Archivos de la etiqueta: Información Financiera

03Abr/19

Circular Única, de 28 de marzo de 2018, de la Superintendencia de Industria y Comercio.

Circular Única, de 28 de marzo de 2018, de la Superintendencia de Industria y Comercio.

TÍTULO V.- PROTECCIÓN DE DATOS PERSONALES (1)

CAPTÍTULO PRIMERO.- DERECHO DE HÁBEAS DATA PARA INFORMACIÓN FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAÍSES

El ámbito de aplicación de las siguientes instrucciones se contrae a lo dispuesto en el artículo 2 de la Ley Estatutaria 1266 de 2008, de conformidad con lo establecido por la Corte Constitucional en la sentencia C-1011 de 2008, respecto de los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países vigilados por esta Superintendencia.

1.1 Circulación de la información

1.1.1. Entrega de la información a los titulares, a las personas autorizadas por éstos y a sus causahabientes

De conformidad con lo establecido en el literal a) del artículo 5 de la Ley 1266 de 2008, las Entidades que administren bases de datos deben tomar todas las medidas de seguridad razonables para garantizar que la información personal contenida en ellas, sea suministrada, únicamente, a los titulares, a las personas debidamente autorizadas por éstos o a sus causahabientes.

Para tal efecto y como mínimo, los operadores deben tener en cuenta las siguientes reglas al momento de atender las peticiones o consultas que aquellos presenten:

a) Verificar la calidad de titular de quien formula verbalmente una petición o consulta, así:

(i) Si la petición o consulta se realiza personalmente, deberá dejarse constancia de la exhibición de cualquier documento idóneo que permita su identificación.

(ii) Si la petición o consulta se realiza telefónicamente, siempre que el operador de información tenga habilitada esta opción, deberá validarse una información del titular que permita su identificación y conservarse un registro de la conversación.

b) Verificar que las peticiones o consultas escritas estén debidamente suscritas por el titular, quien debe acreditar su calidad así:

(i) Mediante la exhibición de cualquier documento idóneo que permita su identificación; o,

(ii) A través de la presentación de documento que se encuentre debidamente autenticado mediante diligencia notarial de reconocimiento de contenido y firma (presentación personal); o

(iii) Por cualquier otro medio que permita su identificación.

c) Verificar que se allegue el respetivo poder, otorgado con las formalidades de ley, cuando la petición o consulta se presente por escrito, a través de mandatario, apoderado o persona autorizada.

d) Verificar la calidad de causahabiente del titular de la información cuando la petición se presente por escrito por éstos.

e) Verificar que las peticiones o consultas relacionadas con las personas jurídicas se encuentren debidamente suscritas por su representante legal, quien deberá probar su condición con el respectivo documento que acredite la existencia y representación legal de la misma y la exhibición de cualquier documento idóneo que permita su identificación.

No será necesario acompañar el documento que acredite la existencia y representación legal de la persona jurídica cuando el operador ya cuente con éste o cuando la información esté disponible a través del acceso a las bases de datos de las Entidades públicas o privadas que tengan a su cargo el deber de certificarla.

1.1.2. Entrega de información personal a las Entidades públicas del poder ejecutivo, a los órganos de control y demás dependencias de investigación disciplinaria, fiscal o administrativa cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.

De conformidad con lo establecido en los literales d) y e) del artículo 5 de la Ley 1266 de 2008, las entidades públicas del poder ejecutivo y los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa que soliciten información a un operador, deberán indicar en la correspondiente solicitud, de manera expresa e inequívoca, la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que les han sido conferidas por la ley relacionadas con dicha finalidad. Estas entidades, órganos y dependencias estarán sujetas al cumplimiento de los deberes de los usuarios de información, previstos en la ley.

1.2 Deberes de los operadores

1.2.1. Deber de garantizar en todo tiempo al titular de la información el pleno y efectivo ejercicio del derecho de hábeas data

Los operadores deben informar a los titulares de la información los derechos que la Ley 1266 de 2008 consagra en su favor y el procedimiento para la atención de peticiones, consultas y reclamos.

Para tal efecto, deben publicar tal información en sus sedes, en un lugar visible ubicado en las áreas de atención al público, y en su página web. La información se publicará en lenguaje sencillo de forma que pueda ser comprendida fácilmente por los titulares.

