RESUMEN: ¿Qué límites tienen las consultas de datos financieros? La Superintendencia Financiera emitió un concepto en el que analiza las consultas de información financiera, crediticia y comercial que realizan las entidades financieras. Según el concepto, estas consultas están sujetas al cumplimiento de los principios de finalidad y temporalidad, establecidos en la Ley 1266 de 2008 y su modificación por la Ley 2157 de 2021. Esto implica que los datos solo pueden usarse mientras exista una finalidad legítima, como la evaluación del riesgo crediticio o la gestión de relaciones contractuales, asegurando el respeto al derecho fundamental al hábeas data.
En la práctica, esto significa que las entidades no pueden consultar información personal de forma indefinida ni sin propósito claro. Una vez desaparezca la finalidad autorizada, los datos deben dejar de ser consultados. Además, las entidades deben evaluar los datos de forma complementaria con otros factores y no basarse exclusivamente en información negativa para tomar decisiones de crédito. Esto refuerza la transparencia en el tratamiento de datos y protege a los titulares de información de usos indebidos o excesivos.
Ver a continuación documento de la Superintendencia Financiera sobre: ¿Qué límites tienen las consultas de datos financieros?:
HÁBEAS DATA, PRINCIPIO DE FINALIDAD Y TEMPORALIDAD
SUPERINTENDENCIA FINANCIERA
Concepto 2024096444-001 del 20 de agosto de 2024
Síntesis: Las entidades financieras pueden consultar las bases de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países que administran los operadores, en tanto subsista la finalidad legítima para la cual la ley o el titular han concedido dicho acceso, y aquella guarde correspondencia con el propósito para el cual se acopia dicha información, es decir permitir el análisis del riesgo crediticio del titular de los datos.
«(…) consulta cuántas veces y hasta cuándo una entidad financiera puede consultar la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países que publican los operadores de bancos de datos (centrales de riesgo).
Al respecto, le informamos que, revisada la normativa colombiana, principalmente la Ley Estatutaria 1266 de 2008 (modificada por la Ley 2157 de 2021) que regula el habeas data financiero, así como sus decretos reglamentarios, no se observa disposición alguna que señale limitaciones en cuanto al número o frecuencia de las consultas que se pueden efectuar sobre la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países[1] que administran los operadores de tales datos.
No obstante, dado que en el manejo de tal información se debe garantizar la eficacia del derecho fundamental al habeas data del respectivo titular de los datos, dicha actividad se sujeta a la observancia de los principios señalados en el artículo 3 de la precitada ley 1266, entre los cuales destacamos los siguientes:
b) Principio de finalidad. La administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto;
(…)
d) Principio de temporalidad de la información. La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos. (Se subraya)
De acuerdo con lo anterior, el suministro de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países a los usuarios autorizados por la misma ley puede tener lugar en tanto subsista la finalidad legítima para la cual se le ha concedido dicho acceso, ya sea por parte de la ley o el titular. Respecto a este asunto, el artículo 15 de la Ley 1266 de 2008 señala:
La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países podrá ser accedida por los usuarios únicamente con las siguientes finalidades:
Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así como para la evaluación de los riesgos derivados de una relación contractual vigente.
Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.
Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.
Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información. (Se subraya).
Sobre el acceso a la información por parte de las entidades financieras para estas finalidades, en especial para las dos (2) primeras, se refirió la Corte Constitucional a través de la Sentencia C-1011 del 16 de octubre de 2008, oportunidad en la cual precisó que se enmarcan dentro de un “objetivo constitucionalmente legítimo”, en la medida en que en esos eventos lo que se pretende es brindar a tales entidades de un elemento de análisis que, de manera concurrente con otros, les permita medir el crédito y el nivel de riesgo de sus actuales y futuros clientes, así como implementar estrategias vinculadas al desarrollo de la actividad de crédito, a la protección de la confianza pública en el sistema financiero y a la estabilidad del sistema en su conjunto, respectivamente.
En cuanto al inciso final de la norma transcrita, conforme al cual los usuarios pueden acceder a la información de los titulares que reposa en bases de datos cuando estos así lo hayan consentido, la Corte precisó que debe interpretarse en forma compatible con el principio de libertad, de manera que en tales casos la autorización no puede ser una “cláusula abierta” y debe identificar claramente el propósito para la cual se otorga.
En todo caso, cualquier alternativa de acceso al dato personal de contenido comercial y crediticio por parte de los usuarios, es decir ya sea para alguna de los fines indicados en la ley o en la autorización otorgada por el titular, debe entenderse y llevarse a cabo con sujeción a los límites que establece el marco constitucional y legal, “en especial el principio de temporalidad de la información y la finalidad del banco de datos” que no es otra que el cálculo del riesgo crediticio, “basado en el análisis del modo en que el sujeto concernido cumple con sus obligaciones financieras y comerciales”.
Bajo ese marco normativo y jurisprudencial se desprende entonces que las entidades financieras pueden consultar las bases de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países que administran los operadores en tanto requieran tales datos para alguna de las finalidades contempladas en el citado artículo 15 de la Ley 1266 de 2008 o la que el titular hubiera autorizado, y que tenga a su vez plena correspondencia con el fin para el cual se acopia dicha información, a saber: servir como herramienta para el análisis del riesgo crediticio del titular de los datos. Desaparecida la necesidad de utilizar la información para tales propósitos, la entidad financiera, conforme al principio de temporalidad, no podrá consultarla.
Finalmente, en atención a las manifestaciones de su escrito, estimamos importante agregar que de conformidad con el artículo 10 de la Ley 1266 de 2008:
- Los usuarios de la información financiera y crediticia deben valorarla en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no pueden basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores para adoptar decisiones frente a solicitudes de crédito.
- La revisión continua de la información a la que se ha hecho referencia, por parte del titular o un usuario, no puede ser causal para la disminución en la calificación de riesgo, récord (scorings-score), o cualquier tipo de medición.
- El desconocimiento de tales deberes por parte de los usuarios de la información se sujeta al régimen sancionatorio de los artículos 18 y 19 de la misma ley.
(…).»
[1] La Ley 1266 de 2008 define la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países como “aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen”.
Puedes encontrar más información sobre: ¿Qué límites tienen las consultas de datos financieros?, en superfinanciera.gov.co
Además del tema relacionado con: ¿Qué límites tienen las consultas de datos financieros?, quizás te interese leer: Protección de Datos Personales: Obligaciones del Tercero Subcontratado – Concepto SIC N° 22-401941