HÁBEAS DATA, ACCESO A INFORMACIÓN DEL TITULAR, ESTUDIOS DE MERCADEO, COMERCIALES ESTADÍSTICOS
Concepto 2016088245-001 del 22 de septiembre de 2016
Síntesis: El acceso a la información personal de un titular con el propósito de realizar estudios de mercado, comerciales y estadísticos, será legítimo, siempre y cuando exista correspondencia entre la finalidad que justificó la recolección del dato y dicho acceso, esto es, que la información se utilice para efectos del adecuado cálculo del riesgo de crédito atribuible al sujeto concernido, como finalidad legítima para el procesamiento de datos personales. En todo caso con el propósito de preservar el derecho a la intimidad de los sujetos concernidos, los resultados de dichos análisis de mercado, comerciales y estadísticos, deben presentarse de tal manera que se hayan adoptado previamente procedimientos de desidentificación de los datos personales, con el fin de que se presente información impersonal que no permita identificar al titular del dato.
«(…) solicitud en la cual plantea diversas inquietudes respecto del alcance de la Circular Externa 018 de 2016[1], en específico frente a lo previsto en el subnumeral 6.2.40 de dicha circular, relacionado con las cláusulas y prácticas abusivas que se encuentran contenidas en el Capítulo I del Título III de la Parte I de la Circular Básica Jurídica de esta entidad[2].
Para tal efecto, este ente de control realizará unas precisiones conceptuales antes de absolver los interrogantes en cuestión.
Por regla general, los contratos masivos de bienes y servicios como los financieros, están diseñados como contratos de adhesión[3], donde se limita, en cierta medida, la autonomía de la voluntad del cliente, pues estos se elaboran a partir de un formato cuyas cláusulas y condiciones han sido previamente incorporadas y al consumidor financiero únicamente le queda la posibilidad de aceptar o rechazar el mismo.
No obstante lo anterior, la ley ha querido dotar de instrumentos a los contratantes para restablecer el desequilibrio contractual que supone el hecho de suscribir un contrato cuyo clausulado nunca fue objeto de negociación y discusión y así evitar la limitación de sus derechos. Dentro de estos elementos, destacan la prohibición de incorporar cláusulas que conlleven al abuso de la posición dominante y la proscripción para las entidades vigiladas de incurrir en prácticas abusivas.
Siguiendo tal derrotero, el legislador estableció en el artículo 7 de la Ley 1328 de 2009 una serie de obligaciones especiales en cabeza de las entidades vigiladas por esta Superintendencia, las cuales hacen parte de un conjunto de deberes dispuestos precisamente por el régimen de protección al consumidor financiero. Entre ellas, el literal e) señaló que las entidades deben “abstenerse de incurrir en conductas que conlleven abusos contractuales o de convenir cláusulas que puedan afectar el equilibrio del contrato o dar lugar a un abuso de posición dominante contractual”[4].
Es así como el literal d) del artículo 12 de la misma ley[5], dispuso que la Superintendencia Financiera de Colombia, en ejercicio de sus competencias, puede establecer de manera previa y general otras prácticas que se consideran abusivas por parte de las entidades vigiladas.
Entonces, como consecuencia de las anteriores disposiciones, esta entidad, en ejercicio de su facultad de instrucción y reglamentación, y buscando una adecuada protección a los consumidores financieros, señaló algunos ejemplos de prácticas abusivas que deben ser evitadas por las entidades vigiladas. Entre tales ejemplos, se destaca –para efectos de la consulta- la relacionada en el subnumeral 6.2.40, la cual se concreta en los siguientes términos:
“6.2.40. Establecer mediante una sola firma, la autorización para el manejo de información personal, la autorización para permitir que la entidad vigilada comparta información personal del consumidor financiero con las entidades pertenecientes a su conglomerado financiero, sus filiales o subsidiarias en Colombia o en el exterior y los terceros que apoyan sus operaciones de cobranza y de cualquier otra naturaleza y la autorización para el reporte de información negativa sobre incumplimiento de obligaciones a los operadores de bancos de datos de información financiera o crediticia o hacerlo sin el lleno de los requisitos que establece la normatividad en materia de protección de datos personales”.