1.2.2. Deber de adoptar una manual interno de políticas y procedimientos, para garantizar el adecuado cumplimiento de la ley, en especial, para la atención de consultas y reclamos por parte de los titulares.

Con el objeto de verificar el cumplimiento de la obligación establecida en el numeral 4 del artículo 7 de la Ley 1266 de 2008, los operadores de información deben remitir a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio una copia del manual de políticas y procedimientos que hayan adoptado, dentro de los treinta (30) días siguientes a la entrada en vigencia de la presente resolución y, posteriormente, cada vez que realicen cualquier modificación al mismo.

La Superintendencia de Industria y Comercio podrá, en cualquier momento, hacer las observaciones pertinentes para que, si es del caso, el operador de información, en el término establecido por la Entidad, proceda a realizar los ajustes necesarios en aras de garantizar el adecuado cumplimiento de la ley así como el pleno y efectivo ejercicio de los derechos de hábeas data y de petición por parte de los titulares de información.

1.2.3. Deber de solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular.

Con el fin de verificar el cumplimiento de lo dispuesto en el numeral 5 del artículo 7 de la Ley 1266 de 2008, los operadores de información deben cumplir las siguientes instrucciones:

a) Dentro de los diez (10) primeros días hábiles de los meses de febrero y agosto de cada año deben enviar a la Delegatura para la Protección de Datos Personales de esta Superintendencia una constancia, con corte a 31 de diciembre y 30 de junio, suscrita por su representante legal, en la que se manifieste expresamente que cumplieron con el deber de solicitar a las fuentes de información la certificación semestral de la existencia de la autorización previa y expresa para el reporte de información en sus bases de datos.

b) Dentro de los diez (10) primeros días hábiles de los meses de marzo y septiembre de cada año deben remitir a la Delegatura para la Protección de Datos Personales de esta Superintendencia, en medio magnético, editable, en formatos de Excel, la relación de las fuentes que no cumplieron con la obligación de certificar la existencia de la autorización previa y expresa para el reporte de información de sus titulares. La citada relación debe contener, por lo menos:

(i) El nombre y/o razón social de la fuente de información incumplida.

(ii) El número de identificación.

(iii) La última dirección registrada por la fuente.

(iv) La fecha en la cual se envió la solicitud de remisión de la certificación de la existencia de la autorización previa y expresa.

c) En caso de que las fuentes no envíen la certificación semestral establecida en el numeral 5 del artículo 7 de la Ley 1266 de 2008, dentro del término previsto en el literal a) anterior, los operadores deberán bloquear toda la información reportada sobre la cual la fuente no haya remitido la certificación de que cuenta con autorización. Los operadores procederán a efectuar el bloqueo de la información en un término máximo de veinte (20) días hábiles siguientes al vencimiento del plazo respectivo. Una vez la fuente de información aporte la certificación semestral, el operador deberá desbloquear la información.

1.2.4. Deber de indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte del titular Con fundamento en el deber establecido en el numeral 9 del artículo 7 de la Ley 1266 de 2008 y teniendo en cuenta que la información que reposa en las bases de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, los operadores deben incluir en el historial crediticio de los titulares todas las leyendas relacionadas con la discusión sobre su información.

Las leyendas de advertencia relacionadas con la discusión sobre la existencia y condiciones de la obligación a cargo del titular y la posible suplantación de su identidad, deben permanecer en el historial crediticio hasta que exista pronunciamiento definitivo de la autoridad judicial competente o de la Superintendencia de Industria y Comercio, cuando sea el caso, o cuando caduque el reporte negativo, lo que ocurra primero.

1.3 Deberes de las fuentes de información

1.3.1. Deber de garantizar la calidad de la información que las fuentes suministran a los operadores de los bancos de datos y/o a los usuarios

Las fuentes de información deberán observar los siguientes lineamientos, tendientes a garantizar la calidad de la información que suministran a los operadores de los bancos de datos y/o a los usuarios:

a) Las personas, entidades u organizaciones que actúen como fuentes de información deben tener un vínculo comercial, de servicio o de cualquier otra índole con el titular cuya información reporta y, además, tener disponibles las pruebas necesarias para demostrarlo.

b) La información que reporten a los operadores debe corresponder a las condiciones reales de la obligación al momento del reporte, por lo que la información suministrada debe ser veraz, completa, exacta, actualizada y comprobable y estar sustentada mediante los soportes que permitan demostrar la existencia y las condiciones de la obligación a su favor. No puede reportarse información que carezca de los soportes que demuestren el origen, existencia y condiciones de la obligación. En caso de haberse efectuado el reporte sin contar con los soportes que permitan acreditar la existencia y condiciones de la obligación, deberá eliminarse la información una vez surtido el trámite del reclamo respectivo.

