3. ARTÍCULO 15
“Todas las personas tienen derecho a su intimidad
personal y familiar y a su buen nombre, y el Estado
debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en
bancos de datos y en archivos de entidades públicas y
privadas”
ARTÍCULO 20
“Derecho a la libertad de opinión, información y prensa.
Se garantiza a toda persona la libertad de expresar y
difundir su pensamiento y opiniones, la de informar y
recibir información veraz e imparcial, y la de fundar
medios masivos de comunicación (…)”
4.
5. o La Ley 1273 de 2009 creó un nuevo
bien jurídico denominado “de la
protección de la información y de
los datos”
o SANCIONES: pena de prisión de 48
a 96 meses y en multa de 100 a
1000 s.m.l.m.v.
6. SENTENCIA C-1011/08:
La ley estatutaria 1266 de 2008
“constituye una regulación parcial del derecho
fundamental de hábeas data, concentrada en las
reglas para la administración de datos
personales de carácter financiero destinados al
cálculo del riesgo crediticio”.
En consecuencia, “no puede considerarse como
un régimen jurídico que regule, en su integridad,
el derecho de hábeas data (…)”.
Naturaleza y alcance
7. Estructura de la Ley: VII Títulos
TÍTULO I: Aspectos generales: Objeto, ámbito de aplicación,
definiciones, principios de la administración de datos y circulación
de la información.
TÍTULO II: Derechos de los titulares de la información.
TÍTULO III: Deberes de los operadores, las fuentes y los usuarios
de información.
TÍTULO IV: De los bancos de datos de información financiera,
crediticia, comercial, de servicios y la proveniente de terceros
países.
TÍTULO V: Peticiones de consultas y reclamos.
TÍTULO VI: Vigilancia de los destinatarios de la Ley.
TÍTULO VII: Disposiciones Finales.
LEY 1266 DE 2008
8. LEY 1266 DE DICIEMBRE 31 DE
2008.
Artículo1° Objeto:
Desarrollar el derecho constitucional que tienen
todas las personas a conocer, actualizar y rectificar
las informaciones que se hayan recogido sobre
ellas en Bancos de Datos, y los demás derechos,
libertades y garantías constitucionales relacionadas
con la recolección, tratamiento y circulación de
datos personales a que se refiere el artículo 15 de
la Constitución Política, así como el derecho a la
información establecido en el artículo 20 de la
Constitución Política, particularmente en relación
con la información financiera y crediticia, comercial,
de servicios y la proveniente de terceros países.
9. Artículo 2°. Ámbito de aplicación. La
presente ley se aplica a todos los datos de
información personal registrados en un Banco
de Datos, sean estos administrados por
entidades de naturaleza pública o privada.
Artículo 3°. Definiciones. Para los efectos de la
presente ley, se entiende por:
a. Dato personal.
b. Dato semiprivado
c. Dato privado
10. Es el derecho que tienen todas las
personas de conocer, actualizar y
rectificar las informaciones que se
hayan recogido sobre ellas en
bancos de datos y los demás
derechos, libertades y garantías
constitucionales relacionadas con la
recolección, tratamiento y circulación
de datos personales (artículo 15 C.P.,
intimidad personal y familiar) así
como el derecho a la información
(artículo 20, libertad de expresión).
11. Es aplicable a todos los datos de información
personal registrados en bancos de datos que
sean administrados por entidades públicas y
privadas.
No es aplicable a los datos mantenidos en
el ámbito exclusivamente personal o
doméstico y aquellos que circulan
internamente.
13. PRINCIPIOS DEL HABEAS DATA
a. Principio de veracidad o calidad de los registros
o datos.
La información contenida en los bancos de datos debe
ser veraz, completa, exacta, actualizada, comprobable
y comprensible. Se prohíbe el registro y divulgación de
datos parciales, incompletos, fraccionados o que
induzcan a error.
b. Principio de finalidad.
c. Principio de circulación restringida.
Queda prohibida la divulgación indiscriminada de los
datos personales para evitar la creación de perfiles
virtuales. (LISTAS NEGRAS).
14. d. Principio de temporalidad de la
información.
e. Principio de interpretación integral de
derechos constitucionales
f. Principio de seguridad.
g. Principio de confidencialidad.
15. Titular de la información.
Fuente de información.
Operador de la
información.
Usuario
17. TITULAR DE LA INFORMACION
Es la persona natural o jurídica a quien se refiere la
información que reposa en un banco de datos y
sujeto al derecho de Habeas Data.
FUENTE DE LA INFORMACIÓN
Es la persona, entidad u organización que recibe,
conoce datos personales de los titulares de la
información, en virtud de una relación comercial o
de servicio o de cualquier otra índole y que, en
razón de autorización legal o del titular, suministra
esos datos a un operador de información, el que a
su vez entregará al usuario final; por ejemplo, los
bancos.
18. OPERADOR DE LA INFORMACIÓN
Es la persona, entidad u organización que recibe
la fuente de datos personales sobre varios
titulares de la información, los administra y los
pone en conocimiento de los usuarios bajo los
parámetros de la Ley; por ejemplo, CIFIN y
DATACRÉDITO.