De esta forma, se pueden distinguir tres hipótesis diferentes: (i) el “manejo de información personal” que corresponde al tratamiento de los datos que son requeridos para la prestación del servicio o producto financiero contratado; (ii) compartir con terceros la información del consumidor financiero para fines distintos a la adecuada prestación del servicio o producto financiero, y (iii) el reporte del comportamiento de crédito en los bancos de datos de los operadores de información de que trata la Ley 1266 de 2008.
En este orden de ideas, la instrucción impartida por esta Superintendencia está dirigida a garantizar el derecho que tiene el consumidor financiero de determinar de forma independiente los usos que la entidad vigilada le pretende dar a su información personal, pudiendo elegir de forma previa, libre y espontánea si, por ejemplo, se comparte su información con terceros para el desarrollo de finalidades distintas a la prestación del servicio financiero. Entonces, la prohibición incluida en el subnumeral 6.2.40 busca precisamente que las entidades vigiladas se abstengan de obligar al consumidor financiero a que este comparta sus datos personales con terceros cuando ello no sea necesario para el normal desarrollo del contrato financiero.
Claro lo anterior, esta Superintendencia absolverá el objeto de consulta.
Para tal efecto, este ente de control realizará unas precisiones conceptuales antes de absolver los interrogantes en cuestión.
Por regla general, los contratos masivos de bienes y servicios como los financieros, están diseñados como contratos de adhesión[3], donde se limita, en cierta medida, la autonomía de la voluntad del cliente, pues estos se elaboran a partir de un formato cuyas cláusulas y condiciones han sido previamente incorporadas y al consumidor financiero únicamente le queda la posibilidad de aceptar o rechazar el mismo.
No obstante lo anterior, la ley ha querido dotar de instrumentos a los contratantes para restablecer el desequilibrio contractual que supone el hecho de suscribir un contrato cuyo clausulado nunca fue objeto de negociación y discusión y así evitar la limitación de sus derechos. Dentro de estos elementos, destacan la prohibición de incorporar cláusulas que conlleven al abuso de la posición dominante y la proscripción para las entidades vigiladas de incurrir en prácticas abusivas.
Siguiendo tal derrotero, el legislador estableció en el artículo 7 de la Ley 1328 de 2009 una serie de obligaciones especiales en cabeza de las entidades vigiladas por esta Superintendencia, las cuales hacen parte de un conjunto de deberes dispuestos precisamente por el régimen de protección al consumidor financiero. Entre ellas, el literal e) señaló que las entidades deben “abstenerse de incurrir en conductas que conlleven abusos contractuales o de convenir cláusulas que puedan afectar el equilibrio del contrato o dar lugar a un abuso de posición dominante contractual”[4].
Es así como el literal d) del artículo 12 de la misma ley[5], dispuso que la Superintendencia Financiera de Colombia, en ejercicio de sus competencias, puede establecer de manera previa y general otras prácticas que se consideran abusivas por parte de las entidades vigiladas.
Entonces, como consecuencia de las anteriores disposiciones, esta entidad, en ejercicio de su facultad de instrucción y reglamentación, y buscando una adecuada protección a los consumidores financieros, señaló algunos ejemplos de prácticas abusivas que deben ser evitadas por las entidades vigiladas. Entre tales ejemplos, se destaca –para efectos de la consulta- la relacionada en el subnumeral 6.2.40, la cual se concreta en los siguientes términos:
“6.2.40. Establecer mediante una sola firma, la autorización para el manejo de información personal, la autorización para permitir que la entidad vigilada comparta información personal del consumidor financiero con las entidades pertenecientes a su conglomerado financiero, sus filiales o subsidiarias en Colombia o en el exterior y los terceros que apoyan sus operaciones de cobranza y de cualquier otra naturaleza y la autorización para el reporte de información negativa sobre incumplimiento de obligaciones a los operadores de bancos de datos de información financiera o crediticia o hacerlo sin el lleno de los requisitos que establece la normatividad en materia de protección de datos personales”.
De esta forma, se pueden distinguir tres hipótesis diferentes: (i) el “manejo de información personal” que corresponde al tratamiento de los datos que son requeridos para la prestación del servicio o producto financiero contratado; (ii) compartir con terceros la información del consumidor financiero para fines distintos a la adecuada prestación del servicio o producto financiero, y (iii) el reporte del comportamiento de crédito en los bancos de datos de los operadores de información de que trata la Ley 1266 de 2008.
En este orden de ideas, la instrucción impartida por esta Superintendencia está dirigida a garantizar el derecho que tiene el consumidor financiero de determinar de forma independiente los usos que la entidad vigilada le pretende dar a su información personal, pudiendo elegir de forma previa, libre y espontánea si, por ejemplo, se comparte su información con terceros para el desarrollo de finalidades distintas a la prestación del servicio financiero. Entonces, la prohibición incluida en el subnumeral 6.2.40 busca precisamente que las entidades vigiladas se abstengan de obligar al consumidor financiero a que este comparta sus datos personales con terceros cuando ello no sea necesario para el normal desarrollo del contrato financiero.
Claro lo anterior, esta Superintendencia absolverá el objeto de consulta.
- “¿Podría una entidad sometida a la vigilancia de la SFC enumerar y mencionar en forma clara y precisa cada una de las finalidades del tratamiento, indicando a que (sic) marco normativo pertenecen; estos es, si a la ley 1581 de 2012, a la ley 1266 de 2008, y otras, y habiendo hecho esto, dejar al final del documento o formato de incorporación un espacio de firma, para que con una sola rubrica del Titular de la información éste pueda expresar de manera válida su consentimiento respecto de aquellas finalidades previamente informadas, sin que dicha actuación, según el criterio de la autoridad, sea considerada como una cláusula abusiva?”.
Respecto de este primer interrogante, es necesario resaltar que precisamente la instrucción contenida en el subnumeral 6.2.40 pretende que se brinde información clara y suficiente al consumidor financiero para que pueda ejercer el control de su información personal, de acuerdo con cada una de las finalidades del tratamiento establecidas por las entidades vigiladas, las cuales deberán ser informadas adecuadamente.
En lo pertinente a la elaboración de la solicitud de vinculación, hace parte de la autonomía negocial de las entidades decidir si en cada una de las hipótesis de autorización señaladas en el referido subnumeral, se incluye una aclaración relacionada con el marco legal aplicable dependiendo del tipo de datos personales que pretenden ser tratados. Lo que sí resulta exigible de acuerdo al principio de transparencia previsto en la Ley 1328 de 2009, es que las entidades vigiladas informen cuáles son los derechos del consumidor, pues legalmente están obligados a brindar “información cierta, suficiente, clara y oportuna, que permita, especialmente, que los consumidores financieros conozcan adecuadamente sus derechos, obligaciones y los costos en las relaciones que establecen con las entidades vigiladas”[6].
Ahora bien, confrontada la redacción del subnumeral 6.2.40 con el ejemplo planteado en la primera pregunta, es evidente que el formato estaría limitando el consentimiento del consumidor financiero a la imposición de una sola firma, por lo que éste no podría ejercer adecuadamente su derecho a la autodeterminación informativa decidiendo de forma independiente si autoriza a que la entidad trate su información personal de acuerdo a las finalidades propuestas.
Nótese que la redacción del subnumeral 6.2.40, comienza señalando que la práctica abusiva consiste en “(e)stablecer mediante una sola firma (….)”, por lo que en consecuencia, la práctica censurada por esta Superintendencia mediante la Circular Externa 018 de 2016, es aquella dirigida a que el consumidor financiero no pueda determinar de forma previa y libre los usos que se le pretenden dar a su información, autorizando mediante una sola firma el tratamiento de sus datos personales para tres (3) finalidades claramente diferenciadas.
- “¿Podría una entidad sometida a la vigilancia de la SFC utilizar una casilla de verificación ‘check box’, en la cual la persona pueda marcar con una ‘X’, si autoriza o no el uso de sus datos de carácter personal para cada una de las finalidades de Tratamiento, enumeradas y mencionadas en forma clara y precisa; esto es, ley 1581 de 2012, ley 1266 de 2008, y otras, y habiendo hecho esto, dejar al final del documento o formato de incorporación un espacio de firma, para que con una sola rubrica del Titular de la información éste pueda expresar de manera válida su consentimiento respecto de aquellas finalidades previamente informadas, sin que dicha actuación, según el criterio de la autoridad, sea considerada como una cláusula abusiva?”
