Sentencia Nº 15001-33-33-0013-2021-00113-01 del Tribunal Administrativo de Boyacá, 15-09-2021
| Sentido del fallo | CONFIRMA PARCIALMENTE |
| Emisor | Tribunal Administrativo de Boyacá (Colombia) |
| Número de registro | 81563160 |
| Número de expediente | 15001-33-33-0013-2021-00113-01 |
| Fecha | 15 Septiembre 2021 |
| Normativa aplicada | 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Artículo 13 de la Ley Estatutaria 1266 de 2008. 11. Artículo 12 de la Ley 1266 de 2008. 12. Sentencia C- 1011 de 2008. 13. Artículo 13 de la Ley 1266 de 2008. |
| Materia | DERECHO FUNDAMENTAL AL HABEAS DATA - Dato personal / TESIS: Es necesario destacar que el ámbito de protección del derecho en comento no se reduce a las posibilidades de “conocer, actualizar y rectificar”. A partir del mandado del artículo 15 superior y su desarrollo jurisprudencial, la Corte también ha establecido una dimensión subjetiva del derecho al habeas data, la cual consiste en las alternativas de “autorizar, incluir, suprimir y certificar”. DERECHO FUNDAMENTAL AL HABEAS DATA - Deberes a cargo de las administradoras de datos. / TESIS: Es necesario destacar que el ámbito de protección del derecho en comento no se reduce a las posibilidades de “conocer, actualizar y rectificar”. A partir del mandado del artículo 15 superior y su desarrollo jurisprudencial, la Corte también ha establecido una dimensión subjetiva del derecho al habeas data, la cual consiste en las alternativas de “autorizar, incluir, suprimir y certificar”. DATOS PERSONALES - Fuente de información / TESIS: Es importante resaltar que la fuente de información puede suministrar el dato personal, siempre y cuando cuente con autorización previa legal o del titular, al operador de la información y deberá responder por la calidad de los datos que entrega. DATOS PERSONALES - Operador de la información / TESIS: Por su parte, el operador de la información está en la obligación de verificar que el dato personal que le envía la fuente es veraz y unívoco. Además, teniendo en cuenta que el operador es quien administra la base de datos tienen la responsabilidad junto a la fuente de garantizar que la información sea completa, es decir, está prohibido el suministro de información incompleta, parcial o fraccionada. REPORTE NEGATIVO ANTE CENTRALES DE RIESGO - Requisitos de procedencia. / TESIS: existen dos requisitos que deben observarse para que proceda el reporte negativo, éstos son: “(i) la veracidad y la certeza de la información; y, (ii) la necesidad de autorización expresa para el reporte del dato financiero negativo” . Frente al principio de veracidad y certeza de la información es pertinente recordar que el operador de los datos está en la obligación de verificar que la información que le suministra la fuente es cierta, actualizada, comprobable y comprensible, para proceder a emitir la novedad negativa, es decir, no puede reportar datos falsos, incompletos, parciales o fraccionados. En desarrollo del principio de libertad, y a la necesidad de que la información haya sido recabada de forma legal, la jurisprudencia constitucional ha establecido que es necesario que el titular de la información haya autorizado expresamente a la entidad fuente para reportar estos datos a la central de riesgos, autorización que debe ser previa, libre, expresa, constar por escrito y provenir del titular de la información. Ella, según lo ha dicho esta Corte, “constituye el fundamento y el punto de equilibrio que le permite, a las entidades solicitar o reportar el incumplimiento de las obligaciones por parte de algún usuario del sistema financiero a las centrales de riesgo. En esta medida, cuando el titular encuentre que no ha dado su autorización para el reporte estaría facultado, debido al incumplimiento de este requisito, para reclamar la exclusión del dato”. REPORTE NEGATIVO ANTE CENTRALES DE RIESGO - Comunicación previa exigida por la Ley / TESIS: Las fuentes de información podrán pactar con los titulares, otros mecanismos mediante los cuales se dé cumplimiento al envío de la comunicación en mención, “los cuales podrán consistir, entre otros, en cualquier tipo de mensaje de datos, siempre que se ajusten a lo previsto en Ley 527 de 1999 y sus decretos reglamentarios y que la comunicación pueda ser objeto de consulta posteriormente”. REPORTE NEGATIVO ANTE CENTRALES DE RIESGO - Autorización previa del titular / TESIS: Debe existir autorización expresa, previa, clara, escrita, concreta y libremente otorgada por el titular del dato , esto con el fin de permitirle ejercer efectivamente su garantía al habeas data, la cual se traduce en la posibilidad de