Habeas Data – Datos Personales – Privacidad

Proyecto de ley de habeas data para Colombia

Posted: junio 1st, 2007 | Author: | Filed under: Habeas Data, Proyecto de Ley | Comentarios desactivados

Texto de la ponencia para último debate del proyecto de ley sobre hábeas data

Acaba de ser presentada ponencia para último debate del proyecto de ley que tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, order actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, rx y los demás derechos, population health libertades y garantí­as constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales, así­ como el derecho a la información establecido en el artí­culo 20 de la Constitución, particularmente en relación con la información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses. De convertirse en ley esta iniciativa se aplicarí­a a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada.

Señala el proyecto de ley 221/07C 27/06S que la información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información. Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cuatro (4) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida. Ponentes: Representantes David Luna, Orlando Aní­bal Guerra, Carlos Fernando Motoa, entre otros.

INFORME DE PONENCIA PARA SEGUNDO DEBATE EN LA HONORABLE CíMARA DE REPRESENTANTES AL PROYECTO DE LEY ESTATUTARIA No. 221/07C 027/06S ACUMULADO CON EL No. 05/06S.

-Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses y se dictan otras disposiciones-.

Doctor
ALFREDO APE CUELLO BAUTE
Presidente
HONORABLE CíMARA DE REPRESENTANTES
Ciudad

REF: Informe de ponencia para segundo debate en la Honorable Cámara de Representantes del Proyecto de Ley Estatutaria No. 221/07C -“ 027/06S acumulado con el No. 05/06S. -Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses y se dictan otras disposiciones-.

Respetado Señor Presidente:

En atención a la designación hecha por el Señor Presidente de la Comisión Primera de la Honorable Cámara de Representantes, los suscritos ponentes nos permitimos presentar para la consideración y el segundo debate en la Plenaria de la Honorable Cámara de Representantes, el correspondiente Informe de Ponencia al Proyecto de Ley Estatutaria de la referencia, previas las siguientes consideraciones.

Atentamente,

DAVID LUNA SíNCHEZ ORLANDO ANIBAL GUERRA
Representante a la Cámara Representante a la Cámara

CARLOS FERNANDO MOTOA MIGUEL íNGEL RANGEL
Representante a la Cámara Representante a la Cámara

GUILLERMO RIVERA FLÓREZ JUAN DE JESUS CÓRDOBA
Representante a la Cámara Representante a la Cámara

I. Antecedentes y objetivo del proyecto de ley

En varias oportunidades, en el Congreso de la República se han presentado proyectos de ley para reglamentar y desarrollar el hábeas data, entendido como el derecho que tenemos todas las personas de -conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas -.

El presente proyecto de ley estatutaria, que ya surtió su trámite en el Honorable Senado de la República y en la Comisión Primera de la Cámara de Representantes, surge de la necesidad de reglamentar el artí­culo 15 constitucional, toda vez que en nuestro paí­s no existe en el momento una ley que regule las centrales de información, y los términos de permanencia de los datos en el historial crediticio de las personas.

En la actualidad, el manejo del habeas data y de las centrales de información son temas de vital importancia para la sociedad, por cuanto involucran la aplicación y el desarrollo de un derecho fundamental y son temas afectos a un número cada vez mayor de ciudadanos.

Es importante señalar que en estricto sentido jurí­dico, se tendrí­a que hablar de un proyecto de ley estatutaria que regulara todo el manejo de la información de manera integral: los datos relacionados con la seguridad social (salud y pensiones), el dato médico, los datos académicos y profesionales de las personas, los relacionados con su estado civil, etc.; pero por las necesidades actuales de la sociedad colombiana y por el estado de su evolución jurí­dica, se va a hablar primordialmente, y de hecho el proyecto así­ lo hace, del dato financiero, crediticio, comercial y de servicios.

La regulación jurí­dica de este tema, tiene connotaciones prácticas muy importantes, por cuanto en la vida cotidiana al realizar transacciones financieras, comerciales o de servicios, todos los ciudadanos vamos dejando rastro de nuestro historial comercial y crediticio, y ello genera consecuencias jurí­dicas y económicas.

Lo que se pretende con esta ley estatutaria es regular el manejo de la información financiera, crediticia, comercial y de servicios permitiendo a las personas conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos; fijando unas obligaciones a los titulares de la información, a las fuentes, a los operadores y por supuesto a los usuarios. En el mismo sentido, fija los principios básicos bajo los cuales se deben desarrollar las actividades de consulta y manejo de la información, así­ como las reglas que se deben seguir para la circulación de la misma.

Un importante aspecto del proyecto de ley, lo constituye el procedimiento a seguir por parte de los ciudadanos, a efectos de tramitar alguna petición, consulta o reclamo respecto de la información que reposa en los bancos de datos, lo anterior permite materializar y hacer aplicable, en la práctica, el derecho constitucional contemplado en el artí­culo 15.

Al no existir en nuestro paí­s una reglamentación particular frente a este tema, históricamente nos hemos tenido que remitir a la jurisprudencia de la Honorable Corte Constitucional, quien ejerciendo la función del juez de tutela en la mayorí­a de los casos y como juez de constitucionalidad en otros, ha hecho algunos pronunciamientos en aras de la protección y garantí­a del derecho consagrado en el ya citado artí­culo. Pero bien vale la pena recordar que el nuestro es un paí­s que por tradición ha adoptado el sistema de derecho continental derecho francés o de derecho legislado, razón por la cual el legislador no puede ser ajeno al compromiso de reglamentar la materia por la ví­a constitucionalmente idónea, la de la ley estatutaria, como se pasa a explicar a continuación.

II. La Ley Estatutaria como el mecanismo jurí­dico idóneo para reglamentar el habeas data

En el sistema constitucional colombiano están reconocidas tres categorí­as de leyes: las ordinarias (Art. 150 de la Constitución Polí­tica), las orgánicas (Art. 151 Constitución Polí­tica) y las estatutarias (Art. 152 Constitución Polí­tica). Las primeras regulan la gran mayorí­a de temas respecto de los cuales se puede legislar, son genéricas y el constituyente no consideró oportuno establecer requisitos de procedimiento especiales o mayorí­as cualificadas para su aprobación.

Para las leyes orgánicas y para las estatutarias en cambio, el constituyente optó por regular su trámite con especificidades y requisitos adicionales a los de cualquier ley ordinaria, justamente por la importancia y por la trascendencia de los temas que se deben regular por la ví­a orgánica y por la ví­a estatutaria, los cuales se encuentran taxativamente enunciados en los artí­culos 151 y 152 de nuestra Carta Polí­tica.

Para el caso del presente proyecto, no conviene ahondar en el concepto de ley orgánica, pero sí­ en el de ley estatutaria toda vez que por estricto mandato constitucional los derechos fundamentales como el que aquí­ nos convoca se debe regular por este tipo de ley.

Artí­culo 152 de la Constitución Polí­tica:
-Mediante las leyes estatutarias, el Congreso de la República regulará las siguientes materias:
a) Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección;
b) Administración de justicia;
c) Organización y régimen de los partidos y movimientos polí­ticos; estatuto de la oposición y funciones electorales;
d) Instituciones y mecanismos de participación ciudadana.
e) Estados de excepción.
f) Un sistema que garantice la igualdad electoral entre los candidatos a la Presidencia de la República-
(-¦).
Es claro que nos encontramos frente a la reglamentación de un derecho fundamental, como se indicó al comienzo de esta ponencia y como lo ha reiterado la Corte Constitucional en varias oportunidades:
-El habeas data se ha entendido como la facultad que tiene cada persona para conocer, actualizar, bloquear, suprimir y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas , lo que constata su calidad de derecho fundamental- .
En consecuencia, es mediante una ley estatutaria que se debe regular el manejo de la información contenida en bases de datos personales.

Para una mayor comprensión de la importancia de este proyecto, se debe decir que estas leyes cuentan con las siguientes caracterí­sticas:

i.) Tienen trámite especial pues deben aprobarse por mayorí­a absoluta en las cámaras.

ii.) Se impone un lí­mite material y temporal al legislativo, ya que son de exclusiva expedición por el Congreso y su trámite se debe efectuar durante una misma legislatura.

iii.) Son revisadas por la Corte Constitucional, organismo que ejerce sobre estas leyes un control previo de constitucionalidad. Es muy importante señalar que esta determinación del Constituyente se debe a la importancia de los temas que se regulan por ley estatutaria y es una aplicación del sistema de los frenos y contrapesos propio de los Estados constitucionales modernos, para evitar las arbitrariedades que eventualmente pueda cometer el legislativo al regular un tema tan importante como los derechos fundamentales por ejemplo.

III. Iniciativa Legislativa. Viabilidad Constitucional del Proyecto.

El proyecto es de origen parlamentario, el contenido del mismo no genera vicios en cuanto a la facultad de iniciativa legislativa, toda vez que al revisar el contenido jurí­dico esencial del mismo no se advierte que exista un origen reservado o de iniciativa privativa del Gobierno, en los términos del artí­culo 154 constitucional. Razón por la cual cumple con el requisito de la viabilidad constitucional.

