Nº. 4. Abril El Boletín de los Expertos en Cumplimiento Normativo. El habeas data financiero y las teleoperadoras

Transcripción

1 Nº. 4. Abril 2014 El Boletín de los Expertos en Cumplimiento Normativo El habeas data financiero y las teleoperadoras Nº. 1. Julio 2012

2 E n más de una ocasión ya hemos constatado la importancia de contar con un correcto ejercicio del derecho a proteger nuestros datos y preservar nuestra privacidad. La propia Constitución en su artículo 15 ya consagraba los derechos relativos al buen nombre y al habeas data. Derechos muy similares, pero que debemos diferenciar. Y es que el derecho al buen nombre se centra principalmente en que la información relativa a nuestra persona sea cierta y veraz. Por el contrario, el habeas data se caracteriza por dotarnos del derecho a conocer, actualizar y rectificar la información que se maneja de nosotros y que dicha información sea tratada siempre con rigor. En cuanto a la protección de datos, actualmente en Colombia contamos con dos leyes que nos protegen, la Ley Estatutaria 1266 de 2008 (Habeas Data) y la Ley Estatutaria 1581 de 2012 de Protección de Datos Personales. La conocida como Ley de Habeas Data regula el manejo de la información contenida en bases de datos personales, pero de manera especial a las que se refieren a bases de datos de carácter financiero, crediticio, comercial, de servicios y la proveniente de terceros países. Una ley de especial calado teniendo en cuenta el uso que actualmente grandes compañías les están dando a este tipo de datos. 1

3 Hablamos de empresas que para llevar a cabo su trabajo tratan cantidades ingentes de datos. Es el caso de compañías como las operadoras telefónicas que en su papel como fuentes de información reciben y conocen datos personales de titulares y reportan información (positiva y/o negativa) a operadores de información como DataCrédito o Cifin. La falta de diligencia a la hora de tratar datos y verificar la calidad de los mismos también supone uno de los grandes problemas actualmente, ya que se fomentan acciones como altas fraudulentas, usurpación de identidades, etc. Infracciones que han supuesto la imposición de más de 350 sanciones por parte de la Superintendencia en cuestión de menos de cinco años. La problemática actual radica en el momento que una operadora se encuentra con impagos en facturas y debe incorporar los datos del cliente en bases de datos de morosos. En este punto es cuando la ley exige, como veremos más adelante, una serie de pautas para tratar esta información debidamente. 2

4 El derecho a proteger nuestros datos actualmente está amparado en dos leyes fundamentalmente: la Ley Estatutaria 1266 de 2008 y la Ley Estatutaria 1581 de La Ley 1266 de 2008 conocida generalmente como Ley de Habeas Data se aplica a todos aquellos datos personales financieros, crediticios, comerciales y de servicios registrados en un banco de datos. A diferencia de la Ley Estatutaria 1581 de Protección de Datos Personales (LEPD), esta ley no es de aplicación cuando la información está relacionada con datos exclusivamente personales o domésticos (historiales clínicos, fotografías de personas, expedientes académicos, etc.). Por qué es importante esta ley? Gracias a ella se estableció un marco jurídico en donde se dictaminó el tiempo de permanencia que debe tener una información negativa en un banco de datos (Cifin y Data Crédito), así como los mecanismos a través de los cuales una persona puede interponer una consulta, una queja o un reclamo ante cualquier entidad que haya realizado un reporte ante una central de riesgos. En este sentido la ley exige que cuando 3

5 nos encontremos en una situación similar debamos ser informados de manera previa y expresa. La empresa podrá reportarnos en centrales de riesgo siempre y cuando se haya cumplido el deber de comunicación con un mínimo de veinte días de antelación a su inscripción. Este plazo que concede la normativa se da con el fin de que los afectados puedan ejercer su derecho de controvertir la obligación o realizar el pago para evitar ser reportados negativamente. En función de la actividad de un usuario, y según se establece en el artículo 13 de la Ley Estatutaria 1266 de 2008, una fuente de información crediticia (por ejemplo un banco) podría proporcionar dos tipos de datos: Información positiva: los reportes serán positivos siempre y cuando el individuo en cuestión esté al día de sus obligaciones. Esta información se mantiene de manera indefinida en los bandos de datos de operadores. superior a los dos años la información permanecerá con un máximo de cuatro años. Teniendo en cuenta estas pautas es importante recalcar que ningún tipo de información o reporte negativo podrá permanecer en una historia crediticia de manera indefinida. Si una empresa incumple con la normativa, cuáles son las sanciones a las que se enfrentaría? La Superintendencia de Industria y Comercio (SIC) y la Superintendencia Financiera son las figuras que la Ley de Habeas Data establece como los órganos competentes de control para este tipo de casos. Ambos podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial y de servicios sanciones que podrían alcanzar el equivalente a los mil quinientos salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Información negativa: aquella proporcionada en caso de incumplimiento. En este sentido la información será albergada en función del período incumplido. De esta forma, si el período es inferior a dos años, la permanencia será el doble de tiempo de la mora que comenzará a contabilizarse a partir de la fecha de pago de la cantidad requerida. En los casos que sean igual o 4