1.3.2. Deber de rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores

La fuente de información que establezca que en las bases de datos de los operadores es incorrecta la información reportada, deberá rectificarla o eliminarla directamente dentro de los cinco (5) días hábiles siguientes contados a partir del momento en que evidenció el error, o instruir al operador en dicho término para que rectifique o elimine dentro de los cinco (5) días siguientes de recibida la instrucción, sin perjuicio de las sanciones a que haya lugar.

1.3.3. Deber de solicitar y conservar copia de la respectiva autorización otorgada por los titulares de la información y de asegurarse de no entregar a los operadores ningún dato cuyo suministro no esté previamente autorizado

Con el fin de dar cumplimiento a lo establecido en el numeral 5 del artículo 8 de la Ley 1266 de 2008, las fuentes de información deben garantizar que todo reporte de información positiva o negativa que repose en la base de datos de un operador de información, sin excepción alguna, cuente con la autorización otorgada por su titular. Dicha autorización debe cumplir con los siguientes requisitos:

a) Ser expresa, es decir, contener la manifestación de una voluntad libre, específica e inequívoca que le permita a la fuente recopilar, disponer o divulgar la información crediticia del titular.

b) Ser previa, esto es, otorgada con antelación al reporte de la información.

La autorización previa y expresa a la que hace referencia el numeral 5 del artículo 8 de la Ley 1266 de 2008 puede ser otorgada de manera verbal o mediante documento físico o electrónico, siempre que cumpla con los siguientes requisitos:

(i) Que la fuente de la información identifique plenamente al titular en el momento en que se otorgue dicha autorización.

(ii) Que el titular exprese su voluntad de manera previa, libre, espontánea, específica e inequívoca en el sentido de autorizar a la fuente para recopilar, usar o divulgar su información.

(iii) Que se informe plenamente al titular acerca de la finalidad para la cual está otorgando la autorización.

(iv) En caso de que la autorización se otorgue por medios electrónicos, que la misma se ajuste a las previsiones contempladas en la Ley 527 de 1999 y demás normas aplicables.

(v) Que se conserve copia de la misma. En los casos en que la autorización se obtenga por vía telefónica, se deberá guardarse la respectiva grabación.

Cualquier dato positivo o negativo que repose en la base de datos de un operador de información sin contar con la autorización otorgada por su titular, debe ser eliminado de manera inmediata, una vez se advierta la ausencia de la misma como consecuencia de la solicitud del titular, surtida a través del respectivo reclamo.

En los casos de enajenación de obligaciones, la autorización previa y expresa otorgada por el titular de la información a la entidad originadora de la obligación, se considera válida para efectos de realizar los reportes de información negativa y/o positiva ante los operadores, sin perjuicio del deber de la fuente de acreditar tal enajenación.

1.3.4. Deber de certificar semestralmente al operador que la información se encuentra en discusión por parte de su titular

La certificación a la que se refiere el numeral 6 del artículo 8 de la Ley 1266 de 2008 puede ser emitida en forma general por las fuentes, manifestando que la información suministrada a los operadores cuenta con la respectiva autorización. Previamente a la expedición de la certificación, la fuente debe verificar la existencia de las correspondientes autorizaciones para cada uno de los datos que informa a los operadores.

1.3.5. Deber de informar al operador que determinada información se encuentra en discusión por parte de su titular

Con fundamento en el deber establecido en el numeral 8 del artículo 8 de la Ley 1266 de 2008, corresponde a las fuentes informar al operador que determinada información se encuentra en discusión por parte de su titular para que incluya la leyenda de “reclamo en trámite”. Si la fuente de información resuelve el reclamo presentado por el titular de información dentro de los dos (2) días hábiles siguientes a la fecha de radicación, no habrá lugar a informar al operador que el reporte se encuentra en discusión.