IV. Aspectos fundamentales del proyecto.

a. El proyecto de ley que se somete a consideración de la Plenaria de la Honorable Cámara de Representantes condensa el esfuerzo jurí­dico y el consenso de todos los actores involucrados en esta reglamentación que el Congreso debe llevar a buen término: titulares de la información, fuentes de la información, operadores y usuarios.

b. Es el mejor resultado jurí­dico y académico en la materia -“ desde la expedición de la Constitución de 1991, razón por la cual se deben unir esfuerzos para, de una vez por todas expedir la ley estatutaria. Las razones de esta afirmación se pasan a explicar a continuación:

Recoge desde su tí­tulo y objeto la intención de desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y especial la relacionada con información financiera, comercial, crediticia y de servicios.

Define a todas las personas y/o entidades vinculadas con el manejo de la información, bien sea como titular de la información, fuente de la información, operador o usuario.

Clasifica y define las categorí­as de datos: dato público, dato privado, dato semi -“ privado, dato personal. Enuncia y define los principios bajo los cuales debe operar la administración de los datos financieros, crediticios, comerciales y de servicios.

Establece los derechos de los titulares frente a los operadores de bancos de datos, frente a las fuentes de la información y frente a los usuarios. De igual forma establece los deberes de los operadores, de los usuarios y de las fuentes de información.

Regula el importante tema de la caducidad del dato o permanencia de la información estableciendo que la información positiva permanecerá de manera indefinida en los bancos de datos, y la negativa permanecerá por un término de cuatro (4) años.

Establece el procedimiento para tramitar las consultas, quejas y reclamos cuando se considere que la información contenida en las bases de datos debe ser objeto de actualización o corrección.

Impone a la Superintendencia de Industria y Comercio y a la Superintendencia Financiera la obligación de ejercer control y vigilancia sobre los operadores, fuentes y usuarios de la información de que trata el proyecto.

Facultan a las dos Superintendencias antes mencionadas para imponer sanciones consistentes en multas de carácter personal o institucional, cuando quiera que los operadores, las fuentes o los usuarios violen lo establecido en el presente proyecto de ley estatutaria.

c. De vital importancia para el manejo de la información contenida en las bases de datos personales es la obligación impuesta a éstas en el parágrafo tercero del artí­culo 15, según el cual -cuando un usuario u operador consulte el estado de un titular en las bases de datos de información financiera y crediticia, estas tendrán que dar información exacta sobre su estado actual, es decir, dar un reporte positivo de los usuarios que en el momento de la consulta están al dí­a en sus obligaciones y uno negativo de los que al momento de la consulta se encuentren en mora en una cuota u obligaciones-.

Los anteriores se constituyen en los aspectos jurí­dicos fundamentales del presente proyecto de ley estatutaria.

Comentarios al articulado aprobado por la Comisión Primera de la Honorable Cámara de Representantes.

Por criterios de técnica legislativa, por unidad de materia y para hacer acorde el contenido del proyecto con su tí­tulo, consideramos que al tí­tulo del proyecto se debe agregar la expresión -y la proveniente de terceros paí­ses-.

En consecuencia el tí­tulo quedará así­:

-Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses y se dictan otras disposiciones-.

Artí­culo 1. Objeto. Consideramos que debe agregarse la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantí­as constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artí­culo 15 de la Constitución Polí­tica, así­ como el derecho a la información establecido en el artí­culo 20 de la Constitución Polí­tica, particularmente en relación con la información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses.

Artí­culo 2. ímbito de aplicación. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes, porque el proyecto de ley se refiere a los datos de información personal registrados en un banco de datos, sean éstos administrados por entidades de naturaleza privada o pública. Igualmente hace unas exclusiones que se ajustan a las necesidades del paí­s.

Artí­culo 3. Definiciones. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes, por ajustarse al contenido que se desarrolla en el proyecto de ley y a lo establecido en el artí­culo 15 de nuestra Constitución Polí­tica.

Artí­culo 4. Principios. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representates, por contener los principios básicos para la administración de datos, y por ajustarse a los mandatos constitucionales.

Artí­culo 5. Circulación de la información. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes por ajustarse al contenido del proyecto de ley y a los mandatos constitucionales del artí­culo 15.

Artí­culo 6. Derechos de los titulares de la información. Consideramos que en el inciso segundo del parágrafo único de éste artí­culo se debe adicionar la expresión -comercial y se servicios- para ajustarlo al tí­tulo y al contenido del Proyecto. De igual forma en esta misma norma se debe adicionar la expresión -y el proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

Derechos de los titulares de la información. Los titulares tendrán los siguientes derechos:

1. Frente a los operadores de los bancos de datos:

1.1 Ejercer el derecho fundamental al hábeas data en los términos de la presente ley, mediante la utilización de los procedimientos de consultas o reclamos, sin perjuicio de los demás mecanismos constitucionales y legales.

1.2 Solicitar el respeto y la protección de los demás derechos constitucionales o legales, así­ como de las demás disposiciones de la presente ley, mediante la utilización del procedimiento de reclamos y peticiones.

1.3 Solicitar prueba de la certificación de la existencia de la autorización expedida por la fuente o por el usuario.

1.4 Solicitar información acerca de los usuarios autorizados para obtener información.

Parágrafo. La administración de información pública no requiere autorización del titular de los datos, pero se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.

La administración de datos semi privados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero, crediticio, comercial, de servicios y el proveniente de terceros paí­ses, el cual no requiere autorización del titular. En todo caso, la administración de datos semi privados y privados se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.

2. Frente a las fuentes de la información:

2.1 Ejercer los derechos fundamentales al hábeas data y de petición, cuyo cumplimiento se podrá realizar a través de los operadores, conforme lo previsto en los procedimientos de consultas y reclamos de esta ley, sin perjuicio de los demás mecanismos constitucionales o legales.

2.2 Solicitar información o pedir la actualización o rectificación de los datos contenidos en la base de datos, lo cual realizará el operador, con base en la información aportada por la fuente, conforme se establece en el procedimiento para consultas, reclamos y peticiones.

2.3 Solicitar prueba de la autorización, cuando dicha autorización sea requerida conforme lo previsto en la presente ley.

3. Frente a los usuarios:

3.1 Solicitar información sobre la utilización que el usuario le está dando a la información, cuando dicha información no hubiere sido suministrada por el operador.

3.2 Solicitar prueba de la autorización, cuando ella sea requerida conforme lo previsto en la presente ley.

Parágrafo. Los titulares de información financiera y crediticia tendrán adicionalmente los siguientes derechos:

Podrán acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia.

Así­ mismo, pueden acudir ante la autoridad de vigilancia para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la presente ley.

Artí­culo 7. Deberes de los operadores de los bancos de datos. Consideramos que debe mantenerse en la forma que fue aprobado por la Plenaria de la Comisión Primera de la Honorable Cámara de Representantes porque impone obligaciones a los operadores de los bancos de datos garantizando los derechos fundamentales de los titulares.

Artí­culo 8. Deberes de las fuentes de información. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes por ajustarse al objetivo del presente proyecto de ley y a los mandatos constitucionales.

Artí­culo 9. Deberes de los usuarios. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes por ajustarse al objetivo del presente proyecto de ley y a los mandatos constitucionales.

Artí­culo 10. Principio de favorecimiento a una actividad de interés público. Consideramos que en el inciso primero, en el parágrafo primero y en el parágrafo segundo de este artí­culo, debe agregarse la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

Principio de favorecimiento a una actividad de interés público. La actividad de administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, la protección de la confianza pública en el sistema financiero y la estabilidad del mismo, y genera otros beneficios para la economí­a nacional y en especial para la actividad financiera, crediticia, comercial y de servicios del paí­s.

Parágrafo 1* °. La administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses por parte de fuentes, usuarios y operadores deberá realizarse de forma que permita favorecer los fines de expansión y democratización del crédito. Los usuarios de este tipo de información deberán valorar este tipo de información en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no podrán basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores para adoptar decisiones frente a solicitudes de crédito.

La Superintendencia Financiera de Colombia podrá imponer las sanciones previstas en la presente ley a los usuarios de la información que nieguen una solicitud de crédito basados exclusivamente en el reporte de información negativa del solicitante.

Parágrafo 2º. La consulta de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses por parte del titular será gratuita por lo menos una vez al año, o cada vez que al titular de la información, se le haya negado una solicitud de crédito. Las polí­ticas o manuales internos del operador desarrollarán la presente disposición.

Por criterios de técnica legislativa, considero que antecediendo el artí­culo 11, se debe incluir el tí­tulo -De los bancos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses-.

Artí­culo 11. Requisitos especiales para los operadores. Consideramos que debe agregarse la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

Los operadores de bancos de datos de información financiera, crediticia, comercial de servicios y la proveniente de terceros paí­ses, que funcionen como entes independientes a las fuentes de la información, deberán cumplir con los siguientes requisitos especiales de funcionamiento:

1. Deberán constituirse como sociedades comerciales, entidades sin ánimo de lucro, o entidades cooperativas.

2. Deberán contar con un área de servicio al titular de la información, para la atención de peticiones, consultas y reclamos.

