Determinación del ámbito de ejercicio de competencias, funciones y facultades de la Superintendnecia Financiera de Colombia y la Superintendencia de Industria y Comercio en materia de protección de datos personales

En relación con la reciente sanción impuesta por la SIC a Cifin (Transunion) sobre el alcance de la protección de datos personales y la aplicación de la Ley 1266 (recientemente modificada) y la Ley 1581 de 2012.

Por: Andrés Felipe Contreras P.

Es innegable la preocupación que se tuvo durante la última década del siglo XX y la primera del XXI en relación con el tratamiento de la información personal que realizaban los sectores financieros aseguradores y comerciales y que estaba dirigido, principalmente, a enriquecer las bases de datos que definían los criterios de riesgo crediticio en dichos sectores. Con el devenir de los años, el incremento y auge potencializado, casi omnipresente, de sistemas de información digital y automatizada, las finalidades que originalmente dieron paso a la preocupación del legislador en materia de protección de datos personales, privacidad y habeas data, se quedarían cortas frente al uso de nuevas tecnologías y la producción masiva de datos e información derivada directamente de la identidad de las personas y de sus hábitos más comunes.

Bajo este supuesto, en la actualidad se da la convergencia de dos estatutos, complementarios entre sí, que tienen por objeto el desarrollo el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma[1].

De esta forma se tiene que respectivamente, con su objeto,  alcance, definiciones, principios y demás componentes imperativos para el adecuado tratamiento de datos personales, tanto la Ley Estatutaria 1581 de 2012 como su antecesora y aún vigente, la también estatutaria Ley 1266 de 2008, comparten los fundamentos jurídicos para que, tanto en el contexto general como en el especial de las actividades financieras y crediticias, se salvaguarde el derecho fundamental a la privacidad y la protección de los datos personales.

No obstante, pese a sus fundamentos diferenciadores, aún subsisten en 2020, a 8 y 12 años de la entrada en vigor de ambas normas, dudas referentes al ámbito de aplicación de las leyes 1581 y 1266 respectivamente.

Ejemplo lo anterior fue planteado mediante el asunto que se resolvió en la resolución 24913 de 2020[2] de la Superintendencia de Industria y Comercio el cual, tuvo resorte en un requerimiento adelantado por la Dirección de Investigación de Protección de Datos Personales de la SIC (Superintendencia de Industria y Comercio) originada en la falta de registro de bases de datos de la entidad financiera BANCO DE BOGOTÁ (vigilada por la Superfinanciera), en el Registro Nacional de Bases de Datos (RNBD).

Seguido de este llamado hecho por la SIC, la entidad financiera respondió en el sentido de señalar que el régimen de protección de datos personales consagrado en la Ley 1581 de 2012 no se aplica a las bases de datos reguladas por la Ley 1266 de 2008, en expresa referencia a la excepción declarada en el literal e) del artículo 2 de la Ley 1581 de 2012[3].

Adicionalmente, apoyo sus argumentos en varios puntos, a saber:  a) el artículo 17 de la Ley 1266 de 2008, establece que, cuando se trate de una entidad vigilada por la Superintendencia Financiera, será esta quien ejercerá la vigilancia de sus preceptos e impondrá las sanciones correspondientes, conforme a lo señalado en la Sentencia C-211 de 2008; b) la base de datos de los clientes del Banco Bogotá debe regirse por la regulación especial dispuesta en la Ley 1266 de 2008; que a diferencia de las bases de datos reguladas por la Ley 1581 de 2012, no incluye la obligación de inscripción en el Registro Nacional de Bases de Datos; c) la base de datos sin registrar, existe con anterioridad a la Ley 1581 de 2012 y versa sobre datos demográficos y/o de contacto de clientes del Banco que no modifican su naturaleza, y las normas que han de regirla por su finalidad crediticia y financiera.