conocer, actualizar y rectificar las informaciones que se hayan recopilado sobre él en las centrales de riesgo. De lo contrario, se vulneraría su derecho a la autodeterminación informática porque no tendría control sobre la información personal, financiera y crediticia que circularía respecto de él en las bases de datos públicas y privadas. DATO FINANCIERO NEGATIVO - Caducidad. / TESIS: De acuerdo con la jurisprudencia constitucional, el principio de caducidad “estipula que la información desfavorable del titular debe ser retirada de las bases de datos, de forma definitiva, con base en criterios de razonabilidad y oportunidad. En consecuencia, se prohíbe la conservación indefinida de datos personales, después que hayan desaparecido las causas que justificaron su acopio y administración”. La Corte Constitucional ha construido una sólida línea jurisprudencial en relación con el tema de la caducidad del dato negativo, partiendo de la identificación de una premisa básica, cual es, la de que no es posible que las personas queden indefinidamente atadas a informaciones negativas sobre su comportamiento crediticio y comercial. DATO FINANCIERO NEGATIVO - Reglas de permanencia. / TESIS: Con base en el artículo 13 de la Ley Estatutaria 1266 de 2008, la Corte estableció las siguientes reglas de permanencia de los datos negativos en las centrales de riesgo: (i) la caducidad del dato financiero, en caso de que la mora haya ocurrido en un lapso inferior a dos años, no podrá exceder el duplo de la mora, (ii) si el titular de la obligación cancela las cuotas o el total de la obligación vencida en un lapso que supera los dos años de mora, el término de caducidad será de cuatro años contados a partir de la fecha en que éste cumple con el pago de su obligación y, (iii) tratándose de obligaciones insolutas, el término de caducidad del reporte negativo también será de cuatro años, contado a partir de que la obligación se extinga por cualquier modo. REPORTE NEGATIVO ANTE CENTRALES DE RIESGO - Cumplimiento de los requisitos en caso concreto. / TESIS: la Sala no advierte que se haya vulnerado los derechos fundamentales al debido proceso y al habeas data del accionante por supuestamente reportar información negativa a DATACREDITO y a la CIFIN S.A, sin contar con su autorización previa, de que trata el artículo 12 de la Ley 1266 de 2008, ya que está plenamente probado que el ICETEX previo a hacer el reporte a los operadores demandados, le envió dos comunicaciones al accionante con el fin de que se pusiera al día en su obligación, advirtiendo en ambas, que el reporte se haría veinte (20) días calendario siguientes a la fecha de su envío, es decir, a partir del 15 de septiembre 2017 y del 20 de diciembre de 2018. REPORTE NEGATIVO ANTE CENTRALES DE RIESGO - Obligación del operador de actualizar y rectificar información directamente / TESIS: La Corte Constitucional en la sentencia C- 1011 de 2008, MP.: Jaime Córdoba Triviño, concluyó que luego de la recepción del dato transmitido por la fuente, el operador adquiere deberes específicos respecto a la protección del derecho al hábeas data del sujeto concernido, lo que incorpora obligaciones concretas en cuanto a la calidad de los datos, luego de la transmisión. Por las razones expuestas, y contrario a lo expuesto por DATACRÉDITO, la Sala estima que le compete actualizar y rectificar la información que tenga de los titulares de la información en sus bases de datos directamente, sin necesidad de que haya un reporte previo de novedad de la fuente de información, que en el presente caso, es el ICETEX, en caso de que el actor así lo solicite y sea permitente, ya que, a partir de que recibe la información que le remite la fuente de información es responsable del contenido de la mism REPORTE NEGATIVO ANTE CENTRALES DE RIESGO - Término máximo de permanencia / TESIS: El artículo 13 de la Ley 1266 de 2008 consagra que los datos cuyo contenido haga referencia a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. Además, la Corte Constitucional en la sentencia C- 1011 de 2008 también consideró que “la caducidad del dato financiero en caso de mora inferior a dos años, no podrá exceder el doble de la mora”. En virtud de lo anterior se puede concluir que la afectación del derecho fundamental de habeas data, respecto al principio de caducidad del dato financiero negativo, se produce cuando la información desfavorable del titular permanece en las bases de datos de los operadores de información, con acceso a consulta del público, de forma definitiva o exceda el término máximo de permanencia. |
DERECHO FUNDAMENTAL AL HABEAS DATA / Dato personal / Cualidades.