3. Deberán contar con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.

4. Deberán actualizar la información reportada por las fuentes con una periodicidad no superior a diez (10) dí­as calendario contados a partir del recibo de la misma.

Artí­culo 12. Requisitos especiales para las fuentes. Consideramos que debe agregarse la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

Las fuentes deberán actualizar mensualmente la información suministrada al operador, sin perjuicio de lo dispuesto en el Tí­tulo III de la presente ley.

El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así­ como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información enví­en a sus clientes.

En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) dí­as calendario siguientes a la fecha de enví­o de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y esta aún no haya sido resuelta.

Artí­culo 13. Permanencia de la información. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes por ajustarse al objetivo del presente proyecto de ley y a los mandatos constitucionales.

Artí­culo 14. Contenido de la información. Consideramos que en el inciso primero y en el parágrafo tercero debe agregarse la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

El Gobierno Nacional establecerá la forma en la cual los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, deberán presentar la información de los titulares de la información. Para tal efecto, deberá señalar un formato que permita identificar, entre otros aspectos, el nombre completo del deudor, la condición en que actúa, esto es, como deudor principal, deudor solidario, avalista o fiador, el monto de la obligación o cuota vencida, el tiempo de mora y la fecha del pago, si es del caso.

El Gobierno Nacional al ejercer la facultad prevista en el inciso anterior deberá tener en cuenta que en el formato de reporte deberá establecer que:

a) Se presenta reporte negativo cuando la(s) persona(s) naturales o jurí­dicas efectivamente se encuentran en mora en sus cuotas u obligaciones.

b) Se presenta reporte positivo cuando la(s) persona(s) naturales y jurí­dicas están al dí­a en sus obligaciones.

El incumplimiento de la obligación aquí­ prevista dará lugar a la imposición de las máximas sanciones previstas en la presente ley.
Parágrafo 1* °. Para los efectos de la presente ley se entiende que una obligación ha sido voluntariamente pagada, cuando su pago se ha producido sin que medie sentencia judicial que así­ lo ordene.

Parágrafo 2* °. Las consecuencias previstas en el presente artí­culo para el pago voluntario de las obligaciones vencidas, será predicable para cualquier otro modo de extinción de las obligaciones, que no sea resultado de una sentencia judicial.

Parágrafo 3* °. Cuando un usuario consulte el estado de un titular en las bases de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, estas tendrán que dar información exacta sobre su estado actual, es decir, dar un reporte positivo de los usuarios que en el momento de la consulta están al dí­a en sus obligaciones y uno negativo de los que al momento de la consulta se encuentren en mora en una cuota u obligaciones.

El resto de la información contenida en las bases de datos financieros, crediticios, comerciales, de servicios y la proveniente de terceros paí­ses, hará parte del historial crediticio de cada usuario, el cual podrá ser consultado por el usuario, siempre y cuando hubiere sido informado sobre el estado actual.

Parágrafo 4* °. Se prohí­be la administración de datos personales con información exclusivamente desfavorable.

Artí­culo 15. Acceso a la información por parte de los usuarios. Consideramos que debe agregarse la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

Acceso a la información por parte de los usuarios. La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses podrá ser accedida por los usuarios únicamente con las siguientes finalidades:

Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así­ como para la evaluación de los riesgos derivados de una relación contractual vigente.

Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadí­sticas.

Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.

Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información.

Por criterios de técnica legislativa, considero que antecediendo el artí­culo 16 se debe incluir el tí­tulo -Peticiones de consultas y reclamos-.

Artí­culo 16. Peticiones, Consultas y Reclamos. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes por ajustarse al objetivo del presente proyecto de ley y a los mandatos constitucionales.

Por criterios de técnica legislativa, considero que antecediendo el artí­culo 17 de debe incluir el tí­tulo -Vigilancia de los destinatarios de la ley-.

Artí­culo 17. Función de vigilancia. Consideramos que en el inciso primero, en el numeral primero y en el numeral sexto de este artí­culo, se debe adicionar la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley.

En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas pertinentes y las establecidas en la presente ley.

Para el ejercicio de la función de vigilancia a que se refiere el presente artí­culo, la Superintendencia de Industria y Comercio y la Superintendencia Financiera de Colombia, según el caso, tendrán en adición a las propias las siguientes facultades:

1. Impartir instrucciones y órdenes sobre la manera como deben cumplirse las disposiciones de la presente ley relacionadas con la administración de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, fijar los criterios que faciliten su cumplimiento y señalar procedimientos para su cabal aplicación.

2. Velar por el cumplimiento de las disposiciones de la presente ley, de las normas que la reglamenten y de las instrucciones impartidas por la respectiva Superintendencia.

3. Velar porque los operadores y fuentes cuenten con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.

4. Ordenar a cargo del operador, la fuente o usuario la realización de auditorí­as externas de sistemas para verificar el cumplimiento de las disposiciones de la presente ley.

5. Ordenar de oficio o a petición de parte la corrección, actualización o retiro de datos personales cuando ello sea procedente, conforme con lo establecido en la presente ley. Cuando sea a petición de parte, se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o fue atendido desfavorablemente.

6. Iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses con el fin de establecer si existe responsabilidad administrativa derivada del incumplimiento de las disposiciones de la presente ley o de las órdenes o instrucciones impartidas por el organismo de vigilancia respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten pertinentes.

Artí­culo 18. Sanciones. Consideramos que en el inciso primero de este artí­culo se debe agregar la expresión -y la proveniente de terceros paí­ses- para hacer mención expresa a este tipo de información y facilitar la circulación internacional de datos.

La Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones:

Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mí­nimos mensuales legales vigentes al momento de la imposición de la sanción, por violación a la presente ley, normas que la reglamenten, así­ como por la inobservancia de las órdenes e instrucciones impartidas por dichas superintendencias. Las multas aquí­ previstas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la presente ley, así­ como por la inobservancia de las órdenes e instrucciones impartidas por las superintendencias mencionadas para corregir tales violaciones.

Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logí­stica, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión.

Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.

Artí­culo 19. Criterios para graduar las sanciones. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes, porque están ajustados al contenido y objeto del proyecto de ley, así­ como a los mandatos constitucionales, legales y jurisprudenciales existentes en materia de responsabilidad.

Por criterios de técnica legislativa, considero que antecediendo el artí­culo 20, se debe incluir el tí­tulo: -De las disposiciones finales-.

Artí­culo 20. Régimen de transición para las Entidades de Control. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes, porque están ajustados al contenido y objeto del proyecto de ley, así­ como a los mandatos constitucionales, legales y jurisprudenciales existentes en materia de responsabilidad.

Artí­culo 21. Régimen de transición. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes, por ser la norma genérica que se establece en todos los proyectos de ley.

Artí­culo 22. Vigencia y Derogatorias. Consideramos que debe mantenerse en la forma que fue aprobado por la Comisión Primera de la Honorable Cámara de Representantes, por ser la norma genérica que se establece en todos los proyectos de ley.

De los Honorables Representantes,

DAVID LUNA SíNCHEZ ORLANDO ANIBAL GUERRA
Representante a la Cámara Representante a la Cámara

CARLOS FERNANDO MOTOA MIGUEL íNGEL RANGEL
Representante a la Cámara Representante a la Cámara

GUILLERMO RIVERA FLÓREZ JUAN DE JESUS CÓRDOBA
Representante a la Cámara Representante a la Cámara

VI Pliego de Modificaciones

Someto a consideración de la Plenaria de la Honorable Cámara de Representantes, el siguiente texto con el pliego de modificaciones sugerido.

TEXTO PROPUESTO PARA SEGUNDO DEBATE EN CíMARA AL PROYECTO DE LEY ESTATUTARIA No. 221/07C 027/06S ACUMULADO CON EL No. 05/06S -Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses y se dictan otras disposiciones-.

T I T U L O I
OBJETO, DEFINICION Y PRINCIPIOS

Artí­culo 1* °. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantí­as constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artí­culo 15 de la Constitución Polí­tica, así­ como el derecho a la información establecido en el artí­culo 20 de la Constitución Polí­tica, particularmente en relación con la información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses.

Artí­culo 2* °. ímbito de aplicación. La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada.

Esta ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información registrada en bancos de datos de naturaleza pública, para fines estadí­sticos, de investigación o sanción de delitos o para garantizar el orden público.

Se exceptúan de esta ley las bases de datos que tienen por finalidad producir la Inteligencia de Estado por parte del Departamento Administrativo de Seguridad, DAS, y de la Fuerza Pública para garantizar la seguridad nacional interna y externa.

Los registros públicos a cargo de las cámaras de comercio se regirán exclusivamente por las normas y principios consagrados en las normas especiales que las regulan.

Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurí­dicas o naturales.

