Definiciones

La Corte Constitucional lo definió como el derecho que otorga la facultad al titular de

datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión,
corrección, adición, actualización y certificación de los datos, así como la limitación en las
posibilidades de su divulgación, publicación o cesión, de conformidad con los principios que
regulan el proceso de administración de datos personales. Asimismo, ha señalado que este derecho
tiene una naturaleza autónoma que lo diferencia de otras garantías con las que está en permanente
relación, como los derechos a la intimidad y a la información.
¿Qué es el derecho de Hábeas Data?
El derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y
rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de
naturaleza pública o privada.
¿Quién es el titular de la información?
El titular de la información es la persona natural o jurídica a quien se refiere la
información que reposa en un banco de datos. Ejemplo: Un usuario que celebró el contrato de
prestación de servicio de comunicaciones.
¿Quién es la fuente de información?
La fuente de información es la persona, entidad u organización que recibe o conoce datos
personales de los titulares de la información, en virtud de una relación comercial o de servicio o de
cualquier otra índole y que, en razón de autorización legal o del titular, suministra esos datos a un
operador de información, el que a su vez los entregará al usuario final. Ejemplo: El proveedor de
servicios de comunicaciones.
Si la fuente entrega la información directamente a los usuarios, y no a través de un
operador, tendrá la doble condición de fuente y operador y asumirá los deberes y
responsabilidades de ambos.
¿Qué se entiende por vínculo de cualquier otra índole?
El vínculo de cualquier otra índole debe entenderse como aquel que genere una o más
obligaciones entre la fuente y el titular que legitime al primero a reportar información tanto
negativa como positiva del último por lo que es claro que, el contar solamente con la autorización
de reporte no genera obligación alguna entre la supuesta fuente y el reclamante; será requisito
indispensable la existencia de una obligación entre estos para que sea posible realizar un reporte.
¿Quién es el operador de la información?
Se denomina operador de información a la persona, entidad u organización que recibe de
la fuente datos personales sobre varios titulares de la información, los administra y los pone en
conocimiento de los usuarios bajo los parámetros de la ley. Ejemplo: Central de Información
Financiera CIFIN y Datacrédito.

¿Quién es el usuario de la información?