6 Por otra parte, también se podrá sancionar con la suspensión de las actividades del banco de datos (hasta 6 meses), con el cierre inmediato y definitivo o incluso con el cierre o clausura de operaciones del banco de datos cuando el sancionado no se haya adaptado a los requerimientos de la ley tras haber sido notificado. Según palabras de José Alejandro Bermúdez, Superintendente Delegado para la Protección de Datos Personales, la SIC se ha convertido en un canal efectivo de denuncias ya que tan solo desde 2009 se han impuesto más de 350 sanciones por el mal manejo de información financiera. Para ello, desde la Superindustria se ha querido recalcar la obligatoriedad por parte de las empresas de verificar los datos antes de ser reportados y comunicar a los afectados con la debida diligencia los posibles reportes antes de ser notificados ante las centrales de riesgo. Aspecto que ha propiciado recientes sanciones a empresas de telecomunicaciones como el caso de Colombia Telecomunicaciones, S.A (Movistar) y Comunicación Celular, S.A. (Comcel S.A.). En la sanción a Colombia Telecomunicaciones, S.A, la SIC optó por sancionar a la compañía con más de 766 millones de pesos (equivalentes a SMLMV) por no garantizar la calidad de los datos tratados. 5

7 Tras la investigación realizada, la Superintendencia comprobó que se estaban reportando datos a centrales de riesgo sin haber sido verificados. Es por ello que uno de los afectados por proporcionar datos negativos de manera errónea optó por denunciar su caso ante la Superintendencia demostrando que su identidad había sido suplantada. Posteriormente, así se verificó y la compañía informó a su cliente que sería excluido de las centrales de riesgo en un plazo máximo de cinco días. Sin embargo, Movistar nunca llegó a registrar dicha corrección demorándose en más de tres años en subsanar la incidencia al tener constancia de ella con motivo de la investigación de la SIC. No se hizo de manera oportuna, en este caso se tardaron más de tres años lo cual la Superintendencia entiende que es una negligencia gravísima de ese operador en hacer respetar los derechos de Habeas Data de ese consumidor, explicó el Superintendente de Industria y Comercio, Pablo Felipe Robledo. Al menos siete casos más salieron a la luz a raíz de los requerimientos de la Superindustria constatando una conducta negligente y reiterada por parte del operador. Otro de los procesos sancionadores recientes ha sido el de Comcel. La compañía en su día había reclamado una cuantía a un cliente que posteriormente mediante resolución de la propia SIC se ordenó no realizar el cobro con fecha de noviembre de La sorpresa se produjo cuando el afectado en abril de 2013 desea adquirir un inmueble que le es denegado por constar un reporte negativo por la supuesta deuda. La compañía, de este modo, había reportado en las bases de datos de las centrales de riesgo información negativa del titular relacionada con la obligación de la que ya había sido exonerado mediante resolución de la Superintendencia. Tras la investigación realizada se comprobó que la operadora había vulnerado el derecho de hábeas data del denunciante al no rectificar el estado de obligación y mantener reportados datos negativos por más de 51 dúas después de ejecutoriada la resolución que lo exoneraba. En este sentido, nos encontramos con una vulneración de los numerales 1 y 3 del artículo 8 de la Ley 1266 de 2008 relacionados con los deberes de las fuentes de información que determinan que las fuentes de información deberán cumplir con las siguientes obligaciones: 8.1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable. 6

8 8.3 Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores. Quedando acreditado que Comcel no se ha ajustado a los requerimientos exigidos se resolvió la investigación sancionando a la compañía con más de 11 millones de pesos (equivalentes a 20 SMLMV) 7

9 Nº. 4. Abril 2014 Nº. 1. Julio 2012

10 La amplia experiencia en Derecho Tecnológico y nuestra Comunidad con más de 500 Partners, nos sitúan como referente en el ámbito de la Protección de Datos de Carácter Personal con más de Adaptaciones realizadas y líderes indiscutibles en España. info@alcatraz.com.co Nº. 1. Julio 2012