Artí­culo 3* °. Definiciones. Para los efectos de la presente ley, se entiende por:

a) Titular de la información. Es la persona natural o jurí­dica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantí­as a que se refiere la presente ley.

b) Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra í­ndole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. Si la fuente entrega la información directamente a los usuarios y no, a través de un operador, aquella tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos. La fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos.

c) Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. Por tanto el operador, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente.

d) Usuario. El usuario es la persona natural o jurí­dica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos.

e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurí­dica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semi privados o privados.

f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Polí­tica y todos aquellos que no sean semi privados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas.

g) Dato semi privado. Es semi privado el dato que no tiene naturaleza í­ntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Tí­tulo IV de la presente ley.

h) Dato privado. Es el dato que por su naturaleza í­ntima o reservada sólo es relevante para el titular.

i) Agencia de Información Comercial. Es toda empresa legalmente constituida que tenga como actividad principal la recolección, validación y procesamiento de información comercial sobre las empresas y comerciantes especí­ficamente solicitadas por sus clientes, entendiéndose por información comercial aquella información histórica y actual relativa a la situación financiera, patrimonial, de mercado, administrativa, operativa, sobre el cumplimiento de obligaciones y demás información relevante para analizar la situación integral de una empresa. Para los efectos de la presente ley, las agencias de información comercial son operadores de información y fuentes de información.

Parágrafo: A las agencias de información comercial, así­ como a sus fuentes o usuarios, según sea el caso, no se aplicarán las siguientes disposiciones de la presente ley: Numerales 2 y 6 del artí­culo 8, artí­culo 13, y artí­culo 15.

j) Información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses.

Para todos los efectos de la presente ley se entenderá por información financiera, crediticia, comercial de servicios y la proveniente de terceros paí­ses, aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, así­ como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero o los estados financieros del titular.

Artí­culo 4* °. Principios de la administración de datos. En el desarrollo, interpretación y aplicación de la presente ley, se tendrán en cuenta, de manera armónica e integral, los principios que a continuación se establecen:

a) Principio de veracidad o calidad de los registros o datos. La información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohí­be el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error.

b) Principio de finalidad. La administración de datos personales debe obedecer a una finalidad legí­tima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto.

c) Principio de circulación restringida. La administración de datos personales se sujeta a los lí­mites que se derivan de la naturaleza de los datos, de las disposiciones de la presente ley y de los principios de la administración de datos personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos.

Los datos personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o los usuarios autorizados conforme a la presente ley.

d) Principio de temporalidad de la información. La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

e) Principio de interpretación integral de derechos constitucionales. La presente ley se interpretará en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armoní­a y en un plano de equilibrio con el derecho a la información previsto en el artí­culo 20 de la Constitución y con los demás derechos constitucionales aplicables.

f) Principio de seguridad. La información que conforma los registros individuales constitutivos de los bancos de datos a que se refiere la ley, así­ como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, pérdida, consulta o uso no autorizado.

g) Principio de confidencialidad. Todas las personas naturales o jurí­dicas que intervengan en la administración de datos personales que no tengan la naturaleza de públicos están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

Artí­culo 5* °. Circulación de información. La información personal recolectada o suministrada de conformidad con lo dispuesto en la ley a los operadores que haga parte del banco de datos que administra, podrá ser entregada de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes términos:

a) A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes mediante el procedimiento de consulta previsto en la presente ley.

b) A los usuarios de la información, dentro de los parámetros de la presente ley.

c) A cualquier autoridad judicial, previa orden judicial.

d) A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.

e) A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.

f) A otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos. Si el receptor de la información fuere un banco de datos extranjero, la entrega sin autorización del titular sólo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del paí­s respectivo o el receptor otorgan garantí­as suficientes para la protección de los derechos del titular.

T I T U L O II

DERECHOS DE LOS TITULARES DE INFORMACION

Artí­culo 6* °. Derechos de los titulares de la información. Los titulares tendrán los siguientes derechos:

1. Frente a los operadores de los bancos de datos:

1.1 Ejercer el derecho fundamental al hábeas data en los términos de la presente ley, mediante la utilización de los procedimientos de consultas o reclamos, sin perjuicio de los demás mecanismos constitucionales y legales.

1.2 Solicitar el respeto y la protección de los demás derechos constitucionales o legales, así­ como de las demás disposiciones de la presente ley, mediante la utilización del procedimiento de reclamos y peticiones.

1.3 Solicitar prueba de la certificación de la existencia de la autorización expedida por la fuente o por el usuario.

1.4 Solicitar información acerca de los usuarios autorizados para obtener información.

Parágrafo. La administración de información pública no requiere autorización del titular de los datos, pero se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.

La administración de datos semi privados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero, crediticio, comercial, de servicios y el proveniente de terceros paí­ses el cual no requiere autorización del titular. En todo caso, la administración de datos semi privados y privados se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.

2. Frente a las fuentes de la información:

2.1 Ejercer los derechos fundamentales al hábeas data y de petición, cuyo cumplimiento se podrá realizar a través de los operadores, conforme lo previsto en los procedimientos de consultas y reclamos de esta ley, sin perjuicio de los demás mecanismos constitucionales o legales.

2.2 Solicitar información o pedir la actualización o rectificación de los datos contenidos en la base de datos, lo cual realizará el operador, con base en la información aportada por la fuente, conforme se establece en el procedimiento para consultas, reclamos y peticiones.

2.3 Solicitar prueba de la autorización, cuando dicha autorización sea requerida conforme lo previsto en la presente ley.

3. Frente a los usuarios:

3.1 Solicitar información sobre la utilización que el usuario le está dando a la información, cuando dicha información no hubiere sido suministrada por el operador.

3.2 Solicitar prueba de la autorización, cuando ella sea requerida conforme lo previsto en la presente ley.

Parágrafo. Los titulares de información financiera y crediticia tendrán adicionalmente los siguientes derechos:

Podrán acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia.

Así­ mismo, pueden acudir ante la autoridad de vigilancia para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la presente ley.

T I T U L O III

DEBERES DE LOS OPERADORES, LAS FUENTES
Y LOS USUARIOS DE INFORMACION

Artí­culo 7* °. Deberes de los operadores de los bancos de datos. Sin perjuicio del cumplimiento de las demás disposiciones contenidas en la presente ley y otras que rijan su actividad, los operadores de los bancos de datos están obligados a:

1. Garantizar, en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho de hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, y solicitar la actualización o corrección de datos, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos, conforme lo previsto en la presente ley.

2. Garantizar, que en la recolección, tratamiento y circulación de datos, se respetarán los demás derechos consagrados en la ley.

3. Permitir el acceso a la información únicamente a las personas que, de conformidad con lo previsto en esta ley, pueden tener acceso a ella.

4. Adoptar un manual interno de polí­ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los titulares.

5. Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular, cuando dicha autorización sea necesaria, conforme lo previsto en la presente ley.

6. Conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.

7. Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes, en los términos de la presente ley.

8. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la información, en los términos señalados en la presente ley.

9. Indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma y no haya finalizado dicho trámite, en la forma en que se regula en la presente ley.

10. Circular la información a los usuarios dentro de los parámetros de la presente ley.

11. Cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta en relación con el cumplimiento de la presente ley.

12. Los demás que se deriven de la Constitución o de la presente ley.

Artí­culo 8* °. Deberes de las fuentes de la información. Las fuentes de la información deberán cumplir las siguientes obligaciones, sin perjuicio del cumplimiento de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable.

2. Reportar, de forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

3. Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores.

4. Diseñar e implementar mecanismos eficaces para reportar oportunamente la información al operador.

5. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley.

6. Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente ley.

7. Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente ley.

8. Informar al operador que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma, con el fin de que el operador incluya en el banco de datos una mención en ese sentido hasta que se haya finalizado dicho trámite.

9. Cumplir con las instrucciones que imparta la autoridad de control en relación con el cumplimiento de la presente ley.

10. Los demás que se deriven de la Constitución o de la presente ley.

Artí­culo 9* °. Deberes de los usuarios. Sin perjuicio del cumplimiento de las disposiciones contenidas en la presente ley y demás que rijan su actividad, los usuarios de la información deberán:

1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada, en los términos de la presente ley.

2. Informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información.

3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.

4. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la presente ley.

5. Los demás que se deriven de la Constitución o de la presente ley.

Artí­culo 10. Principio de favorecimiento a una actividad de interés público. La actividad de administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, la protección de la confianza pública en el sistema financiero y la estabilidad del mismo, y genera otros beneficios para la economí­a nacional y en especial para la actividad financiera, crediticia, comercial y de servicios del paí­s.

Parágrafo 1* °. La administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, por parte de fuentes, usuarios y operadores deberá realizarse de forma que permita favorecer los fines de expansión y democratización del crédito. Los usuarios de este tipo de información deberán valorar este tipo de información en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no podrán basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores para adoptar decisiones frente a solicitudes de crédito.

La Superintendencia Financiera de Colombia podrá imponer las sanciones previstas en la presente ley a los usuarios de la información que nieguen una solicitud de crédito basados exclusivamente en el reporte de información negativa del solicitante.

Parágrafo 2º. La consulta de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses por parte del titular será gratuita por lo menos una vez al año, o cada vez que al titular de la información, se le haya negado una solicitud de crédito. Las polí­ticas o manuales internos del operador desarrollarán la presente disposición.