El usuario es la persona natural o jurídica que puede acceder a información personal de
uno o varios titulares de la información suministrada por el operador o por la fuente, o
directamente por el titular de la información. Ejemplo: Las entidades bancarias que solicitan la
información con el fin de analizar el riesgo crediticio, o los proveedores de servicios de
comunicaciones quienes pueden actuar como fuente de información, y asimismo como usuarios de
la misma.
¿Qué es un dato personal?
El dato personal se refiere a cualquier pieza de información vinculada a una o varias
personas determinadas o determinables o que puedan asociarse con una persona natural o
jurídica. Los datos personales pueden ser públicos, semiprivados o privados.
Los datos serán públicos cuando la ley o la Constitución así lo establezcan, y cuando no
sean de aquellos clasificados como semiprivados o privados. Son públicos, entre otros, los datos
contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas y los relativos
al estado civil de las personas.
El dato semiprivado es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo
conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector personas o a la
sociedad en general, como el dato financiero y crediticio.
El dato privado es el dato que por su naturaleza íntima o reservada sólo es relevante para
el titular.
¿Qué es el principio de finalidad?
El principio de finalidad, obliga a que las actividades de recolección de datos personales
obedezcan a una finalidad legítima de acuerdo con la Constitución y la ley. Con fundamento en
este principio la finalidad debe ser comunicada al titular de la información previa o concomitante
con el otorgamiento del titular de la autorización, cuando ella sea necesaria o, en general, siempre
que el titular solicite información al respecto.
¿En qué consiste la circulación restringida?
El principio de circulación restringida consiste en que a menos que la información sea
pública, los datos personales no podrán ser accesibles por Internet o por otros medios de
divulgación o comunicación masiva, salvo que dicho acceso sea técnicamente controlable para
brindar un conocimiento restringido sólo a los titulares o a los usuarios autorizados para ello.
¿Qué es la temporalidad de la información?
El principio de temporalidad de la información se refiere a la necesidad de que el dato del
titular no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad del banco
de datos.
¿Qué es el principio de interpretación integral de derechos
constitucionales?
La interpretación integral de derechos constitucionales, consiste en que la normas que
rigen los datos personales se interpretarán en el sentido que se amparen otros derechos
constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el
derecho a la intimidad y el derecho a la información. Asimismo, se refiere a que los derechos de
los titulares se interpretarán en armonía con el derecho a la información y demás derechos
constitucionales aplicables.
¿En qué consiste el principio de seguridad?
El principio de seguridad impone que en la información contenida en los bancos de datos,
así como aquella que resulte de las consultas que realicen los usuarios, se incorporen las medidas
técnicas necesarias para garantizar la seguridad de los registros, con el fin de evitar su
adulteración, pérdida, consulta o uso no autorizado.
¿Qué es el principio de confidencialidad?
El principio de confidencialidad en la información consiste en que todas las personas
naturales o jurídicas que intervengan en la administración de datos personales que no tengan
carácter público, están obligadas en todo tiempo a garantizar la reserva de la información,
inclusive después de finalizada su relación con alguna de las labores que comprende la
administración de datos, pudiendo sólo realizar el suministro o comunicación de datos cuando ello
corresponda al desarrollo de las actividades autorizadas.
¿La actual regulación sobre hábeas data se refiere a toda la
administración de los datos personales?
No. La regulación actual sobre hábeas data, Ley 1266 de 2008, constituye una regulación
parcial de este derecho, concentrada en las reglas para la administración de datos personales de
carácter financiero, comercial, de servicios y proveniente de terceros países, destinada al cálculo
del riesgo crediticio.
En ese sentido la recopilación, tratamiento y circulación de datos en materia de seguridad
social, asuntos tributarios, la realizada por las instituciones de inteligencia y seguridad del Estado,
el registro mercantil, etc., están amparadas por el artículo 15 de la Constitución y desarrolladas
por la jurisprudencia de la Corte Constitucional.
¿Qué autoridad ejerce la vigilancia de los operadores, las fuentes y
usuarios de la información?
Por regla general, la autoridad que ejerce la función de vigilancia de los operadores, las
fuentes y usuarios de la información crediticia, comercial, de servicios y la proveniente de terceros
países, en cuanto a la administración de datos personales es la Superintendencia de Industria y
Comercio. Sin embargo, cuando la fuente, usuario u operador sea una entidad vigilada por la
Superintendencia Financiera, será esta la entidad que ejerza dicha vigilancia, como es el caso de
las entidades bancarias.
¿Cuál es el plazo que tiene un operador para atender una consulta?
La petición o consulta será atendida en un término máximo de diez (10) días hábiles
contados a partir de la fecha de recibo. Cuando no fuere posible atender la petición o consulta
dentro de dicho término, se podrá prorrogar el anterior plazo por cinco (5) días hábiles más,
previa justificación al interesado y señalando la fecha en que se atenderá la petición.
¿En qué casos es posible que el operador de un banco de datos
pueda suministrar la información que administra?
La información personal que reposa en los bancos de datos, podrá ser entregada por el
operador que la administra de manera verbal, escrita, o puesta a disposición de las siguientes
personas y en los siguientes casos:
A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes.
A los usuarios de la información, en los casos que se haya obtenido autorización del titular
o, en aquellos establecidos expresamente en la ley .
A cualquier autoridad judicial, previa orden judicial.
A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información
corresponda directamente al cumplimiento de alguna de sus funciones.
A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o
administrativa, cuando la información sea necesaria para el desarrollo de una investigación en
curso.
 A otros operadores de datos, cuando se cuente con autorización del titular.
A otros operadores de datos, sin ser necesaria la autorización del titular , siempre que el
banco de datos de destino tenga la misma finalidad que tiene el operador que entrega los datos.
A un operador que administre un banco de datos extranjero, sin autorización del titular,
siempre que se deje constancia escrita de la entrega de la información y previa verificación por
parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes
para la protección de los derechos del titular.
A otras personas autorizadas por la ley.
¿Es posible que la fuente únicamente reporte información
desfavorable?
No. La ley prohíbe expresamente que la administración de datos personales se limite a
información desfavorable. En ese sentido, será obligación de la fuente reportar al operador tanto
la información positiva como la negativa, así como será obligación de este último suministrar al
usuario igual tipo de información.