En este punto, resaltamos lo señalado en la parte introductoria del presente escrito, así como la respuesta suministrada al interrogante anterior, en el sentido de que la instrucción impartida por esta entidad busca garantizar el derecho que tiene el consumidor financiero de elegir de forma previa, informada e independiente los usos que la entidad vigilada le pretende dar a sus datos personales.
De acuerdo con lo anterior, no constituiría una práctica abusiva el hecho de contar en un formato de vinculación con la redacción de distintas cláusulas de autorización, siempre y cuando las mismas comprendan con claridad las tres finalidades del tratamiento y permitan al consumidor financiero, en ejercicio de su derecho a la autodeterminación informativa, controlar los usos que se pretenden dar a su información, autorizando de manera individual, una u otra finalidad. En tal virtud, por ejemplo, no debería estar obligado a autorizar -si no lo desea- que se comparta su información personal con terceros como consecuencia de que autorizó el reporte de información a los operadores de los bancos de datos de información financiera, crediticia, comercial y de servicios.
- “En cuanto a la autorización para compartir los datos personales del consumidor financiero a terceros que apoyan las operaciones de cobranza, ¿Es correcto afirmar que esa finalidad hace parte del ámbito de aplicación de la Ley 1266 de 2008; esto es, actividad dirigida a la adecuada gestión del riesgo de crédito, cumplimiento de las obligaciones dinerarias? Si eso es así, ¿Cuál es el motivo para que la Superintendencia Financiera de Colombia (SFC) la haya considerado como una finalidad diferente de las contempladas por la Ley 1266 de 2008, pese a que, se reitera, su objeto está dirigido esencialmente a la recuperación de la cartera adeudada por parte del consumidor financiero?”
El tercer cuestionamiento planteado está referido a la interpretación de esta entidad del supuesto normativo relacionado con “la autorización para permitir que la entidad vigilada comparta información personal del consumidor financiero con las entidades pertenecientes a su conglomerado financiero, sus filiales o subsidiarias en Colombia o en el exterior y los terceros que apoyan sus operaciones de cobranza y de cualquier otra naturaleza”, contenida en el subnumeral 6.2.40.
Sobre el particular, esta Superintendencia considera oportuno aclarar que el aparte citado está relacionado con la información del consumidor financiero que se entrega a terceros para fines distintos a la adecuada prestación del servicio o producto financiero, tales como el ofrecimiento de productos o servicios por parte de terceros o el envío de información publicitaria, razón por la cual las operaciones de cobranza no podrían estar agrupadas dentro de estas finalidades, toda vez que éstas surgen como consecuencia del incumplimiento de la obligación de pago por parte del consumidor financiero, asunto que se encuentra dentro del marco de la relación contractual y que en líneas generales corresponde a los datos personales necesarios para el desarrollo de cualquier contrato, ya que responde a la necesidad de la entidad vigilada de asegurar la contraprestación por los servicios prestados.
En tal virtud, respecto de aquellos tratamientos de información personal realizados con la finalidad de desarrollar las operaciones de cobranza adelantadas por las entidades vigiladas o sus terceros encargados de dicha actividad, se deben seguir las reglas previstas por la Ley 1266 de 2008.
- “Se me indique cuál es el alcance que la Superintendencia Financiera de Colombia (SFC) le ha dado a la finalidad ‘(…) como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas’ previsto en el inciso 2 del artículo 15 de la Ley 1266 de 2008, Habeas Data Financiero”.
El artículo 15 de la Ley 1266 de 2008, está relacionado con el “acceso a la información por parte de los usuarios”, y describe las finalidades legítimas que justifican el acceso a la información personal de los titulares; entre dichas hipótesis normativas se encuentra la contenida en el inciso segundo, el cual indica que los usuarios podrán consultar la información personal “(c)omo elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas”.
