Internet y DerechoActualidad jurídica sobre Nuevas Tecnologías

Con motivo de la publicación de la Ley 1266 de 2008 en Colombia y las novedades que ésta aporta al entorno legislativo de la protección de datos en ese país, Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia), nos hace un análisis sobre el habeas data que publicaremos en 4 artículos.

Protección de Datos en Colombia III – Transferencia internacional, condiciones y sanciones

En cuanto a la transferencia internacional de los datos personales, la ley 1266 establece que para que proceda la transferencia del dato a un operador extranjero, el titular deberá consentir ante la fuente dicha puesta en disposición de la información personal.

Al respecto, la Corte Constitucional fue clara en señalar que las Superintendencias (SIC y Financiera) deberán analizar el cumplimiento de los estándares de garantía de derechos predicables del titular del dato personal, en la legislación del banco de datos extranjero de destino. Dichas entidades podrán, inclusive, identificar expresamente los ordenamientos legales extranjeros respecto de los cuales, luego de un análisis suficiente, pueda predicarse dicho grado de protección suficiente de los derechos del sujeto concernido. De manera correlativa, el ejercicio del acto de verificación a cargo del operador nacional al que refiere el literal f) del artículo 5º de la Ley, estará supeditado a que las entidades que ejercen la función de vigilancia hayan realizado el análisis de cumplimiento de estándares de protección de derechos antes aludido.

Condiciones

La Ley, en su artículo 13, explica que la información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información. Sin embargo, aclara que los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia.
El término de permanencia de esta información será de cuatro años, contados a partir de la fecha en que sean pagadas las cuotas vencidas, o sea pagada la obligación vencida. Vencido este tiempo, la información deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información.
Sin embargo, la Ley fijó un régimen de transición de 6 meses en que se fijan las siguientes condiciones:

• Para el cumplimiento de las disposiciones contenidas en la Ley 1266 de 2008, las personas que, a la fecha de su entrada en vigencia ejerzan alguna de las actividades mencionadas, tendrán un plazo de hasta seis (6) meses para adecuar su funcionamiento a las disposiciones de la norma.
• Los titulares de la información que a la entrada en vigencia de la ley estuvieren al día en sus obligaciones objeto de reporte, y cuya información negativa hubiere permanecido en los bancos de datos por lo menos un año contado a partir de la cancelación de las obligaciones, serán beneficiarios de la caducidad inmediata de la información negativa.
• A su vez, los titulares de la información que se encuentren al día en sus obligaciones objeto de reporte, pero cuya información negativa no hubiere permanecido en los bancos de datos al menos un año después de canceladas las obligaciones, permanecerán con dicha información negativa por el tiempo que les hiciere falta para cumplir el año, contado a partir de la cancelación de las obligaciones.
• Los titulares de la información que cancelen sus obligaciones objeto de reporte dentro de los seis (6) meses siguientes a la entrada en vigencia de la norma, permanecerán con dicha información negativa en los bancos de datos por el término de un (1) año, contado a partir de la fecha de cancelación de tales obligaciones.
• Cumplido este plazo de un (1) año, el dato negativo deberá ser retirado automáticamente de los bancos de datos. Este beneficio se perderá en caso que el titular de la información incurra nuevamente en mora

Sanciones

En cuanto a las sanciones, la Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones:

• Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mínimos mensuales legales vigentes, al momento de la imposición de la sanción, por violación a la ley, normas que la reglamenten, así como por la inobservancia de las órdenes e instrucciones impartidas por dicha Superintendencia. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
• Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la ley, así como por la inobservancia de las órdenes e Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logística, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión.
• Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.

Las sanciones por infracciones se graduarán atendiendo, entre otros, los siguientes criterios: la dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley, el beneficio económico que se hubiere obtenido para el infractor o para terceros por la comisión de la infracción, o el daño que tal infracción hubiere podido causar, y la reincidencia en la comisión de la infracción.

Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia).