Diversas normas tributaria prevén que la DIAN puede disponer de una base de datos que le permita medir el riesgo de los contribuyentes en el cumplimiento de los trámites aduaneros y obligaciones aduaneras, tributarias y cambiarias, como por ejemplo el decreto 1165 de 2019, pues bien, el Consejo de Estado expidió la sentencia 27067 del 13 de marzo de 2025 en la cual se aplicó a analizar si el procedimiento de gestión de riesgo, cuyos lineamientos y condiciones generales están previsto en el “PR-PEC-0242 Planificación de Gestión de Riesgos” desconocen el Habeas Data, el derecho al debido proceso y de defensa de los contribuyentes y operadores aduaneros.
En la referida sentencia el Consejo de Estado declaró la legalidad condicionada de las normas que se refieren al sistema de gestión de riesgos que utiliza la DIAN, y expuso que el sistema de gestión de riesgos de la DIAN es una herramienta interna que tiene por objeto identificar los perfiles y comportamientos atípicos, analizar y valorar datos, crear mecanismos de control, y alertas, respecto de los posibles incumplimientos en los trámites y obligaciones tributarias, aduaneras y cambiarias, y, a partir de esto, se realiza una calificación “con riesgo bajo, medio o alto” que permite hacer una selección más efectiva de los usuarios o contribuyentes a controlar, y asignar un tratamiento en función del nivel del riesgo detectado, todo lo cual aumenta la eficacia de las acciones de fiscalización y control.
El Consejo de estado recordó que la información del sistema de riesgo tiene reserva legal y no pueden ser divulgada, sin embargo cuando la calificación en el riesgo bajo – medio – alto, se toma como fundamento para determinar un tratamiento y/o beneficio en materia tributaria, aduanera o cambiaria, debe informársele al contribuyente o al usuario aduanero cuál fue su calificación, así como el supuesto y las pruebas que la sustentan, limitándose únicamente a la situación jurídica y particular del titular de la información, sin comprometer los factores, criterios, procedimientos y la base de datos del sistema de gestión de riesgos.
Así, en los casos en que la Administración tome una decisión administrativa con fundamento en la calificación del sistema, le corresponde informar los datos propios del contribuyente o el usuario aduanero que le sirven de sustento, pero no los que conciernen a la administración y gestión de los riesgos.