Texto definitivo aprobado en sesión plenaria del Senado de la República del día 7 de junio de 2023 al proyecto de ley número 303 de 2023 Senado - 190 de 2022 Cámara, por medio del cual se establecen medidas para proteger a las personas del reporte negativo ante operadores de información y el cobro de obligaciones en casos de suplantación de identidad ante los operadores de telecomunicaciones, las entidades financieras-crediticias y demás establecimientos comerciales con esta competencia y se dictan otras disposiciones
| Fecha de publicación | 09 Junio 2023 |
| Número de Gaceta | 672 |
Página 18 Viernes, 9 de junio de 2023 G 672
TEXTO DEFINITIVO APROBADO EN SESIÓN PLENARIA DEL SENADO DE LA
REPÚBLICA DEL DÍA 7 DE JUNIO DE 2023 AL PROYECTO DE LEY No. 303 DE
2023 SENADO – 190 DE 2022 CÁMARA “POR MEDIO DEL CUAL SE
ESTABLECEN MEDIDAS PARA PROTEGER A LAS PERSONAS DEL REPORTE
NEGATIVO ANTE OPERADORES DE INFORMACIÓN Y EL COBRO DE
OBLIGACIONES EN CASOS DE SUPLANTACIÓN DE IDENTIDAD ANTE LOS
OPERADORES DE TELECOMUNICACIONES, LAS ENTIDADES FINANCIERAS –
CREDITICIAS Y DEMÁS ESTABLECIMIENTOS COMERCIALES CON ESTA
COMPETENCIA Y SE DICTAN OTRAS DISPOSICIONES”.
EL CONGRESO DE COLOMBIA
DECRETA:
Artículo 1°. Objeto. La presente ley tiene por objeto la adopción de medidas,
procesos y políticas por parte de los operadores de telecomunicaciones y las entidades
financieras-crediticias y demás establecimientos comerciales con esta competencia,
para proteger los derechos de las personas suplantadas en su identidad de reportes
negativos ante operadores de información y el cobro de obligaciones.
Artículo 2°. Principios. Serán aplicables los principios contenidos en la Ley 1266 de
2008 y la Ley 1581 de 2012 y en especial los que a continuación se enuncian, sin
perjuicio de la aplicación integral de los principios enunciados en aquellas leyes:
a. Principio de Acceso y Circulación Restringida. El Tratamiento de datos se sujeta
a los límites que se derivan de la naturaleza de los datos personales, de las
disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento
sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas
previstas en la presente ley.
Los datos personales, salvo la información pública, no podrán estar disponibles
en Internet u otros medios de divulgación o comunicación masiva, salvo que el
acceso sea técnicamente controlable para brindar un conocimiento restringido
sólo a los Titulares o terceros autorizados conforme a la presente ley.
b. Principio de Seguridad. La información sujeta a Tratamiento por el Responsable
del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se
deberá manejar con las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración,
duplicación, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c. Principio de Veracidad. La información sujeta a Tratamiento debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el
Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a
error.
d. Principio de carga dinámica de la prueba. Tendrá obligación de probar la parte
que mejor se encuentre en condiciones de hacerlo. En materia de suplantación,
los operadores de telecomunicaciones y las entidades financieras y/o crediticias
deberán entregar la información y documentos que recibieron para hacer la
aprobación del bien o servicio.
Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:
a. Ciberseguridad. Es el desarrollo de capacidades de entidades públicas y privadas
para defender y anticipar las amenazas cibernéticas o de ingeniería social con el
fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio
que son esenciales para la operación de la entidad.
b. Ingeniería Social. Método utilizado por los atacantes cibernéticos para engañar
a los usuarios informáticos, para que realicen una acción que normalmente
produce consecuencias negativas, como la descarga de virus informáticos y/o la
divulgación de información personal.
c. Persona suplantada. Es la persona natural y/o jurídica que es afectada por la
utilización de sus datos personales de forma fraudulenta a través de medios
físicos y/o digitales.
d. Seguridad Digital. Situación de normalidad y tranquilidad del entorno digital,
resultado de la promoción de la gestión del riesgo, el tratamiento adecuado de
datos personales, la implementación de medidas de ciberseguridad y el uso
efectivo de las capacidades de defensa digital.
e. Suplantación de Identidad digital. Hacerse pasar por otra persona para obtener
un beneficio, engañar a terceros, obtener bienes y servicios con cargo a la
persona suplantada, incurrir en fraudes, entre otras conductas ilícitas a través
del uso de programas informáticos, páginas informativas y/o electrónicas,
correos electrónicos o, ingeniería social y mensajes de texto -MSM-.
f. Suplantación de identidad física. Hacerse pasar por otra persona para obtener
un beneficio, engañar a terceros, obtener bienes y servicios con cargo a la
persona suplantada, incurrir en fraudes, entre otras conductas ilícitas.
g. Fuente: Es la persona, entidad u organización que recibe o conoce datos
personales de los titulares de la información, en virtud de una relación comercial
o de servicio o de cualquier otra índole y que, en razón de autorización legal o
del titular, suministra esos datos a un operador de Información, el que a su vez
los entregará al usuario final.