Al informar al operador sobre la discusión de la información por parte del titular, las fuentes de información deben indicarle la causa de la discusión, de acuerdo al cuadro de tipologías establecido en el numeral 1.9.2 del Capítulo Primero del Título V de esta Circular.

Cuando la Superintendencia de Industria y Comercio comunique a la fuente el inicio de una actuación administrativa o le notifique la apertura de una investigación tendiente a determinar la procedencia de la eliminación, actualización o rectificación del dato de un titular específico, ésta deberá informar al operador dentro de los dos (2) días hábiles siguientes para que éste incluya la leyenda de “actuación administrativa o investigación en trámite”, la cual permanecerá hasta que quede en firme la decisión de la Entidad.

En los casos en que el titular reclame por suplantación de identidad, la fuente debe informar al operador para que incluya la leyenda respectiva respecto del titular y de la obligación u obligaciones que afectan a éste con la suplantación. En todo caso, la fuente debe adelantar el trámite correspondiente con el fin de establecer si hay indicios que lleven a eliminar el reporte de información, tanto positiva como negativa, en el historial crediticio. Si como resultado del trámite determina que no procede la eliminación de la información, el titular podrá acudir a la Superintendencia de Industria y Comercio para que ésta se pronuncie.

1.3.6. Deber de comunicar al titular de la información previamente al reporte En caso de que la Superintendencia de Industria y Comercio requiera a la fuente para que allegue la prueba del envío de la comunicación previa a que hace referencia el artículo 12 de la Ley 1266 de 2008, ésta debe aportar lo siguiente:

a) Copia de la comunicación escrita enviada al titular de la información con la certificación de haber sido remitida a la última dirección registrada ante la fuente y la fecha de envío, o copia del extracto o de la factura enviada al titular de la información, en el cual se incluyó la comunicación previa al reporte, con la certificación de haber sido remitido a la última dirección registrada ante la fuente y la fecha de envío. En este último evento, cuando la comunicación previa se incluya en el extracto o en la factura, el texto de la misma debe ser claro, legible, fácilmente comprensible y ubicarse en un lugar visible del documento.

b) En los casos en que se utilicen otros mecanismos de remisión de la comunicación, se debe allegar la prueba que acredite que la fuente acordó previamente con el titular un mecanismo diferente para informar sobre el eventual reporte negativo a efectuar.

c) En los casos en los que las fuentes de información hayan adquirido la obligación objeto de reporte mediante compraventa, subrogación, cesión de derechos o cualquier otra forma de transferencia del derecho de dominio, se tendrá como válida la comunicación previa remitida por el cedente u originador del crédito, siempre que la información haya continuado en el tiempo y el vendedor de la obligación no la haya eliminado del historial crediticio. En los casos en los cuales el reporte efectuado por el cedente u originador del crédito haya sido realizado antes de la entrada en vigencia de la Ley 1266 de 2008, no se les exigirá dicha comunicación previa.

Cuando la Superintendencia de Industria y Comercio profiera una orden de eliminación de un reporte, como resultado de una actuación administrativa o de una investigación en la que no se haya acreditado la remisión al titular de la comunicación previa, la fuente deberá informar al operador que no cumplió con este requisito y eliminar el reporte negativo hasta tanto se cumpla con él. Cuando la eliminación del reporte tenga como causa el incumplimiento del deber de remitir la comunicación previa, la fuente no podrá reportar esa obligación con información positiva y, en consecuencia, las casillas o vectores correspondientes deberán aparecer sin información.

1.4 Deberes de los usuarios de información

El usuario de información sólo podrá consultar la historia crediticia de un titular en cumplimiento de los principios de finalidad y circulación restringida de la administración de datos personales, establecidos en los literales b) y c) del artículo 4 de la Ley 1266 de 2008. Si la finalidad para la cual consulta la información es diferente al cálculo del riesgo crediticio, deberá acreditar que cuenta con la correspondiente autorización previa y expresa del titular.

1.5 Principio de favorecimiento a una actividad de interés público

Para permitir la consulta gratuita de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países por parte del titular, al menos una (1) vez cada mes calendario, los operadores tendrán en cuenta las siguientes instrucciones:

a) Informar, de manera clara y precisa, a través de la línea de atención al cliente, la página web y en las áreas de servicio para la atención de peticiones, consultas y reclamos, los canales con los que cuenta el titular para acceder de manera gratuita a su información.

b) Los operadores podrán habilitar un canal electrónico, como la página web, para que los titulares puedan acceder a su historia de crédito, siempre y cuando cuenten con las debidas seguridades para verificar la identidad del titular e impedir la pérdida, alteración o uso no autorizado o fraudulento de los registros almacenados.

