Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.
Superintendencia Financiera
Concepto 2014012472-001
21-02-2014
Bases de datos, permanencia del reporte
Síntesis: Tratándose del manejo de la información, por parte de la fuente, contenida en las bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países de que trata la Ley 1266 de 2008, ésta no estableció su eliminación sino su permanencia indefinida, bajo condiciones de reserva, seguridad, confidencialidad, acceso y circulación restringida en cumplimiento de los principios establecidos en el artículo 4º, tanto de la Ley 1266 de 2008 como de la Ley 1581 de 2012, ésta última aplicable en materia de principios y en la trasferencia de datos a terceros países.
«(…) comunicación mediante la cual desea saber si a la luz de la Ley de Hábeas Data, la información de personas que fueron clientes y en la actualidad no poseen productos vigentes con el establecimiento de crédito, pueden ser retirados de sus bases de datos y de no ser posible su retiro, cuáles serían las condiciones de conservación y duración de permanencia.
En el caso de las entidades sujetas a la inspección y vigilancia de esta Superintendencia, los datos personales de los clientes o de quienes fueron clientes, por su carácter, naturaleza o finalidad, es decir, que directa o indirectamente se relaciona con información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, se rige por la Ley 1266 de 2008 y no hace parte del ámbito de aplicación de la Ley 1581 de 2012, excepto en la aplicación de los principios y en la trasferencia de datos a terceros países.
Establecido el ámbito de aplicación, la Ley 1266 de 2008 no consagra la eliminación de los datos personales contenida en las bases de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, excepto cuando el operador de bancos de datos (no la fuente de información), administra un dato negativo, y desde que exista la autorización previa y expresa por parte del titular para ser reportado, autorización que solo se predica para el reporte, tal como lo señala el numeral 5º del artículo 8 ibídem, el reporte negativo debe ser eliminado, una vez el deudor esté al día en sus pagos y cumpla el tiempo de permanencia.
Al respecto, basta recordar que de acuerdo con los literales a) y b) del artículo 14 de la ley 1266 de 2008, se presenta reporte negativo cuando las personas naturales o jurídicas se encuentran en mora en sus cuotas u obligaciones, y reporte positivo cuando están al día en las mismas. El reporte negativo se deberá eliminar, siempre y cuando el deudor se encuentre al día con sus obligaciones y los históricos de mora cumplan con el tiempo de permanencia señalado por la Corte Constitucional en Sentencia C-1011 de 2008 y reglamentado por el artículo 3 del Decreto 2952 de 2010.
En tanto, la información de carácter positivo permanecerá de manera indefinida en los citados operadores, de acuerdo con lo dispuesto en el artículo 13 de la Ley 1266 de 2008. Luego, si la información de carácter positivo debe permanecer de manera indefinida en los operadores de bancos de datos, con mayor razón, en la fuente de información, entre otras razones, porque las entidades sujetas a nuestra inspección y vigilancia, tienen otra serie de deberes cuyo principal insumo es precisamente la información de sus clientes o de quienes lo fueron, como por ejemplo: los estudios estadísticos y matemáticos para efectuar los cálculos de las probabilidades de incumplimiento, de las pérdidas esperadas, y en general, de los demás elementos y factores que inciden en la construcción de los modelos de referencia para la evaluación del riesgo crediticio, de que trata el Capítulo II de la Circular Básica Contable y Financiera 100 de 1995, en aras de proteger los recursos, en la medida en que está de por medio el aprovechamiento y la inversión de los dineros captados del público ahorrador, y tutelar de esta forma bienes jurídicos como lo es la estabilidad y la confianza pública.
Del mismo modo, la información de sus clientes o de quienes lo fueron, también puede y debe estar a disposición de las autoridades judiciales o administrativas competentes, cuando éstas lo requieran por ejemplo en materia del riesgo de lavado de activos o financiación del terrorismo en cumplimiento de lo dispuesto en el artículo 102 y siguientes del Estatuto Orgánico del Sistema Financiero, en concordancia con lo señalado en el Capítulos XI y XIII, Título I de la Circular Básica Jurídica C.E. 007 de 1996, para evitar que en la realización de sus operaciones, las entidades puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinadas a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas. También a manera de ejemplo, en materia tributaria en cumplimento de las normas de orden legal de tipo fiscal, etc. De hecho, la misma entidad en su calidad de fuente y usuaria de la información, puede utilizarla “como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas”, según lo señalado en artículo 15 de la Ley 1266 de 2008.
Conforme a lo anteriormente expuesto, es claro que los datos personales de los clientes o de quienes fueron clientes deben permanecer de manera indefinida no solo en las bases de datos, sino también, la que reposa en los archivos y demás documentos o papeles de la entidad, para tal efecto, cabe recordar que para el caso de las entidades vigiladas por la extinta Superintendencia Bancaria, éstas deben observar para la conservación de sus archivos y documentos, un término perentorio no menor de cinco (5) años desde la fecha del último asiento, documento o comprobante. En tanto, las instituciones sometidas a la vigilancia de la entonces Superintendencia de Valores como no tienen un régimen especial como es el señalado en el artículo 96 del Estatuto Orgánico del Sistema Financiero, en consecuencia, se les aplica el régimen general previsto actualmente en el artículo 28 de la Ley 962 de 2005, que sería de diez (10) años.
En todo caso, vencido estos lapsos de tiempo, podrán ser destruidos siempre que por cualquier medio técnico adecuado, se garantice su reproducción exacta.
Como se aprecia, tratándose del manejo de la información, por parte de la fuente, contenida en las bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países de que trata la Ley 1266 de 2008, ésta no estableció su eliminación sino su permanencia indefinida, bajo condiciones de reserva, seguridad, confidencialidad, acceso y circulación restringida en cumplimiento de los principios establecidos en el artículo 4º, tanto de la Ley 1266 de 2008 como de la Ley 1581 de 2012 (ésta última aplicable en materia de principios y en la trasferencia de datos a terceros países).
(…).»
Fundada en el año 2000 con la misión de “elevar el nivel profesional del Contador Público”