USUARIO
Es la persona natural o jurídica que puede
acceder a información personal de uno o varios
titulares de la información suministrada por el
operador o la fuente, o directamente por el titular
de la información.
19. DATO PÚBLICO: Es el dato como tal según la ley o la
C.P. y que no sea semiprivado o privado (carácter
residual). Por ejemplo: los datos contenidos en
documentos públicos, sentencias judiciales
ejecutoriadas, etc.
DATO SEMIPRIVADO: Es el dato que no tiene
naturaleza íntima, reservada ni pública y cuyo
conocimiento o divulgación puede interesar no sólo a su
titular sino a un sector de personas; por ejemplo un dato
financiero y crediticio de actividad comercial o de
servicios.
DATO PRIVADO. Es el dato de naturaleza íntima y
reservada, que sólo es relevante para el titular.
20. DEBERES DE LAS FUENTES DE INFORMACIÓN
Que la información que suministre sea veraz, completa,
exacta, actualizada y comprobable.
Que la información sea reportada de forma periódica y
oportuna al operador.
Que se solicite y conserve copia de la autorización.
Que se resuelvan los reclamos y consultas teniendo en
cuenta las instrucciones de la norma.
21. A los titulares o las personas autorizados por estos y
a sus causahabientes.
A cualquier autoridad judicial (previa orden judicial)
A las entidades públicas del orden ejecutivo.
(Cuando sea en cumplimiento de sus funciones.)
A los órganos de control y demás dependencias de
investigación disciplinaria, fiscal o administrativa.
(Cuando sea necesaria para el desarrollo de una
investigación).
A otros operadores de datos (cuando se cuente con
autorización del titular).
¿ A QUIÉNES SE LES PUEDE
SUMINISTRAR INFORMACIÓN?
22. ¿CUÁNDO SE DEBE
SOLICITAR
LA AUTORIZACIÓN?
No se requiere cuando se trate de datos
públicos.
Es necesaria cuando se trate de datos
privados y semiprivados, salvo que se trate de
datos financieros, crediticios, comerciales, de
servicios y el proveniente de terceros países,
los cuales implican autorización del titular a las
fuentes pero no para los administradores.
23. REQUISITOS PARA
LAS FUENTES
1. Se debe actualizar mensualmente la información.
2. Reportar el incumplimiento de las obligaciones. Antes se le
debe informar al titular para que pueda demostrar o
efectuar el pago de la obligación, así como también para
poder controvertir la cuota y la fecha de exigibilidad.
3. Las fuentes de información pueden efectuar el reporte 20
días calendario siguientes al envío de la comunicación al
titular de la información.
El Gobierno Nacional establecerá la forma en la que se
debe presentar la información, esto es, diseñará un
formato que permita identificar el nombre completo, la
condición en que actúa, etc. .
24. INFORMACIÓN POSITIVA
Permanece de manera indefinida
INFORMACIÓN NEGATIVA
Término máximo de permanencia de 4 años.
a. Cuando hay pago:
Será el equivalente al duplo de la mora, respecto de
obligaciones que permanecieron en mora durante un
plazo corto; por ejemplo, la persona que estuvo en mora
por 2 meses, estará reportada por 4 meses. (H. Corte
Constitucional)
b. Cuando no hay pago:
4 años después de que se extinga la obligación por
cualquier modo, tales como prescripción, compensación,
novación o confusión. (H. Corte Constitucional)
25. Trámite especial y distinto al procedimiento del derecho
de Petición.
TRÁMITE DE CONSULTAS
a. ¿Quién y cómo se presenta? Cuando el titular quiera
conocer la información que repose en un banco de
datos. Se puede formular verbalmente o por escrito.
b. ¿Cuándo se debe responder? Máximo 10 días
hábiles contados a partir de la fecha de recibo. Cuando
no sea posible se debe informar y responder máximo 5
días hábiles siguientes.
26. ¿Quién y cómo se presenta?
Cuando el titular considere que la
información debe ser corregida o
actualizada. Se debe presentar por
escrito con la identificación del titular,
la descripción de los hechos que dan
lugar al reclamo, la dirección, etc.
Una vez recibida la petición ¿Qué se
debe hacer? Incluir en el registro
individual en los 2 días hábiles
siguientes una leyenda que diga
“reclamo en trámite”
¿Cuándo se debe responder?
Máximo 15 días hábiles contados a
partir del día siguiente a la fecha de
recibo. Cuando no sea posible se debe
informar y responder máximo 8 días
hábiles siguientes.
TRÁMITE PARA RECLAMOS
27. La Superintendencia de Industria y Comercio y la
Superintendencia Financiera de Colombia
¿QUÉ PUEDEN HACER LA SUPERINTENDENCIAS?
•Impartir instrucciones y órdenes de cómo se debe
cumplir la norma y velar por el cumplimiento de la misma.
•Ordenar la realización de auditorías externas para
verificar el cumplimiento de la norma.
•Ordenar la corrección, actualización o retiro de los datos
personales.
•Iniciar investigaciones administrativas.