1.6 Permanencia de la información negativa

La permanencia de la información negativa está sujeta a las siguientes reglas:

a) El término de permanencia de la información negativa no podrá exceder el doble de la mora reportada, cuando la misma sea inferior a dos (2) años.

b) En el caso en que la mora reportada sea igual o superior a dos (2) años, el dato negativo permanecerá por cuatro (4) años más, contados a partir de la fecha en que se extinga la obligación por cualquier modo.

c) En los casos en que la obligación permanezca insoluta, el término de caducidad de los datos negativos de un titular de información será de catorce (14) años contados a partir de la fecha de exigibilidad de la obligación.

Cuando el titular de información presente un reclamo, corresponderá a la fuente pronunciarse dentro del término legal establecido para ello. Si el titular de información no está de acuerdo con la respuesta de la fuente podrá presentar su reclamo ante la Superintendencia de Industria y Comercio para que ésta se pronuncie.

1.7 Peticiones, consultas y reclamos

En el procedimiento para atender las peticiones, consultas y reclamos, los operadores y las fuentes de información deberán atender las siguientes instrucciones:

a) Los operadores de información deben contar en sus sedes con un área de servicios para la atención de peticiones, consultas y reclamos e implementar mecanismos adicionales, como líneas de atención telefónica o medios virtuales, que garanticen la recepción de las peticiones, consultas y reclamos, de modo ágil y eficaz.

b) Las peticiones, consultas y reclamos presentados ante los operadores y/o las fuentes deben ser resueltas de fondo. La respuesta correspondiente debe ser clara, precisa y congruente con lo solicitado.

c) Las respuestas a las peticiones, consultas y reclamos presentados ante los operadores y/o las fuentes deben ser comunicadas al titular de la información, dentro del término establecido en la ley.

Tales respuestas deben ser remitidas a la dirección señalada por el titular en el momento de presentar su solicitud y, en el caso de que no la haya especificado, a la última dirección registrada.

En caso de que las peticiones o los reclamos se presenten por medios electrónicos o verbalmente, podrán resolverse por el mismo medio, para lo cual se debe conservar copia de la respuesta o la grabación respectiva.

De acuerdo con lo señalado en el literal b) del numeral 1.5 del Capítulo Primero del Título V de esta Circular, las consultas podrán atenderse por canales electrónicos, siempre y cuando sea posible verificar la identidad del titular y garantizar la seguridad de la información.

La remisión de las peticiones, consultas y reclamos por parte de los operadores a las fuentes de información no exime a los operadores del deber de responder al titular todas y cada una de las cuestiones planteadas dentro del término señalado en la ley. En tal sentido, los operadores deben informar al titular todo lo manifestado por la fuente expresamente.

Parágrafo Primero: Para garantizar el ejercicio del derecho de los titulares a solicitar rectificaciones, actualizaciones o eliminaciones de sus datos contenidos en las bases de datos, los operadores y fuentes de información deben implementar un sistema para presentar reclamos utilizando diferentes medios informáticos, como internet o correo electrónico y crear formularios claros y sencillos para dicha presentación. En este sistema, además, deberá generarse un número de radicación y una confirmación automática de recepción del reclamo presentado para que el ciudadano pueda hacer seguimiento a su solicitud.

Parágrafo Segundo: Las adecuaciones ordenadas deben realizarse dentro de los seis (6) meses siguientes a la incorporación de las modificaciones introducidas al presente Título.

1.8 Administradores de cartera y afianzadores

Para efectos de dar aplicación a las instrucciones contenidas en el presente Capítulo, se entienden como administradores de cartera las personas naturales y jurídicas de derecho público o privado encargadas de la administración y recaudo de cartera, por cuenta del legítimo acreedor. Por su parte, son afianzadores las personas naturales y jurídicas de derecho público o privado encargadas de garantizar el cumplimiento de todas las obligaciones derivadas de un contrato a través de una fianza.