TíTULO IV

DE LOS BANCOS DE DATOS DE INFORMACIÓN FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAíSES.

Artí­culo 11. Requisitos especiales para los operadores. Los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses que funcionen como entes independientes a las fuentes de la información, deberán cumplir con los siguientes requisitos especiales de funcionamiento:

1. Deberán constituirse como sociedades comerciales, entidades sin ánimo de lucro, o entidades cooperativas.

2. Deberán contar con un área de servicio al titular de la información, para la atención de peticiones, consultas y reclamos.

3. Deberán contar con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.

4. Deberán actualizar la información reportada por las fuentes con una periodicidad no superior a diez (10) dí­as calendario contados a partir del recibo de la misma.

Artí­culo 12. Requisitos especiales para fuentes. Las fuentes deberán actualizar mensualmente la información suministrada al operador, sin perjuicio de lo dispuesto en el Tí­tulo III de la presente ley.

El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así­ como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información enví­en a sus clientes.

En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) dí­as calendario siguientes a la fecha de enví­o de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y esta aún no haya sido resuelta.

Artí­culo 13. Permanencia de la información. La información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información.

Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cuatro (4) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida.

Artí­culo 14. Contenido de la información. El Gobierno Nacional establecerá la forma en la cual los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, deberán presentar la información de los titulares de la información. Para tal efecto, deberá señalar un formato que permita identificar, entre otros aspectos, el nombre completo del deudor, la condición en que actúa, esto es, como deudor principal, deudor solidario, avalista o fiador, el monto de la obligación o cuota vencida, el tiempo de mora y la fecha del pago, si es del caso.

El Gobierno Nacional al ejercer la facultad prevista en el inciso anterior deberá tener en cuenta que en el formato de reporte deberá establecer que:

a) Se presenta reporte negativo cuando la(s) persona(s) naturales o jurí­dicas efectivamente se encuentran en mora en sus cuotas u obligaciones.

b) Se presenta reporte positivo cuando la(s) persona(s) naturales y jurí­dicas están al dí­a en sus obligaciones.

El incumplimiento de la obligación aquí­ prevista dará lugar a la imposición de las máximas sanciones previstas en la presente ley.
Parágrafo 1* °. Para los efectos de la presente ley se entiende que una obligación ha sido voluntariamente pagada, cuando su pago se ha producido sin que medie sentencia judicial que así­ lo ordene.

Parágrafo 2* °. Las consecuencias previstas en el presente artí­culo para el pago voluntario de las obligaciones vencidas, será predicable para cualquier otro modo de extinción de las obligaciones, que no sea resultado de una sentencia judicial.

Parágrafo 3* °. Cuando un usuario consulte el estado de un titular en las bases de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, estas tendrán que dar información exacta sobre su estado actual, es decir, dar un reporte positivo de los usuarios que en el momento de la consulta están al dí­a en sus obligaciones y uno negativo de los que al momento de la consulta se encuentren en mora en una cuota u obligaciones.

El resto de la información contenida en las bases de datos financieros, crediticios, comercial, de servicios y la proveniente de terceros paí­ses hará parte del historial crediticio de cada usuario, el cual podrá ser consultado por el usuario, siempre y cuando hubiere sido informado sobre el estado actual.

Parágrafo 4* °. Se prohí­be la administración de datos personales con información exclusivamente desfavorable.

Artí­culo 15. Acceso a la información por parte de los usuarios. La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses podrá ser accedida por los usuarios únicamente con las siguientes finalidades:

Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así­ como para la evaluación de los riesgos derivados de una relación contractual vigente.

Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadí­sticas.

Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.

Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información.

TITULO V

PETICIONES DE CONSULTAS Y RECLAMOS

Artí­culo 16. Peticiones, Consultas y Reclamos.

I. Trámite de consultas. Los titulares de la información o sus causahabientes podrán consultar la información personal del titular, que repose en cualquier banco de datos, sea este del sector público o privado. El operador deberá suministrar a estos, debidamente identificados, toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.

La petición, consulta de información se formulará verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos.

La petición o consulta será atendida en un término máximo de diez (10) dí­as hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) dí­as hábiles siguientes al vencimiento del primer término.

Parágrafo. La petición o consulta se deberá atender de fondo, suministrando integralmente toda la información solicitada.

II. Trámite de reclamos. Los titulares de la información o sus causahabientes que consideren que la información contenida en su registro individual en un banco de datos debe ser objeto de corrección o actualización podrán presentar un reclamo ante el operador, el cual será tramitado bajo las siguientes reglas:

1. La petición o reclamo se formulará mediante escrito dirigido al operador del banco de datos, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer. En caso de que el escrito resulte incompleto, se deberá oficiar al interesado para que subsane las fallas. Transcurrido un mes desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación o petición.

2. Una vez recibido la petición o reclamo completo el operador incluirá en el registro individual en un término no mayor a dos (2) dí­as hábiles una leyenda que diga -reclamo en trámite- y la naturaleza del mismo. Dicha información deberá mantenerse hasta que el reclamo sea decidido y deberá incluirse en la información que se suministra a los usuarios.

3. El término máximo para atender la petición o reclamo será de quince (15) dí­as hábiles contados a partir del dí­a siguiente a la fecha de su recibo. Cuando no fuere posible atender la petición dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los ocho (8) dí­as hábiles siguientes al vencimiento del primer término.

4. En los casos en que exista una fuente de información independiente del operador, este último deberá dar traslado del reclamo a la fuente en un término máximo de dos (2) dí­as hábiles, la cual deberá resolver e informar la respuesta al operador en un plazo máximo de diez (10) dí­as hábiles. En todo caso, la respuesta deberá darse al titular por el operador en el término máximo de quince (15) dí­as hábiles contados a partir del dí­a siguiente a la fecha de presentación de la reclamación, prorrogables por ocho (8) dí­as hábiles más, según lo indicado en el numeral anterior. Si el reclamo es presentado ante la fuente, esta procederá a resolver directamente el reclamo, pero deberá informar al operador sobre la recepción del reclamo dentro de los dos (2) dí­as hábiles siguientes a su recibo, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga -reclamo en trámite- y la naturaleza del mismo dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) dí­as hábiles siguientes a haber recibido la información de la fuente.

5. Para dar respuesta a la petición o reclamo, el operador o la fuente, según sea el caso, deberá realizar una verificación completa de las observaciones o planteamientos del titular, asegurándose de revisar toda la información pertinente para poder dar una respuesta completa al titular.

6. En caso que el titular no se encuentre satisfecho con la respuesta a la petición, podrá recurrir al proceso ordinario dentro de los términos legales pertinentes para debatir lo pertinente en la obligación reportada como incumplida. La demanda deberá ser interpuesta contra la fuente de la información la cual, una vez notificada de la misma, procederá a informar al operador dentro de los dos (2) dí­as hábiles siguientes, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga -información en discusión judicial- y la naturaleza de la misma dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) dí­as hábiles siguientes a haber recibido la información de la fuente y por todo el tiempo que tome obtener un fallo en firme. Igual procedimiento deberá seguirse en caso que la fuente inicie un proceso judicial contra el titular de la información, referente a la obligación reportada como incumplida, y éste proponga excepciones de mérito.

TíTULO VI

VIGILANCIA DE LOS DESTINATARIOS DE LA LEY

Artí­culo 17. Función de vigilancia. La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley.

En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas pertinentes y las establecidas en la presente ley.

Para el ejercicio de la función de vigilancia a que se refiere el presente artí­culo, la Superintendencia de Industria y Comercio y la Superintendencia Financiera de Colombia, según el caso, tendrán en adición a las propias las siguientes facultades:

1. Impartir instrucciones y órdenes sobre la manera como deben cumplirse las disposiciones de la presente ley relacionadas con la administración de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses fijar los criterios que faciliten su cumplimiento y señalar procedimientos para su cabal aplicación.

2. Velar por el cumplimiento de las disposiciones de la presente ley, de las normas que la reglamenten y de las instrucciones impartidas por la respectiva Superintendencia.

3. Velar porque los operadores y fuentes cuenten con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.

4. Ordenar a cargo del operador, la fuente o usuario la realización de auditorí­as externas de sistemas para verificar el cumplimiento de las disposiciones de la presente ley.

5. Ordenar de oficio o a petición de parte la corrección, actualización o retiro de datos personales cuando ello sea procedente, conforme con lo establecido en la presente ley. Cuando sea a petición de parte, se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o fue atendido desfavorablemente.

6. Iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, con el fin de establecer si existe responsabilidad administrativa derivada del incumplimiento de las disposiciones de la presente ley o de las órdenes o instrucciones impartidas por el organismo de vigilancia respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten pertinentes.

Artí­culo 18. Sanciones. La Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones:

Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mí­nimos mensuales legales vigentes al momento de la imposición de la sanción, por violación a la presente ley, normas que la reglamenten, así­ como por la inobservancia de las órdenes e instrucciones impartidas por dicha Superintendencia. Las multas aquí­ previstas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la presente ley, así­ como por la inobservancia de las órdenes e instrucciones impartidas por las Superintendencias mencionadas para corregir tales violaciones.

Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logí­stica, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión.

Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.

Artí­culo 19. Criterios para graduar las sanciones. Las sanciones por infracciones a que se refiere el artí­culo anterior se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) La dimensión del daño o peligro a los intereses jurí­dicos tutelados por la presente ley.

b) El beneficio económico que se hubiere obtenido para el infractor o para terceros, por la comisión de la infracción, o el daño que tal infracción hubiere podido causar.

c) La reincidencia en la comisión de la infracción.

d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio.

e) La renuencia o desacato a cumplir, con las órdenes impartidas por la Superintendencia de Industria y Comercio.

f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

TíTULO VII

DE LAS DISPOSICIONES FINALES

Artí­culo 20. Régimen de transición para las Entidades de Control. La Superintendencia de Industria y Comercio y la Superintendencia Financiera asumirán, seis (6) meses después de la entrada en vigencia de la presente ley, las funciones aquí­ establecidas. Para tales efectos, dentro de dicho término el Gobierno Nacional adoptará las medidas necesarias para adecuar la estructura de la Superintendencia de Industria, Comercio y Financiera dotándola de la capacidad presupuestal y técnica necesaria para cumplir con dichas funciones.

Artí­culo 21. Régimen de transición. Para el cumplimiento de las disposiciones contenidas en la presente ley, las personas que, a la fecha de su entrada en vigencia ejerzan alguna de las actividades aquí­ reguladas, tendrán un plazo de hasta seis (6) meses para adecuar su funcionamiento a las disposiciones de la presente ley.

Los titulares de la información que a la entrada en vigencia de esta ley estuvieren al dí­a en sus obligaciones objeto de reporte, y cuya información negativa hubiere permanecido en los bancos de datos por lo menos un año contado a partir de la cancelación de las obligaciones, serán beneficiarios de la caducidad inmediata de la información negativa.

A su vez, los titulares de la información que se encuentren al dí­a en sus obligaciones objeto de reporte, pero cuya información negativa no hubiere permanecido en los bancos de datos al menos un año después de canceladas las obligaciones, permanecerán con dicha información negativa por el tiempo que les hiciere falta para cumplir el año, contado a partir de la cancelación de las obligaciones.

Los titulares de la información que cancelen sus obligaciones objeto de reporte dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, permanecerán con dicha información negativa en los bancos de datos por el término de un (1) año, contado a partir de la fecha de cancelación de tales obligaciones. Cumplido este plazo de un (1) año, el dato negativo deberá ser retirado automáticamente de los bancos de datos.

El beneficio previsto en este artí­culo se perderá en caso que el titular de la información incurra nuevamente en mora, evento en el cual su reporte reflejará nuevamente la totalidad de los incumplimientos pasados, en los términos previstos en el artí­culo 13 de esta ley.

Artí­culo 22. Vigencia y derogatorias. Esta ley rige a partir de la fecha de publicación y deroga las disposiciones que le sean contrarias.

VII Proposición

Rendido el correspondiente informe de ponencia solicitamos respetuosamente a la Plenaria de la Honorable Cámara de Representantes DAR SEGUNDO DEBATE al presente proyecto de ley, acogiendo el pliego de modificaciones propuesto.

De los Honorables Representantes,

DAVID LUNA SíNCHEZ ORLANDO ANIBAL GUERRA
Representante a la Cámara Representante a la Cámara

CARLOS FERNANDO MOTOA MIGUEL íNGEL RANGEL
Representante a la Cámara Representante a la Cámara

GUILLERMO RIVERA FLÓREZ JUAN DE JESUS CÓRDOBA
Representante a la Cámara Representante a la Cámara

TEXTO APROBADO EN LA COMISION PRIMERA DE LA CAMARA DE REPRESENTANES DEL PROYECTO DE LEY ESTATUTARIA No. 221/07C 027/06S ACUMULADO CON EL No. 05/06S -POR LA CUAL SE DICTAN LAS DISPOSICIONES GENERALES DEL HABEAS DATA Y SE REGULA EL MANEJO DE LA INFORMACIÓN CONTENIDA EN BASES DE DATOS PERSONALES, EN ESPECIAL LA FINANCIERA, CREDITICIA, COMERCIAL Y DE SERVICIOS Y SE DICTAN OTRAS DISPOSICIONES-.

EL CONGRESO DE COLOMBIA

DECRETA

T I T U L O I
OBJETO, DEFINICION Y PRINCIPIOS

Artí­culo 1* °. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantí­as constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artí­culo 15 de la Constitución Polí­tica, así­ como el derecho a la información establecido en el artí­culo 20 de la Constitución Polí­tica, particularmente en relación con la información financiera y crediticia, comercial y de servicios.

Artí­culo 2* °. ímbito de aplicación. La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada.

Esta ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información registrada en bancos de datos de naturaleza pública, para fines estadí­sticos, de investigación o sanción de delitos o para garantizar el orden público.

Se exceptúan de esta ley las bases de datos que tienen por finalidad producir la Inteligencia de Estado por parte del Departamento Administrativo de Seguridad, DAS, y de la Fuerza Pública para garantizar la seguridad nacional interna y externa.

Los registros públicos a cargo de las cámaras de comercio se regirán exclusivamente por las normas y principios consagrados en las normas especiales que las regulan.

Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurí­dicas o naturales.

Artí­culo 3* °. Definiciones. Para los efectos de la presente ley, se entiende por:

a) Titular de la información. Es la persona natural o jurí­dica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantí­as a que se refiere la presente ley.

b) Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra í­ndole y que, en razón de autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. Si la fuente entrega la información directamente a los usuarios y no, a través de un operador, aquella tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos. La fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos.

c) Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. Por tanto el operador, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente.

d) Usuario. El usuario es la persona natural o jurí­dica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos.

e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurí­dica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semi privados o privados.

f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Polí­tica y todos aquellos que no sean semi privados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas.

g) Dato semi privado. Es semi privado el dato que no tiene naturaleza í­ntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Tí­tulo IV de la presente ley.

h) Dato privado. Es el dato que por su naturaleza í­ntima o reservada sólo es relevante para el titular.

i) Agencia de Información Comercial. Es toda empresa legalmente constituida que tenga como actividad principal la recolección, validación y procesamiento de información comercial sobre las empresas y comerciantes especí­ficamente solicitadas por sus clientes, entendiéndose por información comercial aquella información histórica y actual relativa a la situación financiera, patrimonial, de mercado, administrativa, operativa, sobre el cumplimiento de obligaciones y demás información relevante para analizar la situación integral de una empresa. Para los efectos de la presente ley, las agencias de información comercial son operadores de información y fuentes de información.

Parágrafo: A las agencias de información comercial, así­ como a sus fuentes o usuarios, según sea el caso, no se aplicarán las siguientes disposiciones de la presente ley: Numerales 2 y 6 del artí­culo 8, artí­culo 13, y artí­culo 15.

j) Información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses.

Para todos los efectos de la presente ley se entenderá por información financiera, crediticia, comercial, de servicios y la proveniente de terceros paí­ses, aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, así­ como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero o los estados financieros del titular.

Artí­culo 4* °. Principios de la administración de datos. En el desarrollo, interpretación y aplicación de la presente ley, se tendrán en cuenta, de manera armónica e integral, los principios que a continuación se establecen:

a) Principio de veracidad o calidad de los registros o datos. La información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohí­be el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error.

b) Principio de finalidad. La administración de datos personales debe obedecer a una finalidad legí­tima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto.

c) Principio de circulación restringida. La administración de datos personales se sujeta a los lí­mites que se derivan de la naturaleza de los datos, de las disposiciones de la presente ley y de los principios de la administración de datos personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos.

Los datos personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o los usuarios autorizados conforme a la presente ley.

d) Principio de temporalidad de la información. La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

e) Principio de interpretación integral de derechos constitucionales. La presente ley se interpretará en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armoní­a y en un plano de equilibrio con el derecho a la información previsto en el artí­culo 20 de la Constitución y con los demás derechos constitucionales aplicables.

f) Principio de seguridad. La información que conforma los registros individuales constitutivos de los bancos de datos a que se refiere la ley, así­ como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, pérdida, consulta o uso no autorizado.

g) Principio de confidencialidad. Todas las personas naturales o jurí­dicas que intervengan en la administración de datos personales que no tengan la naturaleza de públicos están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

Artí­culo 5* °. Circulación de información. La información personal recolectada o suministrada de conformidad con lo dispuesto en la ley a los operadores que haga parte del banco de datos que administra, podrá ser entregada de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes términos:

a) A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes mediante el procedimiento de consulta previsto en la presente ley.

b) A los usuarios de la información, dentro de los parámetros de la presente ley.

c) A cualquier autoridad judicial, previa orden judicial.

d) A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.

e) A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.

f) A otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos. Si el receptor de la información fuere un banco de datos extranjero, la entrega sin autorización del titular sólo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del paí­s respectivo o el receptor otorgan garantí­as suficientes para la protección de los derechos del titular.