Tal apreciación no es del todo distraída o conveniente, ya que,  junto con estos supuestos, si se revisa la literalidad del texto normativo de 2008, se tiene que para el ejercicio de los derechos de los titulares de información financiera y crediticia, estos podrán acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia y para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la presente ley[4]. En tal sentido, es apenas lógico que se entienda y en este caso, pretenda, que, si la autoridad de vigilancia de la entidad financiera es, por mandato legal, la Superfinanciera, sea esta misma quien asuma competencia específica y no residual, frente a las obligaciones relativas al tratamiento de datos personales en el sector.

No obstante, la SIC no pierde de vista el carácter sectorial y parcializado de la Ley 1266 de 2008, redireccionando a la entidad financiera, como en su momento lo hizo la Sentencia C-1011 de 2008, hacia  la idea de que la llamada ley de habeas data financiero, es llamada así porque, esta no puede, ni debe ser considerada como un régimen que regule, en su integridad, el derecho al habeas data ya que la misma se restringe a la administración de datos de índole comercial o financiera, destinada al cálculo del riesgo crediticio y que esta referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les de origen[5].

Con ello se deja claro que, aún con el limitado alcance de la ley 1266, esta norma no aplica exclusivamente a las entidades que realizan actividades financieras, bursátiles o aseguradoras ya que también se dirige a las empresas del sector real que tienen sistemas de información que les permiten validar el cumplimiento o incumplimiento de las obligaciones dinerarias de sus clientes, empleados y proveedores, como lo son, en el mayor de los casos, las empresas de servicios de comunicaciones. Así las cosas, se desvirtúa el argumento de que, en exclusiva, la ley de habeas data financiero se aplica de forma exclusiva y cerrada a las entidades vigiladas por la Superfinanciera.

Esto ultimo lleva a la que será la primera y más importante conclusión del presente escrito y es que, en aras de esclarecer el alcance, y limite a su vez, tanto de la ley 1581 como de la 1266, el criterio fundamental, más allá del tipo de datos tratados por el responsable, fuente, operador o usuario de estos, (que no deja de ser relevante para esta estimación), es el de la finalidad misma del tratamiento, no por la naturaleza de quien usa la información. En este tenor lo expone la resolución objeto de este análisis:

“Así las cosas, si una entidad financiera trata datos de sus clientes (número telefónico, dirección de correo electrónico, entre otros) para fines comerciales como ofrecerle sus bienes y servicios entonces se regirá por la ley 1581 de 2012 y será vigilada por la Superintendencia de Industria y Comercio”

Sumado a esta, se destacan otras conclusiones establecidas directamente por la SIC:

La Ley 1581 de 2012, y correlativamente, las facultades de la SIC, aplican a las entidades del sector financiero, asegurador y bursátil, entidades vigiladas por la Superfinanciera, cuando recolectan, usan, circulan o tratan datos personales para fines diferentes al cálculo del riesgo crediticio. Para este último fin o propósito, será aplicable la ley 1266 de 2008 y adquiere plena competencia la Superfinanciera.

Una base de datos y el sistema de información que la soporta puede contener al mismo tiempo diversa clase de información y esta a su vez, puede ser utilizada para múltiples fines como lo son el análisis de riesgo crediticio, el marketing y la publicidad. Cuando esto es así, se aplicará a dicha base las leyes 1266 de 2008 y 1581 de 2012.

Referencias:

[1] Artículo 1ro de la Ley 1581 de 2012. En el mismo sentido, el artículo 2do dela Ley 1266 de 2008, el cual reza: La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.

[2] Resolución de la Superintendencia de Industria y Comercio 24913 del 29 de mayo de 2020. Vista en: https://www.sic.gov.co/sites/default/files/boletin-juridico/Resoluci%C3%B3n%20n%C3%BAmero%2024913%20de%2029%20de%20mayo%20de%202020%20%28BANCO%20BOGOT%C3%81%29.pdf

[3] El régimen de protección de datos personales que se establece en la presente ley (1581 de 2012) no será de aplicación: (…) e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.

[4] Artículo 6 de la Ley 1266 de 2008.

[5] Artículo 3 de la Ley 1266 de 2008