HÁBEAS DATA

 




Generalidades

De acuerdo con la definición de Oscar Eduardo Pérez Fernández en su artículo “El Hábeas Data en Colombia: su desarrollo y conexidad con los derechos fundamentales”, la expresión viene del latín en donde Hábeas significa tener, exhibir, tomar y traer; y el Data significa datos, así expresa “que tengas (o traigas) los datos” o bien “conserva o guarda tus datos”; puede entenderse como: “eres dueño de tus datos”.

Es un derecho fundamental y una acción constitucional que tiene una persona natural o jurídica para conocer, actualizar y rectificar toda su información, bien sean datos personales o familiares, recopilado y almacenado por centrales de información, además de conocer el propósito de la información. Aplica para datos financieros, personales, crediticios, comerciales y datos registrados en bancos anotados en ficheros informáticos, electrónicos, telemáticos, públicos y privados. Los datos de historia clínica o domésticos, no se incluyen en esta ley.

El objetivo específico es el acceso a la información que tiene toda persona para poderla actualizar, rectificar o modificar, por lo que la entidad financiera que maneje estos datos debe protegerla con veracidad, conservando y custodiando debidamente los bancos de datos o archivos que los contienen, como una condición necesaria para el goce y la eficacia este derecho.

Los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos de manera ilícita. Al no estar de acuerdo con el manejo de los datos, el titular puede dirigirse con la Superintendencia de Industria y Comercio presentando documentos como copia de reclamación con fecha de radicado, copia de respuesta suministrada en caso de tenerla, identificación del titular, descripción de los hechos que dan lugar al reclamo, dirección del titular y documentos que soporten la queja.

La jurisprudencia de la Corte Constitucional expidió las leyes 1266 de 2008 y 1581 del 2012, las cuales desarrollaron el derecho al hábeas data, con el fin de ser protegido el derecho a la información, garantizando tanto el derecho a la intimidad como el derecho a la información.

LEY 1266 DE 2008

Datos personales para entidades financieras: forma de ejercer los derechos frente al reporte de información en las centrales de riesgo.

Esta ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información registrada en bancos de datos de naturaleza pública, para fines estadísticos, de investigación o sanción de delitos o para garantizar el orden público.

El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos.

El Hábeas Data financiero se refiere a todas las bases de datos que manejan las entidades financieras como bancos y cooperativas. Se aplica a todos los datos personales financieros, crediticios, comerciales y de servicios registrados en un banco de datos.

La información puede ser reportada ante una central de riesgo cuando se presente mora en la obligación, informando al usuario cuál es su deuda, cuál es la mora y que se hará el reporte negativo, sólo después de 20 días se puede hacer efectivo el reporte a la entidad financiera. La información contenida en una central de riesgo se puede actualizar a través de los siguientes pasos:

       El usuario debe verificar que la información es errónea o no fue comunicada. 

       Se hace la reclamación directamente a la entidad para que se haga la corrección de datos.

       Esta se dirige de inmediato a las centrales de riesgo para quitar el reporte si es necesario.

       En caso contrario se puede recurrir ante la Superintendencia de Industria y Comercio en caso de bancos y entidades financieras o a la Superintendencia Financiera en caso de entidades que no son bancos pero prestan servicios de microcréditos como un almacén de electrodomésticos.

 

Se puede consultar información ante los operadores para conocer la información que reposa en los bancos de datos, estas solicitudes deben ser atendidas dentro de los 10 días hábiles siguientes a la recepción. La solicitud de corrección siempre se hace a través del derecho de petición. Los datos personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o los usuarios autorizados conforme a la presente ley.

La información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información sea utilizada únicamente para los fines para los que le fue entregada, en los términos de la presente ley, informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información, conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento, cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la presente ley, los demás que se deriven de la Constitución o de la presente ley.

Los operadores deberán constituirse como sociedades comerciales, entidades sin ánimo de lucro, o entidades cooperativas, deberán contar con un área de servicio al titular de la información, para la atención de peticiones, consultas y reclamos, deberán contar con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley, deberán actualizar la información reportada por las fuentes con una periodicidad no superior a diez (10) días calendario contados a partir del recibo de la misma.

La petición, consulta de información se formulará verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos, será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Las personas que a la fecha de su entrada en vigencia ejerzan alguna de las actividades aquí reguladas, tendrán un plazo de hasta seis (6) meses para adecuar su funcionamiento a las disposiciones de la presente ley, los titulares de la información que a la entrada en vigencia de esta ley estuvieren al día en sus obligaciones objeto de reporte, y cuya información negativa hubiere permanecido en los bancos de datos por lo menos un año contado a partir de la cancelación de las obligaciones, serán beneficiarios de la caducidad inmediata de la información negativa.