En sentencia T-729 de 2002, la Corte indicó que el concepto “dato personal” presenta las siguientes cualidades: i) se refiere a aspectos exclusivos y propios de una persona natural, ii) permite identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento -captación, administración y divulgación- está sometido a determinados principios.
DERECHO FUNDAMENTAL AL HABEAS DATA / Alcance.
Es necesario destacar que el ámbito de protección del derecho en comento no se reduce a las posibilidades de “conocer, actualizar y rectificar”. A partir del mandado del artículo 15 superior y su desarrollo jurisprudencial, la Corte también ha establecido una dimensión subjetiva del derecho al habeas data, la cual consiste en las alternativas de “autorizar, incluir, suprimir y certificar”.
DERECHO FUNDAMENTAL AL HABEAS DATA / Deberes a cargo de las administradoras de datos.
La Corte también ha identificado y definido los deberes correlativos al derecho al habeas data. Al respecto, ha resaltado que las administradoras de datos que almacenan información personal tienen el deber constitucional general “de administrar correctamente y de proteger los archivos y bases de datos que contengan información personal o socialmente relevante”. Además, tales sujetos tienen deberes constitucionales concretos tales como dar “información acerca de la existencia del dato a su titular”, “ponerla a disposición de sus titulares, actualizarla y rectificarla, cuando consideren que razonablemente deben hacerlo”, “ajustarla tan pronto tienen conocimiento de cualquier novedad”, entre otros.
DATOS PERSONALES / Fuente de información / Debe contar con autorización del titular para suministrar el dato.
Es importante resaltar que la fuente de información puede suministrar el dato personal, siempre y cuando cuente con autorización previa legal o del titular, al operador de la información y deberá responder por la calidad de los datos que entrega.
DATOS PERSONALES / Operador de la información / Debe verificar veracidad y univocidad del dato.
Por su parte, el operador de la información está en la obligación de verificar que el dato personal que le envía la fuente es veraz y unívoco. Además, teniendo en cuenta que el operador es quien administra la base de datos tienen la responsabilidad junto a la fuente de garantizar que la información sea completa, es decir, está prohibido el suministro de información incompleta, parcial o fraccionada.
REPORTE NEGATIVO ANTE CENTRALES DE RIESGO / Requisitos de procedencia.
existen dos requisitos que deben observarse para que proceda el reporte negativo, éstos son: “(i) la veracidad y la certeza de la información; y, (ii) la necesidad de autorización expresa para el reporte del dato financiero negativo” . Frente al principio de veracidad y certeza de la información es pertinente recordar que el operador de los datos está en la obligación de verificar que la información que le suministra la fuente es cierta, actualizada, comprobable y comprensible, para proceder a emitir la novedad negativa, es decir, no puede reportar datos falsos, incompletos, parciales o fraccionados. En desarrollo del principio de libertad, y a la necesidad de que la información haya sido recabada de forma legal, la jurisprudencia constitucional ha establecido que es necesario que el titular de la información haya autorizado expresamente a la entidad fuente para reportar estos datos a la central de riesgos, autorización que debe ser previa, libre, expresa, constar por escrito y provenir del titular de la información. Ella, según lo ha dicho esta Corte, “constituye el fundamento y el punto de equilibrio que le permite, a las entidades solicitar o reportar el incumplimiento de las obligaciones por parte de algún usuario del sistema financiero a las centrales de riesgo. En esta medida, cuando el titular encuentre que no ha dado su autorización para el reporte estaría facultado, debido al incumplimiento de este requisito, para reclamar la exclusión del dato”.
REPORTE NEGATIVO ANTE CENTRALES DE RIESGO / Comunicación previa exigida por la Ley / Partes pueden pactar diversos mecanismos.
