APLICACIÓN RÉGIMEN GENERAL DE HABEAS DATA. BASES DE DATOS INTERNAS DE ENTIDADES FINANCIERAS.
Concepto 2021281460-000 del 31 de diciembre de 2021
Síntesis: Las bases de datos de carácter interno que manejan nuestras entidades vigiladas para la gestión de sus riesgos están excluidas del campo de aplicación de las disposiciones generales de habeas data contenidas en Ley 1266 de 2008 modificada por la Ley 2157 de 2021.
«(…) mediante la cual solicita un pronunciamiento respecto del alcance del parágrafo 3 del artículo 13 de la Ley 1266 de 2008, incorporado por el artículo 3 de la Ley 2157 de 2021.
Según lo manifestado, motiva la anterior solicitud la necesidad de establecer si se encuentra sujeta a dicha normativa tanto “la información interna de las entidades que tiene finalidades prudenciales”, como “aquella susceptible de ser reportada al mercado para una adecuada gestión del riesgo de crédito”.
Al respecto, se precisa que un pronunciamiento sobre el alcance de las disposiciones contempladas en las leyes 1266 de 2008 y 2157 de 2021 en materia de habeas data debe consultar el objeto, el ámbito de aplicación y los principios definidos por el legislador, así como los lineamientos fijados por la Corte Constitucional en las sentencias C-1011 de 2008 y C-282 de 2021.
En este sentido, es de mencionar que esta normativa se remite a un escenario concreto que el legislador consideró pertinente regular para dar respuesta a las necesidades propias del ámbito de protección del derecho que nos ocupa. Así, el artículo 2 de la Ley 1266 de 2008 dispone que quedan excluidos de la aplicación de sus preceptos los datos “mantenidos en ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales”[1].
De modo particular se observa que en el Título IV de la referida ley se ubican las reglas de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países que administran los operadores de información, entre las cuales se encuentran las definidas en el artículo 13 y sus parágrafos, relativas a la permanencia de dicha información.
Específicamente, la Corte Constitucional indicó en punto al parágrafo 3 de la citada disposición que la conducta allí ordenada, consistente en actualizar “toda información negativa o desfavorable que se encuentre en bases de datos y se relacione con calificaciones, récord (scorings-score), o cualquier tipo de medición financiera, comercial o crediticia”, no puede leerse de forma aislada, sino, por el contrario, en una interpretación sistemática con el cuerpo común de garantías previstas en la Ley 1266 de 2008 en el ámbito del derecho al habeas data financiero.
En ese contexto se encuentra que la regla de actualización simultánea del mencionado parágrafo aplica a las bases de datos administradas por los operadores de datos y no a las de carácter interno que manejan las entidades vigiladas para la gestión de sus riesgos, por estar excluidas de su campo de aplicación.
Precisado lo anterior, procede anotar que en ejercicio de las facultades previstas en el literal a) del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero, distintas de las asignadas por el numeral 1 del artículo 17 de la Ley 1266 de 2008, esta Superintendencia impartió instrucciones a los establecimientos de crédito para la observancia de las obligaciones propias de la gestión de riesgo de crédito, las cuales se encuentran incorporadas en el Capítulo II de la Circular Básica Contable y Financiera y sus anexos.
Es así como el citado capítulo impone a las entidades el deber de contar con un sistema de seguimiento y control del riesgo de crédito, a través de instrucciones con un fundamento netamente prudencial que les exige llevar a cabo una calificación del riesgo de cada una de las operaciones, para determinar de este modo las provisiones que deben constituir como mecanismo de protección y salvaguarda de los recursos del público.
Luego, en tanto los establecimientos de crédito se rigen por las normas prudenciales para la adecuada gestión de ese riesgo, sus procesos de calificación y sus respectivas bases de datos internas se encuentran sujetos a las mismas.
Lo expuesto, sin perjuicio de advertir que cuando los respectivos modelos de las entidades contemplen variables que dependan de la información financiera administrada por los operadores, aquellas deberán identificar el impacto de esta sobre su gestión del riesgo de crédito y la medición de las provisiones, subsanando las debilidades evidenciadas.
Finalmente, cuando el potencial deudor así lo solicite, las entidades deberán indicar las razones objetivas de la negativa del crédito, de acuerdo con el análisis de riesgo realizado, el cual, según el parágrafo 1 del artículo 10 de la referida Ley 1266, debe estar soportado en factores o elementos de juicio que técnicamente incidan en el mismo, sin que pueda “basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores”.