28. EN CASO DE INCUMPLIMIENTO
¿QUÉ PASA?
La Superintendencia podrá imponer multas hasta
de 1.500 salarios mínimos legales mensuales
vigentes.
Suspensión de las actividades de los bancos de
datos, hasta por un término de 6 meses, cuando se
esté llevando a cabo la administración de la
información en violación grave de las condiciones y
requisitos previstos en la ley.
29. Se otorga los siguientes beneficios a las personas cuyos datos se
reportan a las centrales de información (las más grandes y conocidas
son CIFIN y DATACREDITO) :
o Antes el reporte negativo permanecía de manera indefinida en las
centrales de información. La ley establece un tiempo máximo de
permanencia para los reportes negativos, el cual no será en ningún
caso superior a 4 años.
o La ley estableció un régimen de transición con las siguientes
condiciones:
o Caducidad inmediata: estar al día, información más de un año en
capilla.
o Un año: sin cancelen sus obligaciones dentro de los seis (6) meses
siguientes a la entrada en vigencia de la ley, a partir de la fecha de
cancelación. Cumplido este plazo de un (1) año, serán retirados
automáticamente de los Bancos de Datos.
o Beneficio se perderá en caso que el titular incurra nuevamente en
mora, cual su reporte reflejará nuevamente la totalidad de los
incumplimientos pasados
30. INFORMACIÓN
NEGATIVA
= RESULTADO
Al día en sus
obligaciones
1 Año =
Exclusión de
información negativa de
inmediato
Al día en sus
obligaciones
-1 Año =
Exclusión de
información negativa
cuando cumpla el año
Al día en sus
obligaciones 6
meses después
de la
promulgación de
la Ley
No aplica =
Exclusión de
información negativa
cuando cumpla el año
después del pago
32. PROCEDENCIA DE LA ACCIÓN DE
TUTELA
Decreto 2591 de 1991.
Artículo 42°. Procedencia. La acción de tutela
procederá contra acciones u omisiones de los
particulares en los siguientes casos:
(…) 6. Cuando la entidad privada sea aquella
contra quien se hubiere hecho la solicitud en
ejercicio del hábeas data, de conformidad con
lo establecido en el artículo 15 de la
Constitución.” (Negrillas con intención).
Editor's Notes
Concordancia:
Ley 1266 de 2008
Ley 1288 de 2009. Artículo 1o. OBJETO Y ALCANCE. La presente ley tiene por objeto fortalecer el marco legal que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir adecuadamente con su misión constitucional y legal, estableciendo los límites y fines de sus actividades, los principios que las rigen, los mecanismos de control y supervisión, la regulación de sus bases de datos, la protección de sus miembros, la coordinación y cooperación entre sus organismos y los deberes de colaboración de las entidades públicas y privadas entre otras disposiciones.
El reporte a los bancos de datos debe ser previamente informado al suscriptor con señalamiento expreso de la obligación en mora que lo ha generado, el monto y el fundamento de la misma. Dicha comunicación debe efectuarse con una antelación de por lo menos veinte (20) días calendario a la fecha en que se produzca el reporte.
Si dentro de dicho término el suscriptor procede al pago de las sumas debidas o niega, bajo la gravedad del juramento, la existencia de la relación contractual con el operador, este último deberá abstenerse de efectuar el reporte.
En caso de que la negación de la relación contractual se produzca con posterioridad al reporte, el operador informará de inmediato a la entidad administradora del banco de datos que la información reportada se encuentra en discusión por parte de su titular.
En el evento que el reporte de datos se ponga en entredicho a causa de la negación del contrato, el afectado y el operador deberán adelantar todas las acciones pertinentes para determinar la veracidad de sus afirmaciones o en su defecto, estarse a la decisión definitiva proferida por las autoridades competentes.
El reporte a los bancos de datos no podrá realizarse sobre reclamaciones pendientes que tenga el suscriptor o usuario mientras no quede en firme la decisión sobre las mismas.
Los operadores deben reportar el pago al banco de datos a más tardar diez (10) días después del momento en que cese la mora”.
Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Ello no implica que no se aplique directamente a otros ámbitos en virtud de que ella contiene principios generales. Corte
la Corte debe advertir que lo anterior no significa, como lo consideran algunos de los intervinientes, que los demás ámbitos de ejercicio del derecho fundamental al hábeas data queden, en virtud de la promulgación de la ley estatutaria, excluidos de protección jurídica. En contrario, la Sala considera imprescindible expresar de antemano, como lo hará a propósito del análisis de constitucionalidad del artículo 2º del Proyecto de Ley, que las distintas modalidades de administración de datos personales, como es el caso de la recopilación, tratamiento y circulación de datos en materia de seguridad social, asuntos tributarios, la realizada por las instituciones de inteligencia y seguridad del Estado, el registro mercantil, las bases de datos de naturaleza tributaria, etc., continúan cobijadas por las garantías contenidas en el artículo 15 de la Constitución y desarrolladas por la jurisprudencia de la Corte, en ejercicio de las competencias previstas en el artículo 241 C.P.