Las fuentes de información podrán pactar con los titulares, otros mecanismos mediante los cuales se dé cumplimiento al envío de la comunicación en mención, “los cuales podrán consistir, entre otros, en cualquier tipo de mensaje de datos, siempre que se ajusten a lo previsto en Ley 527 de 1999 y sus decretos reglamentarios y que la comunicación pueda ser objeto de consulta posteriormente”.
REPORTE NEGATIVO ANTE CENTRALES DE RIESGO / Autorización previa del titular / Finalidad.
Debe existir autorización expresa, previa, clara, escrita, concreta y libremente otorgada por el titular del dato , esto con el fin de permitirle ejercer efectivamente su garantía al habeas data, la cual se traduce en la posibilidad de conocer, actualizar y rectificar las informaciones que se hayan recopilado sobre él en las centrales de riesgo. De lo contrario, se vulneraría su derecho a la autodeterminación informática porque no tendría control sobre la información personal, financiera y crediticia que circularía respecto de él en las bases de datos públicas y privadas.
DATO FINANCIERO NEGATIVO / Caducidad.
De acuerdo con la jurisprudencia constitucional, el principio de caducidad “estipula que la información desfavorable del titular debe ser retirada de las bases de datos, de forma definitiva, con base en criterios de razonabilidad y oportunidad. En consecuencia, se prohíbe la conservación indefinida de datos personales, después que hayan desaparecido las causas que justificaron su acopio y administración”. La Corte Constitucional ha construido una sólida línea jurisprudencial en relación con el tema de la caducidad del dato negativo, partiendo de la identificación de una premisa básica, cual es, la de que no es posible que las personas queden indefinidamente atadas a informaciones negativas sobre su comportamiento crediticio y comercial.
DATO FINANCIERO NEGATIVO / Reglas de permanencia.
Con base en el artículo 13 de la Ley Estatutaria 1266 de 2008, la Corte estableció las siguientes reglas de permanencia de los datos negativos en las centrales de riesgo: (i) la caducidad del dato financiero, en caso de que la mora haya ocurrido en un lapso inferior a dos años, no podrá exceder el duplo de la mora, (ii) si el titular de la obligación cancela las cuotas o el total de la obligación vencida en un lapso que supera los dos años de mora, el término de caducidad será de cuatro años contados a partir de la fecha en que éste cumple con el pago de su obligación y, (iii) tratándose de obligaciones insolutas, el término de caducidad del reporte negativo también será de cuatro años, contado a partir de que la obligación se extinga por cualquier modo.
REPORTE NEGATIVO ANTE CENTRALES DE RIESGO / Cumplimiento de los requisitos en caso concreto.
la Sala no advierte que se haya vulnerado los derechos fundamentales al debido proceso y al habeas data del accionante por supuestamente reportar información negativa a DATACREDITO y a la CIFIN S.A, sin contar con su autorización previa, de que trata el artículo 12 de la Ley 1266 de 2008, ya que está plenamente probado que el ICETEX previo a hacer el reporte a los operadores demandados, le envió dos comunicaciones al accionante con el fin de que se pusiera al día en su obligación, advirtiendo en ambas, que el reporte se haría veinte (20) días calendario siguientes a la fecha de su envío, es decir, a partir del 15 de septiembre 2017 y del 20 de diciembre de 2018.
REPORTE NEGATIVO ANTE CENTRALES DE RIESGO / Obligación del operador de actualizar y rectificar información directamente / No es necesario reporte previo de la fuente.
La Corte Constitucional en la sentencia C- 1011 de 2008, MP.: J.C.T., concluyó que luego de la recepción del dato transmitido por la fuente, el operador adquiere deberes específicos respecto a la protección del derecho al hábeas data del sujeto concernido, lo que incorpora obligaciones concretas en cuanto a la calidad de los datos, luego de la transmisión. Por las razones expuestas, y contrario a lo expuesto por DATACRÉDITO, la Sala estima que le compete actualizar y rectificar la información que tenga de los titulares de la información en sus bases de datos directamente, sin necesidad de que haya un reporte previo de novedad de la...
Para continuar leyendo
Solicita tu prueba