Ley 1581 de 2012 



Datos personales; régimen general de protección de datos que comprende los tipos de bases de datos públicas y privadas que recogen, utilizan y circulan los datos personales. El término de datos personales hace referencia a cualquier dato que se tenga sobre una o varias personas como por ejemplo: un vídeo, información financiera, el correo electrónico personal, una fotografía, la dirección de residencia, etc. y existen 4 tipos de datos personales:

 

    1. Sensible: le interesan solo a la persona dueña de la información, pues afectan su integridad y su uso indebido puede generar discriminación; solo pueden ser usados con autorización de esa persona: origen étnico, partido político, historia clínica, datos biométricos, inclinación sexual y todos los datos de los menores de edad.
    2. Datos privados: son sólo relevantes para el titular: vídeos, fotografías, dirección, teléfono, correo electrónico y datos relacionados con su estilo de vida.
    3. Semiprivados: de interés particular, le interesan al titular y a cierto grupo de personas, incluyen datos privados pero pueden ser consultados por terceros: las historias crediticias y los datos financieros.
    4. Públicos: de interés general: documentos públicos, sentencias judiciales y los relativos al estado civil de las personas.

 

No se requiere autorización de datos personales cuando los requiera una entidad pública en ejercicio de sus funciones legales o por orden judicial, cuando los datos son de naturaleza pública como el registro civil, en casos de urgencia médica o sanitaria y para fines históricos, científicos o estadísticos.

 

La información es de carácter personal cuyo titular es el único a quien concierne esto, a pesar de que se encuentren registradas en bases de datos, por lo que no debe ser usada de manera indebida o indiscriminada, buscando siempre la protección de los derechos fundamentales del ciudadano. Las entidades públicas o privadas que quieran manejar estos datos, deben tener una autorización previa de la persona titular de los datos.

 

Hay un derecho a la autodeterminación informática, que consiste en que la persona autoriza la conservación, uso y circulación de sus datos y la libertad, especialmente la económica, ya que puede carecer de veracidad o no haber sido autorizada.

 

Si las entidades financieras necesitan hacer un reporte, deben tener autorización de tratamiento de datos, para reporte positivo o negativo. La información negativa aportada a las centrales de riesgo debe ser comunicada con 20 días de anticipación al usuario antes de ser reportado, para tener la opción de ser demostrada, efectuada o revertirla. En caso de no ser comunicada con anterioridad, la información debe ser eliminada inmediatamente sin perjuicios. El tiempo de permanencia de dicha información en las centrales, siendo una información positiva no tiene tiempo límite de permanencia, por el contrario en información negativa hay unos tiempos establecidos, en caso de que la deuda sea de un tiempo no mayor a 24 meses el reporte dura el doble de tiempo, y mayor a 24 meses, es de 4 años.

 

La consulta de esta información en las centrales de riesgo se puede realizar una sola vez al mes sin algún costo y no puede durar en tiempo indefinido el reporte de este, siempre se debe respetar los términos mencionados anteriormente. En caso de incumplimientos de estas obligaciones, se puede acudir a un juez a través de una acción de tutela para exigir la protección de sus datos personales.

 

Teniendo en cuenta que si no se está de acuerdo con el uso de sus datos, se puede dirigir a la Delegatura de protección de datos personales, los reclamos deben responderse con un término máximo de 15 días hábiles, al no ser así se puede dirigir a la Superintendencia de Industria y Comercio, demostrando que se realizó previo aviso a la entidad o sin ser resuelta, presentando los siguientes documentos:

       Copia de reclamación con fecha de radicado.

       Copia de respuesta suministrada en caso de tenerla.

       Identificación del titular.

       Descripción de los hechos que dan lugar al reclamo.

       Dirección del titular.

       Documentos que soporten la queja.

 

Por otra parte los tipos de información que ampara este derecho fundamental pueden ser de carácter financiero, comercial, de servicio y proveniente de terceros países, destinada a cálculo de riesgos de crédito.

 

Existen usos de datos que no requieren autorización, los cuales son:

       Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o judiciales.

       Datos de naturaleza pública.

       Casos de urgencia sanitaria o médica.

       Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

       Datos respecto al Registro civil de la persona.

 

Derechos del titular

      1. Conocer, rectificar y actualizar sus datos personales, en caso de que los mismos sean erróneos, falsos o estén desactualizados.
      2. Solicitar prueba de la autorización otorgada al responsable.
      3. Ser informado con previa solicitud respecto al uso que se le ha dado de los datos personales.
      4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones en caso de agotar el trámite de consulta o reclamo.
      5. Revocar la autorización y/o supresión del dato en caso de que no se respeten los principios, derechos y garantías constitucionales y legales.
      6. El titular puede consultar su información personal en cualquier base de datos, sea sector público o privado.