Con el fin de que los reportes realizados por un administrador de cartera o una entidad afianzadora cumplan con el deber de veracidad del dato, los operadores de información deberán incluir en la respectiva historia crediticia la siguiente información:

a) El nombre o razón social de la fuente de información que deberá corresponder al acreedor actual de la obligación, es decir, a quien adquirió la cartera o a quien realizó el pago de la obligación en calidad de afianzador y se subrogó en la misma por virtud de la ley.

b) El nombre o razón social del administrador de la cartera o el afianzador, si fuera una entidad diferente.

c) El nombre o razón social del acreedor originador de la cartera, en el caso de administradores de cartera.

1.9 Calidad en atención al ciudadano

1.9.1. Remisión de información por parte de los operadores

Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, los operadores de información deben remitir a la Dirección de Investigación de Protección de Datos Personales de la Superintendencia de Industria y Comercio un informe en medio magnético, editable, en Excel, en el que suministren la siguiente información, relacionada con el semestre calendario inmediatamente anterior (enero – junio y julio – diciembre):

a) El número de reclamos presentados por los titulares directamente ante el operador, especificando el nombre e identificación de la fuente y/o el usuario de información y la causa del reclamo, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente. Cuando se trate de reclamos presentados con base en el reporte de información realizado por una fuente, se deberá informar el número total de titulares reportados por esa fuente.

b) El número de reclamos presentados por los titulares directamente ante las fuentes y/o usuarios de información y registrados en el sistema del operador, especificando el nombre e identificación de la fuente y/o usuario y la causa del reclamo, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente. Cuando se trate de reclamos presentados con base en el reporte de información realizado por una fuente, se deberá informar el número total de titulares reportados por esa fuente.

Para la remisión a la Superintendencia de Industria y Comercio de la información a que se refiere el literal b), el operador deberá adaptar su sistema de información con el fin de que las fuentes y/o usuarios puedan indicar la causa de la reclamación presentada por el titular ante ellos, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente.

Parágrafo: El primer informe que los operadores de información deberán presentar a la Superintendencia de Industria y Comercio será el correspondiente al semestre comprendido entre el 1 de enero y el 30 de junio de 2013 y deberá ser entregado a más tardar dentro de los diez (10) días hábiles siguientes del mes de agosto. A partir del primero (1) de enero de 2013 las fuentes deberán empezar a reportar a los operadores los reclamos presentados ante éstas de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente.

1.9.2. Tipología de reclamos

Las fuentes informarán a los operadores los reclamos que les sean presentados de acuerdo con la siguiente tipología, de manera discriminada por subtipología y código numérico, con el fin de que los operadores puedan remitir a la Superintendencia de Industria y Comercio la información solicitada en los literales a) y b) del numeral 1.9.1 anterior:

TIPOLOGÍA DE RECLAMOS   SUBTIPOLOGÍA DE RECLAMOS   CÓDIGO

NUMÉRICO

Actualizar información    No actualización de la información          01

No reporte de información oportuno             02

Reporte de información incompleta o parcial     03

No inclusión de las respectivas leyendas              04

Inconformidad con la permanencia de la

información negativa                                                05

Rectificar la información   No rectificación de información errónea           06

Inexistencia de la obligación reportada

o negación de la relación contractual                  07

No contar con los documentos soporte

de la obligación                                              08

No contar con la autorización previa y

expresa del titular para reportar información    09

No certificar semestralmente al operador

que la información suministrada cuenta

con la respectiva autorización del titular             10

No remitir la comunicación previa al reporte     11

Conocer la información      Negación de acceso a la información                  12

No atender las peticiones y reclamos

presentados por los titulares de fondo

y oportunamente                                             13

No adoptar las medidas de seguridad

adecuadas sobre la información obtenida

en las bases de datos de los operadores              14

Utilizar la información para una finalidad

diferente a aquella para la cual fue entregada   15

Consulta de información no autorizada por

el titular, cuando esta sea requerida                     16

No contar con medidas adecuadas de

seguridad                                                                     17

No informar al titular sobre la utilización que

se le está dando a su información                            18

No informar al titular la finalidad de la

recolección de la información                                   19

No guardar reserva sobre la información

obtenida en las bases de datos de los

operadores                                                                     20

Otros (Describir el motivo)                                         21

CAPTÍTULO SEGUNDO.- REGISTRO NACIONAL DE BASES DE DATOS –RNBD(2)(3)

