Analisis de la sancion impuesta a Experian Computec - Datacredito por violacion del regimen de habeas data en Colombia

1. DATACREDITO SANCIONADO POR VIOLACION DEL REGIMEN DE HABEAS DATA EN
COLOMBIA
Por: Ivan Dario Marrugo Jimenezi
Resultó llamativa entre el circulo de profesionales “encariñados” con la protección de
datos personales en Colombia, la noticia anunciada por la Superintendencia de industria y
comercio el pasado 25 de Octubre, en la que a través de la web de la entidad se advierte
sobre la imposición de una sanción a la empresa Experian Computec S.A. – administrador
de la central de riesgo Datacredito – suma que asciende a $412.650.000 equivalentes a
700 salarios mínimos.
Analizada la Resolución 62016 del 25 de Octubre de 2013, emanada de la dirección de
investigaciones de protección de datos personales de la SIC, encontramos aspectos claves
de aplicación de los principios en materia de protección de datos en Colombia. Basta
advertir que dicho procedimiento sancionatorio por tratarse de información financiera y
crediticia y de un operador de información financiera, sigue los derroteros de la Ley 1266
de 2008 y de hecho en ningún aparte de la resolución se menciona específicamente la Ley
1581 de 2012; no obstante, resulta oportuno mencionar que comienza a vislumbrarse un
horizonte impregnado por la generalidad – y no la sectorización - de nuestro marco de
protección de datos.
También ha venido a llamar la atención la motivación para la imposición de la sanción al
operador Datacredito con relación al régimen de protección de datos personales, ya que
la columna vertebral para la imposición de la multa consiste en la violación de los
principios de circulación restringida, seguridad y el de confidencialidad. Lo anterior
contrasta con las tradicionales sanciones impuestas a otras empresas del sector por
errores “tradicionales” en la recolección del dato (fallas en la finalidad del tratamiento y/o
falta de consentimiento) o en relacionados con la calidad del dato (Completitud del dato,
actualización o rectificación); migrando por tanto a un escenario donde se discute, ahora
sí, la naturaleza de las funciones que realizan los operadores de información y su
observancia plena a un régimen que contempla una serie obligaciones no solo de medio
sino de resultados, imponiendo por tanto un mayor deber de cuidado a quienes
administran y operan bancos de datos.
Sin ahondar en los detalles facticos conviene establecer que a juicio de la SIC, Datacredito
no observó los deberes contemplados en el Art. 7 de la Ley 1266, específicamente los
contenidos en los numerales 3, 6 y 10 que están íntimamente ligados a los principios de
Marrugo Rivera & Asociados, Estudio Jurídico
Dir: Cra 72ª No. 152B – 32 T.A3 Of. 203 | PBX: (571) 4760798 | Bogotá • Colombia • Suramérica
Skype: marrugorivera - Twitter: @marrugorivera | Emails: info@marrugorivera.com - contacto@marrugorivera.com
www.marrugorivera.com

2. Circulación restringida, seguridad y el de confidencialidad. Tales deberes se contraen
básicamente a permitir únicamente el acceso a información personal a las personas que la
ley permite, conservar con seguridad los registros almacenados para impedir su uso no
autorizado y el deber de circular la información dentro de los parámetros de la ley.
Así las cosas quedó evidenciada la falta de observancia a los deberes en la actuación de
Datacredito, al permitirse el acceso a información real de historias crediticias en las
labores comerciales (El personal apoyaba sus ventas con el uso de demostraciones de
cómo funcionan sus servicios) sin que se hubieran tomado medidas como la
anonimización de los datos, lo que a juicio de la SIC representa un grave riesgo en materia
de protección de datos personales.
Esto resulta de vital importancia, toda vez que mucho ha venido discutiéndose sobre el
alcance en materia de imposición de sanciones a la luz de los principios de la Ley 1581 de
2012 y hace eco la decisión adoptada por la SIC en el presente caso, a las constantes
advertencias que venimos lanzando, junto con otros profesionales del sector, sobre la
necesidad de una verdadera implantación de una cultura de prevención en las
organizaciones.
De momento se tiene un serio antecedente en materia de sanciones, sin embargo, falta un
largo camino por recorrer en el proceso de maduración de nuestro sistema. El sector está
a la espera de la expedición del decreto sobre Registro Nacional de las Bases de datos
junto con el cual (no será en el mismo cuerpo normativo) deberán señalarse las medidas
de seguridad esperadas de quienes tratan datos personales, lo que poco a poco ira
cerrando el círculo sobre los empresarios y sujetos obligados como garantes de nuestra
privacidad en un mundo cada vez más turbulento en esta materia.
i
Abogado 2.0. Especialista en Derecho de las tecnologías y Seguridad de la Información. Socio de Marrugo
Rivera & Asociados, Estudio Jurídico.
Twitter: @imarrugoj
Mail: imarrugo@marrugorivera.com
Marrugo Rivera & Asociados, Estudio Jurídico
Dir: Cra 72ª No. 152B – 32 T.A3 Of. 203 | PBX: (571) 4760798 | Bogotá • Colombia • Suramérica
Skype: marrugorivera - Twitter: @marrugorivera | Emails: info@marrugorivera.com - contacto@marrugorivera.com
www.marrugorivera.com