Sobre el particular, la Corte Constitucional en la revisión de la constitucionalidad del entonces proyecto de ley[7], señaló que existe un interés legítimo cuando los usuarios acceden a los datos personales de los titulares para desarrollar análisis de mercados, comerciales y estadísticos, en la medida que tales estudios se constituyen en estrategias estrechamente vinculadas al desarrollo de la actividad crediticia (proporcionando decisiones adecuadas en la celebración de contratos comerciales y de crédito con clientes potenciales), la protección de la confianza pública y la estabilidad del sistema financiero. Por tal motivo, dicho acceso resulta coherente con la intención del legislador de establecer elementos que contribuyan a los fines de expansión y democratización del crédito y, en general, favorecer una actividad que reviste interés público como lo es la actividad financiera.
De acuerdo con lo anterior, el acceso a la información personal de un titular con el propósito de realizar estudios de mercado, comerciales y estadísticos, será legítimo, siempre y cuando exista correspondencia entre la finalidad que justificó la recolección del dato y dicho acceso, esto es, que la información se utilice para efectos del adecuado cálculo del riesgo de crédito atribuible al sujeto concernido, como finalidad legítima para el procesamiento de datos personales.
En todo caso con el propósito de preservar el derecho a la intimidad de los sujetos concernidos, los resultados de dichos análisis de mercado, comerciales y estadísticos, deben presentarse de tal manera que se hayan adoptado previamente procedimientos de desidentificación de los datos personales, con el fin de que se presente información impersonal que no permita identificar al titular del dato.
- “¿Podría una entidad sometida a la vigilancia de la SFC consultar la historia de crédito de una persona cuando su perfil de riesgo crediticio se ajuste a un producto y/o servicio ofrecido por ese establecimiento o como análisis comercial o de mercadeo, sin que la persona haya solicitado el producto y/o servicio?”.
En primer lugar, conviene señalar que de acuerdo con el principio de circulación restringida establecido en el literal c) del artículo 4 de la Ley 1266 de 2008, los elementos que condicionan el menor o mayor grado de circulación del dato personal, son los propios principios de administración de datos personales, en especial, el de temporalidad y finalidad, así como la naturaleza del dato personal. Como se expone a lo largo de la ley, el dato financiero, crediticio y comercial es un dato semiprivado, el cual no tiene naturaleza íntima, reservada, ni pública, por lo que puede interesar a cierto grupo de personas o, inclusive, a la sociedad en general, siempre y cuando dicho interés esté asociado a las finalidades que justificaron su recolección, acopio y divulgación. Entonces, las posibilidades de circulación del dato financiero están vinculadas esencialmente a la finalidad del banco de datos, que no es otra que el cálculo del riesgo de crédito, entendido como herramienta que permite verificar el comportamiento de pago y los hábitos crediticos del sujeto concernido.
Esto resulta coherente con lo establecido en el literal b) del artículo 5 de la misma norma, respecto de las posibilidades de circulación de información, pues en tal sentido, la información recolectada o entregada a los operadores de los bancos de datos solamente podrá ser accedida por los usuarios de la información en los términos de la ley. Dicho de otra forma, las posibilidades de acceso están sujetas a que la consulta se efectúe con el fin de calcular el riesgo de crédito, junto con la debida observancia de los principios de administración datos personales, en especial, el de confidencialidad, pues el uso del dato personal debe estar inescindiblemente vinculado al análisis del riesgo de crédito, como finalidad legítimamente considerada para la recolección de la información, en los términos de la Ley 1266 de 2008.
Por lo anterior, resulta claro que otras posibilidades de acceso que no estén relacionadas con la finalidad del banco de datos, implicarían una afectación al derecho fundamental de habeas data en razón al rompimiento de las reglas dispuestas sobre el particular por, específicamente, el principio de circulación restringida.
Ahora bien, la consulta de la historia de crédito de un determinado titular como elemento que permite determinar el nivel de riesgo al momento de entablar o mantener una relación contractual, implica, necesariamente, en primera medida la existencia de una etapa precontractual en la cual se requiere, de forma previa, la comprobación del perfil de riesgo asociado al sujeto concernido y potencial cliente; y, en la segunda hipótesis, que actualmente se está ejecutando un contrato entre precisamente el usuario y el titular de la información, que requiere de una nueva verificación de su comportamiento de crédito a fin de ampliar los productos y/o servicios de los que actualmente dispone.