 

La correspondencia y demás formas de comunicación privadas son inviolables, sólo pueden ser interceptadas o revisadas mediante una orden judicial y en los casos que establezca la ley. Teniendo en cuenta la importancia del tema se expidió el decreto 1377 de 2013 que reglamenta parcialmente el Hábeas Data y establece entre otros lo siguiente:

       Los titulares de la información tienen derecho a encontrar de manera ágil y sencilla la información suministrada por ellos y que se encuentra bajo la administración de otros.

       Los ciudadanos podrán consultar de manera gratuita sus datos personales al menos una vez al mes y cada vez que se generen cambios en las políticas de tratamiento de datos.

       En caso de no recordar haberse inscrito en una base de datos, el dueño de la información podrá solicitar una prueba de la autorización inicial.

       El propietario de los datos tiene derecho a que se le describa para qué y cómo será utilizada su información.

 

Todo administrador de la información deberá designar una persona o área que asuma la protección de datos personales y debe dar trámite a las solicitudes de los ciudadanos. Los siguientes son quienes intervienen en el proceso de Hábeas Data:

       El titular de la información: El ciudadano que suministra voluntariamente su información.

       La fuente: El establecimiento que recibe los datos del ciudadano.

       Los operadores: Las centrales de riesgo que reciben los datos de la fuente y los administra.

       El usuario: El banco que accede a esta información o la utiliza.

 

Se puede determinar que el mecanismo del Hábeas Data se ha desarrollado jurisprudencialmente y que busca siempre la protección del usuario frente al manejo que le dan a su información personal, buscando siempre que los datos que se manejen sean verídicos y correspondan a la realidad, con el fin de evitar la causación de daños y perjuicios a los usuarios.

 Ley 2157 de 2021


Modifica la Ley 1266 de 2008.

La permanencia de la información positiva en las centrales de datos será indefinida y la negativa será el doble al tiempo de mora, por un tiempo máximo de 4 años en el momento que sea pagada la deuda o se extinga la obligación. Este tiempo de caducidad es en un tiempo de 8 años, después de este término, debe eliminarse de la base de datos por completo. Consultar esta información no genera ningún tipo de costo.

En caso de un análisis crediticio, las entidades financieras no se pueden basar únicamente en la información negativa del usuario y en caso contrario, la Superintendencia Financiera de Colombia puede realizar unas sanciones. Si se presenta el rechazo de una solicitud crediticia el usuario puede solicitar un informe donde justifique tal acción. Así mismo, esta información crediticia no se puede tener en cuenta para fines laborales.

El Artículo 7, modificando El artículo 16 de la Ley 1266, menciona que en caso de suplantación el titular puede solicitar una corrección adjuntando soportes y la entidad financiera tiene 10 días calendario para revisar y probar el delito y así establecer una denuncia, informando al titular la decisión de los efectos legales, de no ser así, se deberá entender que la solicitud ha sido aceptada. En caso de reporte debe reflejarse que el titular fue víctima de Falsedad Personal.

Por otra parte, si el titular realiza cumplimiento de la obligación durante el tiempo de 12 meses, de haberse dado vigencia esta ley, el reporte estará en la base de datos por un tiempo de 6 meses.

Las obligaciones que se dieron en el tiempo de pandemia entre 12 de marzo de 2020 y 31 de diciembre del mismo año, no serán reportadas por las entidades financieras, solo en caso del que titular informará y solicitará la reestructuración de la obligación.

La educación financiera que se logra establecer después de la vigencia de la presente Ley la debe manejar el Ministerio de Educación, El Ministerio de Comercio, Industria y turismo, la Superintendencia financiera, La Superintendencia de Industria y Comercio, las secretarías departamentales, distritales y municipales quienes establecen una estrategia para compartir y dar a conocer el material relacionado con conocimientos económicos y financieros a la población estudiantil.

A raíz de esto ha surgido un nuevo significado para el derecho de la intimidad, al honor o al olvido. Los datos de uso doméstico son aquellos que se solicitan por ejemplo, al ingresar a un edificio, no se necesita autorización previa pues no habrá un tratamiento de los datos, además de que se usan solo para un registro interno. El derecho al olvido es el derecho que se tiene para eliminar información que no se considere importante, que sea errónea o que pierda su utilidad.

Las sanciones por incumplimiento de esta ley pueden ser hasta de 2.000 SMMLV.