo del riesgo
crediticio”, con exclusión de otras modalidades de administración de
datos personales. (Subrayas fuera de texto original)
1
Proyecto de Ley Estatutaria 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) “por la cual se dictan
las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de
datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros
países y se dictan otras disposiciones.”
 1.1.3.- El artículo 2° de la Ley en comento, indica expresamente que ésta se
aplica “a todos los datos de información personal registrados en un
banco de datos, sean éstos administrados por entidades de naturaleza
pública o privada.” (Subrayas fuera de texto original)

1.1.4.- El artículo 3° de la norma define quiénes deben ser tenidos como

fuentes y como operadores de información, y en qué evento puede una
persona, entidad u organización, ejercer la doble condición (de fuente
y operador).

1.1.5.- En su artículo 21, la ley establece que: “las personas que, a la fecha de
su entrada en vigencia ejerzan alguna de las actividades aquí
reguladas, tendrán un plazo de hasta seis (6) meses para adecuar su
funcionamiento a las disposiciones de la presente ley.”

1.1.6.- Información semiprivada es aquel dato personal o impersonal que, al

no pertenecer a la categoría de información pública, sí requiere de
algún grado de limitación para su acceso, incorporación a bases de
datos y divulgación. Por ende, se trata de información que sólo puede
accederse por orden de autoridad judicial o administrativa y para los
fines propios de sus funciones, o a través del cumplimiento de los
principios de administración de datos personales que desarrolla la ley.
Ejemplo de estos datos son la información relacionada con el
comportamiento financiero, comercial y crediticio2.

1.1.7.- La autorización del titular de la información, como requisito previo a

la recolección de los datos, esta desarrollada en extenso en la sentencia
mencionada, así como en el literal f) del artículo 5 de la Ley 1266.

1.1.8.- La recientemente expedida Ley 1273 de 2009, incluyó una disposición

que guarda relación con el tema de su consulta. Nos permitimos
trascribirla a continuación:

“Artículo 269F: Violación de datos personales. El que, sin estar facul-

tado para ello, con provecho propio o de un tercero, obtenga, compile,
sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte,
divulgue, modifique o emplee códigos personales, datos personales
contenidos en ficheros, archivos, bases de datos o medios semejantes,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis
(96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes”. (Subrayas fuera de texto original)

2.1.- A la primera pregunta:

2
Tomado de la Sentencia C-1011 de 2008.
 2.1.1.- La Ley 1266 de 2008 regula integralmente la administración de datos
personales de carácter financiero destinados al cálculo del riesgo
crediticio, bien sea que el operador esté constituido como “central de
riesgo” o como “base de datos privada”, en los términos de su
comunicación. La persona, entidad u organización que ejerza una
actividad coincidente con la que describe la ley y tenga acceso a datos
personales de terceros, debe sujetarse al cumplimiento de los deberes y
responsabilidades previstos en la mencionada Ley.

2.1.2.- La ley estableció un régimen de transición para las personas que, a la

fecha de entrada en vigencia de la citada norma, se encontraban
ejerciendo como fuentes u operadores de la información, en virtud del
cual, éstas cuentan con un plazo de hasta 6 meses para adecuar su
funcionamiento a las disposiciones allí contenidas.

2.1.3.- La autorización previa y expresa del sujeto concernido es el

fundamento legítimo para el tratamiento de datos personales semi-
privados (como son los relacionados con el comportamiento
financiero, comercial y crediticio). Si no se cuenta con una
autorización de estas características, no es posible, lícitamente,
obtener, compilar, sustraer, ofrecer, vender, intercambiar, enviar,
comprar, interceptar, divulgar, modificar o emplear la mencionada
información, conforme lo dispuesto por el artículo 269F del Código
Penal.

2.- Segunda pregunta: ¿En el caso de las refinanciaciones es necesario realizar el

retiro total de la información negativa reportada a la central de riesgo, por la
novación generada en esta refinanciación o simplemente basta con la
normalización del reporte anterior ante las centrales de riesgo?:

2.1.- Ni la norma ni la sentencia se pronuncian respecto de este tema. La Ley de

Habeas Data establece que el Gobierno Nacional deberá reglamentar la forma
en la cual se presentará la información de los titulares de la misma. A la fecha
no se han expedido los decretos reglamentarios correspondientes.

2.2.- No obstante, podemos indicarle que si la reestructuración del crédito se logra

dentro del periodo de transición previsto en la Ley de Habeas Data, serán
aplicables las reglas indicadas en el artículo 21 de la norma.

3.- Tercera pregunta: En el artículo 8 de la Ley 1266/08 numeral 4 se establece que

cada fuente de información debe establecer (sic) una fecha específica para
realiza (sic) el desbloqueo y el bloqueo ante las centrales de riesgo y en nuestro
caso dicha fecha corresponde cada 30 días calendario, desde el pago hasta el
desbloqueo que termino (sic) tengo exactamente para presentar este desbloqueo:
3.1.- El numeral 4 del artículo 8° de la Ley 1266 de 2008 impone a las fuentes de la
información la siguiente obligación:

“Diseñar e implementar mecanismos eficaces para reportar oportunamente la

información al operador.” (Subrayas fuera de texto original)

3.2.- Es preciso aclarar que la norma no establece fechas o términos específicos, ni

indica qué mecanismos deben ser implementados por las fuentes de la
información.

3.3.- Esta disposición debe entenderse en concordancia con el artículo 12 de la

misma Ley, que establece que las fuentes: (i) deben actualizar mensualmente la
información suministrada al operador, y (ii) sólo pueden efectuar el reporte
transcurridos 20 días calendario siguientes al envío de la comunicación de que
allí se trata, al afectado.

3.4.- Sobre esta obligación, la Corte Constitucional indicó que:

“La realización de los deberes que se le asignan a las fuentes de información

supone naturalmente, la implementación de mecanismos y procedimientos
técnicos u operativos para facilitar la gestión oportuna de las novedades. Es la
razón por la que el numeral 4 dispone como uno de los deberes de las fuentes
"Diseñar e implementar mecanismos eficaces para reportar oportunamente la
información al operador. Esta obligación está en la vía de realizar el principio
de calidad de los datos y contribuye a la vigencia de los derechos de
actualización y rectificación de los mismos, pues en ausencia de estos
mecanismos, probablemente su eficacia quedaría en entredicho.”

3.4.- En conclusión, cada fuente de información es autónoma para diseñar e

implementar los mecanismos que considere convenientes para reportar la
información al operador, siempre y cuando éstos le permitan hacerlo
oportunamente, esto es, cumpliendo y desarrollando el principio establecido en
el literal b) del artículo 4° de la Ley, y de conformidad con los parámetros
establecidos en el artículo 12 de la misma.

(…).»