2.1. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos -RNBD

Los Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública deben inscribir en el Registro Nacional de Bases de Datos -RNBD- la siguiente información, además de la establecida mediante el Capítulo 26 del Decreto Único 1074 de 2015:

a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.

b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.

c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.

d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.

e) Transmisión internacional de datos personales. La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.

f) Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos administradas por cualquier Responsable del Tratamiento, así:

(i) Reclamos presentados por los Titulares. Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o el Encargado del tratamiento, según sea el caso, dentro de un semestre calendario (enero – junio y julio – diciembre). Esta información se reportará teniendo en cuenta lo manifestado por los Titulares y los tipos de reclamos prestablecidos en el RNBD. El reporte deberá ser el resultado de consolidar los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y sus respectivos Encargados del Tratamiento.

(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD por parte de los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

Los Responsables del Tratamiento que no se encuentren obligados a registrar sus bases de datos en el RNBD y los Encargados del Tratamiento, deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes de seguridad reportados en el RNBD no estará disponible para consulta pública.

2.2. Procedimiento de inscripción en el Registro Nacional de Bases de Datos -RNBD(4)(5)

Los Responsables del Tratamiento de datos personales, sociedades y entidades sin ánimo de lucro que tengan activos totales o superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública, deberán inscribir sus bases de datos en el RNBD, de acuerdo con las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos -RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio, www.sic.gov.co.

La inscripción se realizará en línea en el portal Web de esta entidad (6).

De acuerdo con lo establecido en el artículo 2.2.2.26.3.1 de la Sección 3 del Capítulo 26 del Decreto 1074 de 2015 (7), dicha inscripción se llevará a cabo en los siguientes plazos:

a) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018.

b) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018.

c) Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deben realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019.

A cada base de datos se le asignará un número de radicado, una vez se finalice el procedimiento de inscripción. La información inscrita en el RNBD estará sujeta a verificación de esta Superintendencia.

2.3. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD(8)

Los responsables de Tratamiento que de conformidad con lo establecido en el Decreto 090 del 18 de enero de 2018 están obligados a registrar sus bases de datos en el RNBD deben actualizar la información registrada, como se indica a continuación:

(i) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.

(ii) Anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2020.

Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.

Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD deben actualizar la información de los reclamos presentados por los Titulares, referida en el número (i) del literal f) del numeral 2.1 anterior. El primer reporte de reclamos presentados por los Titulares se deberá realizar en el segundo semestre de 2019 con la información que corresponda al primer semestre del 2019.

Los Responsables del Tratamiento que no están obligados a efectuar el registro de sus bases de datos y que realizaron dicho trámite, no están obligados a efectuar la actualización a que hace referencia este numeral y la información por ellos registrada no estará disponible para consulta pública.

2.4. Consulta del Registro Nacional de Bases de Datos RNBD

La consulta del RNBD se encuentra habilitada en el portal web de esta entidad, con el fin de que los Titulares de información y terceros puedan acceder a los registros efectuados por los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD.

2.5. ELIMINADO(9)

2.6. ELIMINADO(10)(11)

2.7. ELIMINADO(12)(13)

CAPTÍTULO TERCERO.- TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES (14)

3.1. Estándares de un nivel adecuado de protección del país receptor de la información personal El análisis para establecer sí un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:

a) Existencia de normas aplicables al tratamiento de datos personales.

b) Consagración normativa de principios aplicables al Tratamiento de datos, entre otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

c) Consagración normativa de derechos de los Titulares.

d) Consagración normativa de deberes de los Responsables y Encargados.

e) Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley.

f) Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza (n) de manera efectiva sus funciones.

3.2. Países que cuentan con un nivel adecuado de protección de datos personales (15)(16)

Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior y el análisis efectuado por esta Superintendencia, garantizan un nivel adecuado de protección los siguientes países: Alemania; Australia, Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Japón; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con el nivel adecuado de protección por la Comisión Europea.

La Superintendencia de Industria y Comercio ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.

Parágrafo Primero: Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.

Parágrafo Segundo: Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre dentro de los relacionados en el presente numeral, corresponderá al Responsable del tratamiento que efectuará la transferencia verificar sí la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, o, sí ese país cumple con los estándares fijados en el numeral 3.1 anterior, casos en los cuales podrá realizar la transferencia, o, de no cumplirse ninguna de las condiciones anteriores, solicitar la respectiva declaración de conformidad ante esta Superintendencia.

