NOVEDADES EN MATERIA DE DATOS PERSONALES DE CONTENIDO CREDITICIO
Mediante resolución 28170 de 2022, la Superintendencia de Industria y Comercio – SIC – modifica el capítulo primero del título V de la Circular Única expedida por la SIC que contiene el derecho de las personas naturales y jurídicas a conocer, actualizar y rectificar la información comercial, crediticia y de servicios contenidas sobre en bases de datos. Lo anterior en atención a las modificaciones y disposiciones adicionadas por la Ley Estatutaria 2157 de 2021 la cual modifica la Ley estatutaria 1266 de 2008, en donde se regulan aspectos relativos al tratamiento de las bases de datos que contienen información financiera, crediticia y comercial:
- OBLIGACIÓN DE INDICAR EN EL RESPECTIVO REGISTRO INDIVIDUAL QUE DETERMINADA INFORMACIÓN SE ENCUENTRA EN DISCUSIÓN POR PARTE DEL TITULAR
Los operadores, esto es, las personas, entidades u organizaciones que reciben datos personales los administran y los ponen en conocimiento de los usuarios. (Ejemplo. Centrales de riesgo – Datacredito – CIFIN.) deben incluir en el historial crediticio de l(os) Titular(es) de los datos, todas las leyendas relacionadas con la discusión sobre su información.
Las leyendas de advertencia relacionadas con la discusión sobre la existencia y condiciones de la obligación a cargo del(os) Titular(es) de(los) datos y/o de la(s) víctima(s) de Falsedad Personal, deben permanecer en el historial crediticio siempre que exista previo pronunciamiento del Titular o exista decisión definitiva de la autoridad judicial competente o de la Superintendencia de Industria y Comercio (cuando sea el caso) o cuando caduque el reporte negativo (2, 4 u 8 años según sea el caso) en todo caso lo que ocurra primero.
- OBLIGACIONES DE LOS REPORTANTES A LA CENTRALES DE RIESGO DE IMPLEMENTAR MECANISMOS PARA EVITAR SUPLANTACIÓN DE LA IDENTIDAD.
Las personas, entidades u organizaciones que actúen como Fuentes de información, esto es, que tengan un vínculo comercial, de servicio o de cualquier otra índole con el Titular de la información o datos personales (Ejemplo. El proveedor de servicio de vigilancia) deben:
- Tener disponibles las pruebas para demostrar las razones del reporte de la información del titular a los Operadores o Centrales de Riesgo.
- Implementar mecanismos apropiados, efectivos y verificables para establecer la real identidad de las personas para evitar situaciones de suplantación de identidad.
- OBLIGACIONES DE LOS REPORTANTES (FUENTES) DE NOTIFICAR A LAS CENTRALES DE RIESGO (OPERADORES) EN LOS CASOS DE SUPLANTACIÓN DE LA IDENTIDAD.
Una vez radicada la solicitud de rectificación (derecho de habeas data) por falsedad personal, los reportantes (fuentes) deberán informar inmediatamente al Operador (Centrales de Riesgo) para que incluya la leyenda de «Víctima de Falsedad Personar, respecto del Titular de los datos o información personal.
- OBLIGACIÓN DE COMUNICACIÓN PREVIA AL TITULAR A TRAVÉS DEL MENSAJES DE DATOS.
Las normas de habeas data – Ley 1266 de 2008 y Ley 2157 de 2021 – prevén la obligación de realizar una comunicación previa al titular de los datos para efectuar el reporte ante los operadores (centrales de riesgo) Lo anterior siempre que se cumpla con lo establecido en la ley 527 de 1999 (define y reglamenta el acceso y uso de los mensajes de datos) y en todo caso, así sea en físico o por mensaje de datos deben ser como mínimo dos comunicaciones en dos (2) días diferentes y a partir de la segunda se contará un término de veinte (20) días para adelantar los reportes en Centrales de Riesgo u operadores de la información.
- OBLIGACIÓN DE LA ACTUALIZACIÓN INMEDIATA DE LA INFORMACIÓN NEGATIVA.
Las Fuentes (reportantes) y los Operadores (centrales de riesgo) deberán actualizar la información negativa o desfavorable que se encuentre en sus bases de datos y deben garanticen que dicha actualización se realiza de manera inmediata y simultánea con el retiro del dato negativo o con la cesación del hecho que generó la disminución de la medición.