¿La información que reporte la fuente a los operadores debe ser

veraz?
Sí. La fuente de información tiene el deber de garantizar que la información que suministre
a los operadores de los bancos de datos sea veraz, completa, exacta, actualizada y comprobable.
También será su deber reportar en forma periódica y oportuna al operador, todas las
novedades respecto de los datos que previamente le haya suministrado, así como adoptar las
medidas necesarias para que la información suministrada se mantenga actualizada.
De igual forma, le corresponderá a la fuente rectificar aquella información que haya
suministrado de manera incorrecta al operador con el fin de cumplir con el principio de veracidad
y calidad de los registros o datos.
¿El operador tiene el deber de establecer que la información que le
remite la fuente es veraz?
No. El operador de la información debe asumir que el dato personal que le remite la fuente
es verdadero y su responsabilidad se limita a verificar que los datos reportados (i) estén
relacionados con información financiera, comercial y crediticia, (ii) sean pertinentes para el
cálculo del riesgo crediticio y (iii) sean completos, esto es, que no sea fraccionada o parcial.
Si bien la actividad de acopio de la información de los operadores no constituye una
operación neutra, ello no significa que el operador extienda su competencia a esferas que no le
corresponden y sea éste quien esté llamado a determinar si la obligación objeto de reclamo ha sido
pagada o se encuentra prescrita.
Sin perjuicio de lo anterior, será deber del operador cada vez que las fuentes reporten
novedades, realizar periódica y oportunamente la actualización y rectificación de los datos, así
como indicar en el respectivo registro individual que determinada información se encuentra en
discusión, cuando se haya presentado solicitud de rectificación o actualización por parte de su
titular.
¿Un usuario que consulta la información de una persona, debe
indicar la finalidad perseguida?
 Sí. El usuario que consulte la información de una persona contenida en una base de datos
debe indicar la finalidad para la cual consultó dicha información y si tal conducta se realizó en
cumplimiento del principio de finalidad legítima de la administración de datos personales, que no
es otro que contar con herramientas para el cálculo del riesgo crediticio (análisis del riesgo).
¿Es deber de la fuente contar con la autorización previa, libre y
expresa del titular de la información, para que se incluya su
información en las bases de datos?
Sí. La autorización dada por el titular de la información la cual debe ser previa, libre y
expresa, es requisito indispensable para que se incluya la información de los titulares en las bases
de datos, pues de lo contrario estaríamos en presencia de una violación del principio de libertad
consagrado a favor de los titulares. Será obligación de la fuente conservar copia o evidencia de la
respectiva autorización.
Será deber del operador solicitar semestralmente a la fuente la certificación de la
existencia de la autorización otorgada por el titular.
¿Qué sucede si una fuente de información no cuenta con la
autorización para realizar el reporte?
En el evento el que una fuente no cuente con la autorización del titular de la información
para realizar el reporte a un operador, deberá proceder eliminar todo tipo de información, positiva
o negativa, que hubiere reportado.
¿Qué sucede si una fuente de información no cuenta con los
soportes de la obligación?
En el caso en el que la fuente de información no cuente con los soportes de la obligación
debe abstenerse de realizar el reporte ya que es necesario que tenga certeza sobre la existencia y
las condiciones del crédito. En el evento de que tal reporte ya se haya efectuado, deberá proceder
eliminar todo tipo de información, positiva o negativa, que hubiere reportado.
En ese sentido, se pronunció la Corte Constitucional al señalar que no basta con que las
entidades que realicen el reporte tengan los registros contables que soporten la existencia de la
obligación, sino que, además, como condición para hacer el reporte y como medio para hacer
efectivo el derecho de las personas a conocer las circunstancias del mismo, deben contar con los
documentos de soporte, en los que conste la respectiva obligación.
¿La fuente puede realizar el reporte del dato negativo al operador
del banco de datos, sin informar previamente al titular de la
información?
No. El reporte de información negativa sobre incumplimiento de obligaciones de cualquier
naturaleza, que hagan las fuentes de información a los operadores de bancos de datos, sólo
procederá previa comunicación al titular de la información, con el fin de que éste pueda demostrar
o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la
obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos
periódicos que las fuentes de información envíen a sus clientes.
Las fuentes podrán pactar con los titulares de la información, otros mecanismos mediante
los cuales se dé cumplimiento al envío de la comunicación, siempre y cuando la comunicación
pueda ser objeto de consulta posteriormente, como por ejemplo los mensajes de datos.
En el evento en que se presentes moras sucesivas y continuas, la obligación de comunicar
previamente al titular de la información, se entenderá cumplida con la comunicación
correspondiente a la mora inicial.
 Las fuentes de información sólo podrán efectuar el reporte de la información transcurridos
veinte (20) días calendario a la fecha de envío de la comunicación en la última dirección de
domicilio del titular de la información que se encuentre registrada en los archivos de la fuente de
la información.