«(…) mediante la cual solicita un pronunciamiento respecto del alcance del parágrafo 3 del artículo 13 de la Ley 1266 de 2008, incorporado por el artículo 3 de la Ley 2157 de 2021.
Según lo manifestado, motiva la anterior solicitud la necesidad de establecer si se encuentra sujeta a dicha normativa tanto “la información interna de las entidades que tiene finalidades prudenciales”, como “aquella susceptible de ser reportada al mercado para una adecuada gestión del riesgo de crédito”.
Al respecto, se precisa que un pronunciamiento sobre el alcance de las disposiciones contempladas en las leyes 1266 de 2008 y 2157 de 2021 en materia de habeas data debe consultar el objeto, el ámbito de aplicación y los principios definidos por el legislador, así como los lineamientos fijados por la Corte Constitucional en las sentencias C-1011 de 2008 y C-282 de 2021.
En este sentido, es de mencionar que esta normativa se remite a un escenario concreto que el legislador consideró pertinente regular para dar respuesta a las necesidades propias del ámbito de protección del derecho que nos ocupa. Así, el artículo 2 de la Ley 1266 de 2008 dispone que quedan excluidos de la aplicación de sus preceptos los datos “mantenidos en ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales”[1].
De modo particular se observa que en el Título IV de la referida ley se ubican las reglas de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países que administran los operadores de información, entre las cuales se encuentran las definidas en el artículo 13 y sus parágrafos, relativas a la permanencia de dicha información.
Específicamente, la Corte Constitucional indicó en punto al parágrafo 3 de la citada disposición que la conducta allí ordenada, consistente en actualizar “toda información negativa o desfavorable que se encuentre en bases de datos y se relacione con calificaciones, récord (scorings-score), o cualquier tipo de medición financiera, comercial o crediticia”, no puede leerse de forma aislada, sino, por el contrario, en una interpretación sistemática con el cuerpo común de garantías previstas en la Ley 1266 de 2008 en el ámbito del derecho al habeas data financiero.
En ese contexto se encuentra que la regla de actualización simultánea del mencionado parágrafo aplica a las bases de datos administradas por los operadores de datos y no a las de carácter interno que manejan las entidades vigiladas para la gestión de sus riesgos, por estar excluidas de su campo de aplicación.
Precisado lo anterior, procede anotar que en ejercicio de las facultades previstas en el literal a) del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero, distintas de las asignadas por el numeral 1 del artículo 17 de la Ley 1266 de 2008, esta Superintendencia impartió instrucciones a los establecimientos de crédito para la observancia de las obligaciones propias de la gestión de riesgo de crédito, las cuales se encuentran incorporadas en el Capítulo II de la Circular Básica Contable y Financiera y sus anexos.
Es así como el citado capítulo impone a las entidades el deber de contar con un sistema de seguimiento y control del riesgo de crédito, a través de instrucciones con un fundamento netamente prudencial que les exige llevar a cabo una calificación del riesgo de cada una de las operaciones, para determinar de este modo las provisiones que deben constituir como mecanismo de protección y salvaguarda de los recursos del público.
Luego, en tanto los establecimientos de crédito se rigen por las normas prudenciales para la adecuada gestión de ese riesgo, sus procesos de calificación y sus respectivas bases de datos internas se encuentran sujetos a las mismas.
Lo expuesto, sin perjuicio de advertir que cuando los respectivos modelos de las entidades contemplen variables que dependan de la información financiera administrada por los operadores, aquellas deberán identificar el impacto de esta sobre su gestión del riesgo de crédito y la medición de las provisiones, subsanando las debilidades evidenciadas.
Finalmente, cuando el potencial deudor así lo solicite, las entidades deberán indicar las razones objetivas de la negativa del crédito, de acuerdo con el análisis de riesgo realizado, el cual, según el parágrafo 1 del artículo 10 de la referida Ley 1266, debe estar soportado en factores o elementos de juicio que técnicamente incidan en el mismo, sin que pueda “basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores”.
(…).»
[1] La Corte Constitucional en Sentencia C 1011 de 2008 expresó: “la misma norma establece un grupo de ámbitos de exclusión de la aplicación de la ley, relacionados con los datos sometidos a reserva, las bases de datos relacionados con la seguridad y defensa nacional, el registro mercantil de las cámaras de comercio y los datos mantenidos en un ámbito personal o doméstico y, por ende, no sometidos a la circulación (…) Considerar lo contrario, esto es, aplicar la normatividad objeto de examen a los distintos escenarios de administración de datos personales, llevaría a equívocos, perplejidades e, incluso, violaciones de los derechos constitucionales”.
Última modificación 05/01/2022