T I T U L O II

DERECHOS DE LOS TITULARES DE INFORMACION

Artí­culo 6* °. Derechos de los titulares de la información. Los titulares tendrán los siguientes derechos:

1. Frente a los operadores de los bancos de datos:

1.1 Ejercer el derecho fundamental al hábeas data en los términos de la presente ley, mediante la utilización de los procedimientos de consultas o reclamos, sin perjuicio de los demás mecanismos constitucionales y legales.

1.2 Solicitar el respeto y la protección de los demás derechos constitucionales o legales, así­ como de las demás disposiciones de la presente ley, mediante la utilización del procedimiento de reclamos y peticiones.

1.3 Solicitar prueba de la certificación de la existencia de la autorización expedida por la fuente o por el usuario.

1.4 Solicitar información acerca de los usuarios autorizados para obtener información.

Parágrafo. La administración de información pública no requiere autorización del titular de los datos, pero se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.

La administración de datos semi privados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero y crediticio, el cual no requiere autorización del titular. En todo caso, la administración de datos semi privados y privados se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.

2. Frente a las fuentes de la información:

2.1 Ejercer los derechos fundamentales al hábeas data y de petición, cuyo cumplimiento se podrá realizar a través de los operadores, conforme lo previsto en los procedimientos de consultas y reclamos de esta ley, sin perjuicio de los demás mecanismos constitucionales o legales.

2.2 Solicitar información o pedir la actualización o rectificación de los datos contenidos en la base de datos, lo cual realizará el operador, con base en la información aportada por la fuente, conforme se establece en el procedimiento para consultas, reclamos y peticiones.

2.3 Solicitar prueba de la autorización, cuando dicha autorización sea requerida conforme lo previsto en la presente ley.

3. Frente a los usuarios:

3.1 Solicitar información sobre la utilización que el usuario le está dando a la información, cuando dicha información no hubiere sido suministrada por el operador.

3.2 Solicitar prueba de la autorización, cuando ella sea requerida conforme lo previsto en la presente ley.

Parágrafo. Los titulares de información financiera y crediticia tendrán adicionalmente los siguientes derechos:

Podrán acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia.

Así­ mismo, pueden acudir ante la autoridad de vigilancia para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la presente ley.

T I T U L O III

DEBERES DE LOS OPERADORES, LAS FUENTES
Y LOS USUARIOS DE INFORMACION

Artí­culo 7* °. Deberes de los operadores de los bancos de datos. Sin perjuicio del cumplimiento de las demás disposiciones contenidas en la presente ley y otras que rijan su actividad, los operadores de los bancos de datos están obligados a:

1. Garantizar, en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho de hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, y solicitar la actualización o corrección de datos, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos, conforme lo previsto en la presente ley.

2. Garantizar, que en la recolección, tratamiento y circulación de datos, se respetarán los demás derechos consagrados en la ley.

3. Permitir el acceso a la información únicamente a las personas que, de conformidad con lo previsto en esta ley, pueden tener acceso a ella.

4. Adoptar un manual interno de polí­ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los titulares.

5. Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular, cuando dicha autorización sea necesaria, conforme lo previsto en la presente ley.

6. Conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.

7. Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes, en los términos de la presente ley.

8. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la información, en los términos señalados en la presente ley.

9. Indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma y no haya finalizado dicho trámite, en la forma en que se regula en la presente ley.

10. Circular la información a los usuarios dentro de los parámetros de la presente ley.

11. Cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta en relación con el cumplimiento de la presente ley.

12. Los demás que se deriven de la Constitución o de la presente ley.

Artí­culo 8* °. Deberes de las fuentes de la información. Las fuentes de la información deberán cumplir las siguientes obligaciones, sin perjuicio del cumplimiento de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable.

2. Reportar, de forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

3. Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores.

4. Diseñar e implementar mecanismos eficaces para reportar oportunamente la información al operador.

5. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley.

6. Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente ley.

7. Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente ley.

8. Informar al operador que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma, con el fin de que el operador incluya en el banco de datos una mención en ese sentido hasta que se haya finalizado dicho trámite.

9. Cumplir con las instrucciones que imparta la autoridad de control en relación con el cumplimiento de la presente ley.

10. Los demás que se deriven de la Constitución o de la presente ley.

Artí­culo 9* °. Deberes de los usuarios. Sin perjuicio del cumplimiento de las disposiciones contenidas en la presente ley y demás que rijan su actividad, los usuarios de la información deberán:

1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada, en los términos de la presente ley.

2. Informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información.

3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.

4. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la presente ley.

5. Los demás que se deriven de la Constitución o de la presente ley.

Artí­culo 10 . Principio de favorecimiento a una actividad de interés público. La actividad de administración de información financiera, crediticia, comercial y de servicios está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, la protección de la confianza pública en el sistema financiero y la estabilidad del mismo, y genera otros beneficios para la economí­a nacional y en especial para la actividad financiera, crediticia, comercial y de servicios del paí­s.

Parágrafo 1* °. La administración de información financiera, crediticia, comercial y de servicios por parte de fuentes, usuarios y operadores deberá realizarse de forma que permita favorecer los fines de expansión y democratización del crédito. Los usuarios de este tipo de información deberán valorar este tipo de información en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no podrán basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores para adoptar decisiones frente a solicitudes de crédito.

La Superintendencia Financiera de Colombia podrá imponer las sanciones previstas en la presente ley a los usuarios de la información que nieguen una solicitud de crédito basados exclusivamente en el reporte de información negativa del solicitante.

Parágrafo 2º. La consulta de la información financiera, crediticia, comercial y de servicios por parte del titular será gratuita por lo menos una vez al año, o cada vez que al titular de la información, se le haya negado una solicitud de crédito. Las polí­ticas o manuales internos del operador desarrollarán la presente disposición.

Artí­culo 11. Requisitos especiales para los operadores. Los operadores de bancos de datos de información financiera, crediticia, comercial y de servicios, que funcionen como entes independientes a las fuentes de la información, deberán cumplir con los siguientes requisitos especiales de funcionamiento:

1. Deberán constituirse como sociedades comerciales, entidades sin ánimo de lucro, o entidades cooperativas.

2. Deberán contar con un área de servicio al titular de la información, para la atención de peticiones, consultas y reclamos.

3. Deberán contar con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.

4. Deberán actualizar la información reportada por las fuentes con una periodicidad no superior a diez (10) dí­as calendario contados a partir del recibo de la misma.

Artí­culo 12. Requisitos especiales para fuentes. Las fuentes deberán actualizar mensualmente la información suministrada al operador, sin perjuicio de lo dispuesto en el Tí­tulo III de la presente ley.

El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial y de servicios sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así­ como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información enví­en a sus clientes.

En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) dí­as calendario siguientes a la fecha de enví­o de la comunicación en la última dirección de domicilio del afectado que se encuentre registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y esta aún no haya sido resuelta.

Artí­culo 13. Permanencia de la información. La información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información.

Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cuatro (4) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida.

Artí­culo 14. Contenido de la información. El Gobierno Nacional establecerá la forma en la cual los bancos de datos de información financiera, crediticia, comercial y de servicios, deberán presentar la información de los titulares de la información. Para tal efecto, deberá señalar un formato que permita identificar, entre otros aspectos, el nombre completo del deudor, la condición en que actúa, esto es, como deudor principal, deudor solidario, avalista o fiador, el monto de la obligación o cuota vencida, el tiempo de mora y la fecha del pago, si es del caso.

El Gobierno Nacional al ejercer la facultad prevista en el inciso anterior deberá tener en cuenta que en el formato de reporte deberá establecer que:

a) Se presenta reporte negativo cuando la(s) persona(s) naturales o jurí­dicas efectivamente se encuentran en mora en sus cuotas u obligaciones.

b) Se presenta reporte positivo cuando la(s) persona(s) naturales y jurí­dicas están al dí­a en sus obligaciones.

El incumplimiento de la obligación aquí­ prevista dará lugar a la imposición de las máximas sanciones previstas en la presente ley.
Parágrafo 1* °. Para los efectos de la presente ley se entiende que una obligación ha sido voluntariamente pagada, cuando su pago se ha producido sin que medie sentencia judicial que así­ lo ordene.

Parágrafo 2* °. Las consecuencias previstas en el presente artí­culo para el pago voluntario de las obligaciones vencidas, será predicable para cualquier otro modo de extinción de las obligaciones, que no sea resultado de una sentencia judicial.

Parágrafo 3* °. Cuando un usuario consulte el estado de un titular en las bases de datos de información financiera, crediticia, comercial y de servicios, estas tendrán que dar información exacta sobre su estado actual, es decir, dar un reporte positivo de los usuarios que en el momento de la consulta están al dí­a en sus obligaciones y uno negativo de los que al momento de la consulta se encuentren en mora en una cuota u obligaciones.

El resto de la información contenida en las bases de datos financieros, crediticios, comerciales o de servicios hará parte del historial crediticio de cada usuario, el cual podrá ser consultado por el usuario, siempre y cuando hubiere sido informado sobre el estado actual.

Parágrafo 4* °. Se prohí­be la administración de datos personales con información exclusivamente desfavorable.