Artículo 4°. Tipos de suplantación de identidad. Para los efectos de la aplicación
de la presente ley la suplantación de identidad se presentará en los siguientes casos:
a. La suplantación de identidad mediante la expedición y uso de datos para fines
ilícitos: Se presenta cuando se gestiona, obtiene, usa, venda, ofrezca, posea,
suministre, intercambie, divulgue y/o emplee para fines ilícitos entre otros los
siguientes:
1. Documentos de identificación personal nacional o extranjera, que no le
pertenezca a quien la posee.
2. Datos personales sin autorización del titular de los mismos.
3. Tarjetas débito o crédito expedidas por entidades financieras y/o crediticias
nacionales o extranjeras, que no le pertenezcan a quien las posee, y/o realice
compras o transacciones con éstas.
4. Creación de perfiles digitales falsos que afecten la honra y buen nombre del
titular de los datos personales suplantados.
b. La suplantación de identidad mediante medios electrónicos: Ocurre cuando la
suplantación se da a través de prácticas consistentes en el diseño, elaboración,
desarrollo, descarga, comercialización, envío, venta, suministro, o uso para fines
ilícitos de medios electrónicos que están dirigidos a obtener sin autorización del
titular información o datos personales.
Artículo 5°. Obligaciones de los operadores de telecomunicaciones y las
entidades financieras y/o crediticias y demás establecimientos comerciales
con esta competencia. Sin perjuicio de las obligaciones contenidas en la Ley 1266
de 2008 y 1581 de 2012, será deber de los operadores de telecomunicaciones y las
entidades financieras y/o crediticias y demás establecimientos comerciales con esta
competencia:
1. Adoptar las medidas de seguridad digital suficientes y razonables necesarias para
establecer la veracidad de la identidad de las personas y los documentos
presentados para adquirir sus productos y/o servicios.
2. Cuando exista denuncia de falsedad personal o delitos conexos, se debe realizar
el reporte correspondiente a los operadores de información, marcándolo como
“víctima de falsedad personal”, sin que esto impacte la puntuación de la presunta
víctima de suplantación.
3. Adoptar mecanismos suficientes y razonables que permitan validar la información
que suministran las personas que adquieren sus productos y/o servicios. La
validación de la veracidad de la información suministrada se hará bajo el principio
de buena fe.
4. Dar trámite oportuno a las solicitudes y/o quejas allegadas por las personas
suplantadas, dentro de los diez (10) días hábiles siguientes a la radicación del
mismo, de conformidad con lo señalado en la Ley 2157 de 2021.
5. Suspender de forma inmediata la prestación o suministro de los bienes y/o
servicios que se hubiesen adquirido por conducta fraudulenta, una vez sean
informados por las personas suplantadas.
6. Comunicar a la persona suplantada el término de que trata el artículo 7 de la
presente ley, con el fin de ser beneficiario de suspensión de los cobros y reportes
a los operadores de información financieras y/o crediticias.
7. A solicitud de la persona presuntamente suplantada, entregar copia de la
información y/o documentos aportados para la aprobación del producto y/o
servicio que se haya solicitado a su nombre. La persona suplantada deberá
TEXTOS DE PLENARIA
TEXTO DEFINITIVO APROBADO EN SESIÓN PLENARIA DEL SENADO DE LA
REPÚBLICA DEL DÍA 7 DE JUNIO DE 2023 AL PROYECTO DE LEY NÚMERO 303 DE
2023 SENADO – 190 D E 2022 CÁMARA
por medio del cual se establecen medidas para proteger a las personas del reporte negativo ante
operadores de información y el cobro de obligaciones en casos de suplantación de identidad ante los
operadores de telecomunicaciones, las entidades nancieras-crediticias y demás establecimientos
comerciales con esta competencia y se dictan otras disposiciones.
Para continuar leyendo
Solicita tu prueba