De acuerdo a lo anterior, el usuario efectúa un cálculo del riesgo de crédito accediendo al historial crediticio de un determinado titular, con la intención de establecer si dicho sujeto se ajusta al perfil de riesgo que está dispuesto a asumir y, eventualmente, celebrar con él un contrato o suministrarle nuevos servicios y/o productos. Sin embargo, en este punto, para la Corte Constitucional debe existir además un interés por parte del potencial cliente en acceder a un determinado bien o servicio, pues tal situación es la que motiva precisamente la consulta del historial de crédito.
En efecto, en el análisis de constitucionalidad del entonces proyecto de ley de habeas data financiero, la Corte Constitucional señaló lo siguiente:
“Al respecto, se parte de considerar que la finalidad de la administración de datos personales de contenido comercial y financiero es determinar el nivel de riesgo crediticio del sujeto concernido. En otras palabras, la actividad que realizan las centrales de riesgo es suministrar a los participantes del mercado económico información acerca de las posibilidades que una persona natural o jurídica incumpla en el pago de una obligación futura. Así, la determinación del riesgo es una actividad previa al perfeccionamiento de contratos comerciales o de crédito entre el usuario de la información y el sujeto concernido.
Esta comprobación es importante a la hora de determinar la legitimidad constitucional de la restricción al principio de libertad que propone un grupo de intervinientes. Como se observa, el acceso a la información crediticia y comercial del sujeto concernido se inserta, necesariamente, en una actividad contractual bilateral. Es decir, los usuarios del dato personal están interesados en conocer la información de un cliente potencial específico, a fin de celebrar contratos también definidos. A su vez, ese cliente potencial también ha expresado su intención de acceder a determinado producto comercial o de crédito, lo que ha motivado que la entidad o empresa correspondiente realice una investigación sobre su historial de cumplimiento. Bajo esta perspectiva, para que exista necesidad del cálculo del riesgo crediticio debe concurrir un interés bilateral de las partes interesadas en el perfeccionamiento del contrato futuro”.
De acuerdo con lo anterior, no resulta admisible legalmente que el usuario acceda a los datos personales financieros, crediticios, comerciales y de servicios del sujeto concernido, cuando no se ha exteriorizado un interés de éste en adquirir un determinado producto o servicio.
(…).»
[1] Mediante la Circular Externa 018 de 2016, la Superintendencia Financiera de Colombia realizó algunas modificaciones al numeral 6 del Capítulo I del Título III de la Parte Primera de la Circular Básica Jurídica (Circular Externa 029 de 2014), relacionado con las cláusulas y prácticas abusivas.
[2] Superintendencia Financiera de Colombia (3 de octubre de 2014) Acceso e Información al Consumidor Financiero [Capítulo I del Título III de la Parte I de la Circular Básica Jurídica – Circular Externa 029 de 2014]. Recuperado de: https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=10083443
[3] “f) Contratos de adhesión: Son los contratos elaborados unilateralmente por la entidad vigilada y cuyas cláusulas y/o condiciones no pueden ser discutidas libre y previamente por los clientes, limitándose estos a expresar su aceptación o a rechazarlos en su integridad”. Congreso de la República de Colombia. (15 de julio de 2009). Literal f) Artículo 2 [Título I Del Régimen de Protección al Consumidor Financiero]. Por la cual se dictan normas en materia financiera, de seguros, del mercado de valores y otras disposiciones [Ley 1328 de 2009]. DO: 47.411
[4] Ibidem. Literal e), artículo 7 [Título I].
[5] Ibidem. Artículo 12 [Título I]. “Se consideran prácticas abusivas por parte de las entidades vigiladas las siguientes (…)”.
[6] Ibidem. Literal c), artículo 3. [Título I]. “Principios”.
[7] Corte Constitucional. (16 de octubre de 2008) Sentencia C-1011 de 2008. [MP. Jaime Córdoba Triviño]. Esta sentencia analizó la constitucionalidad del entonces proyecto de ley que posteriormente se denominó oficialmente como Ley 1266 de 2008.
Última modificación 03/11/2016