Artí­culo 15. Acceso a la información por parte de los usuarios. La información contenida en bancos de datos de información financiera, crediticia, comercial y de servicios podrá ser accedida por los usuarios únicamente con las siguientes finalidades:

Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así­ como para la evaluación de los riesgos derivados de una relación contractual vigente.

Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadí­sticas.

Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.

Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información.

Artí­culo 16. Peticiones, Consultas y Reclamos.

I. Trámite de consultas. Los titulares de la información o sus causahabientes podrán consultar la información personal del titular, que repose en cualquier banco de datos, sea este del sector público o privado. El operador deberá suministrar a estos, debidamente identificados, toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.

La petición, consulta de información se formulará verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos.

La petición o consulta será atendida en un término máximo de diez (10) dí­as hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) dí­as hábiles siguientes al vencimiento del primer término.

Parágrafo. La petición o consulta se deberá atender de fondo, suministrando integralmente toda la información solicitada.

II. Trámite de reclamos. Los titulares de la información o sus causahabientes que consideren que la información contenida en su registro individual en un banco de datos debe ser objeto de corrección o actualización podrán presentar un reclamo ante el operador, el cual será tramitado bajo las siguientes reglas:

1. La petición o reclamo se formulará mediante escrito dirigido al operador del banco de datos, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer. En caso de que el escrito resulte incompleto, se deberá oficiar al interesado para que subsane las fallas. Transcurrido un mes desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación o petición.

2. Una vez recibido la petición o reclamo completo el operador incluirá en el registro individual en un término no mayor a dos (2) dí­as hábiles una leyenda que diga -reclamo en trámite- y la naturaleza del mismo. Dicha información deberá mantenerse hasta que el reclamo sea decidido y deberá incluirse en la información que se suministra a los usuarios.

3. El término máximo para atender la petición o reclamo será de quince (15) dí­as hábiles contados a partir del dí­a siguiente a la fecha de su recibo. Cuando no fuere posible atender la petición dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los ocho (8) dí­as hábiles siguientes al vencimiento del primer término.

4. En los casos en que exista una fuente de información independiente del operador, este último deberá dar traslado del reclamo a la fuente en un término máximo de dos (2) dí­as hábiles, la cual deberá resolver e informar la respuesta al operador en un plazo máximo de diez (10) dí­as hábiles. En todo caso, la respuesta deberá darse al titular por el operador en el término máximo de quince (15) dí­as hábiles contados a partir del dí­a siguiente a la fecha de presentación de la reclamación, prorrogables por ocho (8) dí­as hábiles más, según lo indicado en el numeral anterior. Si el reclamo es presentado ante la fuente, esta procederá a resolver directamente el reclamo, pero deberá informar al operador sobre la recepción del reclamo dentro de los dos (2) dí­as hábiles siguientes a su recibo, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga -reclamo en trámite- y la naturaleza del mismo dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) dí­as hábiles siguientes a haber recibido la información de la fuente.

5. Para dar respuesta a la petición o reclamo, el operador o la fuente, según sea el caso, deberá realizar una verificación completa de las observaciones o planteamientos del titular, asegurándose de revisar toda la información pertinente para poder dar una respuesta completa al titular.

6. En caso que el titular no se encuentre satisfecho con la respuesta a la petición, podrá recurrir al proceso ordinario dentro de los términos legales pertinentes para debatir lo pertinente en la obligación reportada como incumplida. La demanda deberá ser interpuesta contra la fuente de la información la cual, una vez notificada de la misma, procederá a informar al operador dentro de los dos (2) dí­as hábiles siguientes, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga -información en discusión judicial- y la naturaleza de la misma dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) dí­as hábiles siguientes a haber recibido la información de la fuente y por todo el tiempo que tome obtener un fallo en firme. Igual procedimiento deberá seguirse en caso que la fuente inicie un proceso judicial contra el titular de la información, referente a la obligación reportada como incumplida, y éste proponga excepciones de mérito.

Artí­culo 17. Función de vigilancia. La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial y de servicios en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley.

En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas pertinentes y las establecidas en la presente ley.

Para el ejercicio de la función de vigilancia a que se refiere el presente artí­culo, la Superintendencia de Industria y Comercio y la Superintendencia Financiera de Colombia, según el caso, tendrán en adición a las propias las siguientes facultades:

1. Impartir instrucciones y órdenes sobre la manera como deben cumplirse las disposiciones de la presente ley relacionadas con la administración de la información financiera, crediticia, comercial y de servicios, fijar los criterios que faciliten su cumplimiento y señalar procedimientos para su cabal aplicación.

2. Velar por el cumplimiento de las disposiciones de la presente ley, de las normas que la reglamenten y de las instrucciones impartidas por la respectiva Superintendencia.

3. Velar porque los operadores y fuentes cuenten con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.

4. Ordenar a cargo del operador, la fuente o usuario la realización de auditorí­as externas de sistemas para verificar el cumplimiento de las disposiciones de la presente ley.

5. Ordenar de oficio o a petición de parte la corrección, actualización o retiro de datos personales cuando ello sea procedente, conforme con lo establecido en la presente ley. Cuando sea a petición de parte, se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o fue atendido desfavorablemente.

6. Iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información financiera, crediticia, comercial y de servicios con el fin de establecer si existe responsabilidad administrativa derivada del incumplimiento de las disposiciones de la presente ley o de las órdenes o instrucciones impartidas por el organismo de vigilancia respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten pertinentes.

Artí­culo 18. Sanciones. La Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial y de servicios previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones:

Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mí­nimos mensuales legales vigentes al momento de la imposición de la sanción, por violación a la presente ley, normas que la reglamenten, así­ como por la inobservancia de las órdenes e instrucciones impartidas por dicha Superintendencia. Las multas aquí­ previstas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la presente ley, así­ como por la inobservancia de las órdenes e instrucciones impartidas por las Superintendencias mencionadas para corregir tales violaciones.

Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logí­stica, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión.

Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.

Artí­culo 19. Criterios para graduar las sanciones. Las sanciones por infracciones a que se refiere el artí­culo anterior se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) La dimensión del daño o peligro a los intereses jurí­dicos tutelados por la presente ley.

b) El beneficio económico que se hubiere obtenido para el infractor o para terceros, por la comisión de la infracción, o el daño que tal infracción hubiere podido causar.

c) La reincidencia en la comisión de la infracción.

d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio.

e) La renuencia o desacato a cumplir, con las órdenes impartidas por la Superintendencia de Industria y Comercio.

f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

Artí­culo 20. Régimen de transición para las Entidades de Control. La Superintendencia de Industria y Comercio y la Superintendencia Financiera asumirán, seis (6) meses después de la entrada en vigencia de la presente ley, las funciones aquí­ establecidas. Para tales efectos, dentro de dicho término el Gobierno Nacional adoptará las medidas necesarias para adecuar la estructura de la Superintendencia de Industria, Comercio y Financiera dotándola de la capacidad presupuestal y técnica necesaria para cumplir con dichas funciones.

Artí­culo 21. Régimen de transición. Para el cumplimiento de las disposiciones contenidas en la presente ley, las personas que, a la fecha de su entrada en vigencia ejerzan alguna de las actividades aquí­ reguladas, tendrán un plazo de hasta seis (6) meses para adecuar su funcionamiento a las disposiciones de la presente ley.

Los titulares de la información que a la entrada en vigencia de esta ley estuvieren al dí­a en sus obligaciones objeto de reporte, y cuya información negativa hubiere permanecido en los bancos de datos por lo menos un año contado a partir de la cancelación de las obligaciones, serán beneficiarios de la caducidad inmediata de la información negativa.

A su vez, los titulares de la información que se encuentren al dí­a en sus obligaciones objeto de reporte, pero cuya información negativa no hubiere permanecido en los bancos de datos al menos un año después de canceladas las obligaciones, permanecerán con dicha información negativa por el tiempo que les hiciere falta para cumplir el año, contado a partir de la cancelación de las obligaciones.

Los titulares de la información que cancelen sus obligaciones objeto de reporte dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, permanecerán con dicha información negativa en los bancos de datos por el término de un (1) año, contado a partir de la fecha de cancelación de tales obligaciones. Cumplido este plazo de un (1) año, el dato negativo deberá ser retirado automáticamente de los bancos de datos.

El beneficio previsto en este artí­culo se perderá en caso que el titular de la información incurra nuevamente en mora, evento en el cual su reporte reflejará nuevamente la totalidad de los incumplimientos pasados, en los términos previstos en el artí­culo 13 de esta ley.

Artí­culo 22. Vigencia y derogatorias. Esta ley rige a partir de la fecha de publicación y deroga las disposiciones que le sean contrarias.

En los anteriores términos fue aprobado el presente Proyecto de Ley Estatutaria, el dí­a 8 de mayo de 2007, según consta en el acta No. 33 de esa misma fecha. Igualmente el citado proyecto fue anunciado para discusión y votación el dí­a 25 de abril de 2007, según consta en el acta No. 32 de esa misma fecha.

DAVID LUNA SANCHEZ
Ponente Coordinador

AMPARO YANETH CALDERON PERDOMO
Subsecretaria.


Comments are closed.