Parágrafo Tercero: El simple tránsito transfronterizo de datos no comporta una transferencia de datos a terceros países. El tránsito transfronterizo de datos se refiere al simple paso de los datos por uno o varios territorios utilizando la infraestructura compuesta por todas las redes, equipos y servicios requeridos para alcanzar su destino final.

Parágrafo Cuarto: Es posible realizar la transmisión de datos personales a los países que cuentan con un nivel adecuado de protección de datos personales, en los términos que rigen la transferencia de datos personales.

3.3. Declaración de conformidad

Para solicitar la Declaración de Conformidad para la transferencia internacional de datos personales, el Responsable del tratamiento deberá radicar una petición ante la Superintendencia de Industria y Comercio en el Grupo de Gestión Documental y Recursos Físicos de la Entidad, o a través del correo electrónico [email protected], en la que suministre la información contenida en la “Guía para Solicitar la Declaración de Conformidad sobre Transferencias Internacionales de Datos Personales”, publicada en la página web de esta Superintendencia. Los soportes y documentos remitidos deben estar traducidos al castellano.

Este trámite se rige por el Procedimiento Administrativo General establecido en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

En todos los casos, la Superintendencia está facultada para requerir información adicional y adelantar las diligencias que considere necesarias, tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

Parágrafo: Cuando los Responsables del Tratamiento, que a efectos de cumplir con el principio de responsabilidad demostrada, suscriban un contrato con el Responsable del Tratamiento destinatario de los datos o implementen otro instrumento jurídico mediante el cual señalen las condiciones que regirán la transferencia internacional de datos personales y mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento, así como de las obligaciones que tienen a cargo, se presumirá que la operación es viable y que cuenta con Declaración de Conformidad.

En consecuencia, los Responsables del Tratamiento podrán realizar dicha transferencia, previa comunicación remitida a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, mediante la cual informen sobre la operación a realizar y declaren que han suscrito el contrato de transferencia u otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia, lo cual podrá ser verificado en cualquier momento por esta Superintendencia y, en caso de que se evidencie un incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que correspondan y ordenar las medidas a que haya lugar.

———————————————————————————————————-

(1) Resolución nº 76434 del 4 de diciembre de 2012. Publicada en el Diario Oficial nº 48635 del 5 de diciembre de 2012. “por la cual se deroga el contenido del Título V de la Circular Única de la Superintendencia de Industria y Comercio, sobre Acreditación, y se imparten instrucciones relativas a la protección de datos personales, en particular, acerca del cumplimiento de la Ley 1266 de 2008, sobre reportes de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, las cuales se incorporan en el citado Título”.

(2) Circular Externa nº 02 del 3 de noviembre de 2015. Publicada en el Diario Oficial nº 49686 del 4 de noviembre de 2015 que “Adiciona el Capítulo Segundo en el Título V de la Circular Única, sobre el Registro Nacional de Bases de Datos –RNBD.

(3) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única.

(4) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(5) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única.

(6) www.sic.gov.co. Se ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior y luego por “Registro Bases de Datos”.

(7) Modificado por el Decreto 1759 del 8 de noviembre de 2016.

(8) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(9) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.5. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos RNBD, del Capítulo Segundo del Título V de la Circular Única.

(10) Circular Externa nº. 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(11) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.6. Procedimiento de inscripción en el Registro Nacional de Bases de Datos – RNBD-, del Capítulo Segundo del Título V de la Circular Única.

(12) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(13) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.7. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD-, del Capítulo Segundo del Título V de la Circular Única.

(14) Circular Externa nº 05 del 10 de agosto de 2017. Publicada en el Diario Oficial nº 50321 del 10 de agosto de 2017. “Que adiciona un Capítulo Tercero al Título V de la Circular Única”

(15) Circular Externa nº 08 del 15 de diciembre de 2017. Publicada en el Diario Oficial nº 50448 del 15 de diciembre de 2017. Mediante la cual se modifica el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única.

(16) Circular Externa nº 02 del 23 de marzo de 2018. Publicada en el Diario Oficial nº 50544 del 23 de marzo de 2018. Mediante la cual se modifica el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única con el fin de incluir el país de “Australia” dentro de la lista de países contenida en este numeral.