Compra de cartera reportada en bases de datos, comprador debe verificar que se hayan cumplido requisitos legales para reportar.

En una interesante Resolución que lleva por número 15969 del 29 marzo de 2022 la Superintendencia de Industria y Comercio (SIC) analizó la legalidad del reporte en bases de datos de un dato negativo por parte de una fuente, en la referida resolución la SIC dijo que “quien adquiere la cartera debe ser muy diligente con miras a establecer si quien le vende la misma cumplió correctamente sus deberes respecto de la regulación de tratamiento de datos personales.

Según la SIC, el comprador de la cartera debe realizar un proceso de investigación (DUE DILIGENCE) con miras a establecer la situación legal y real de lo que desea adquirir con el objetivo de determinar, evaluar y cuantificar las posibles contingencias de una eventual negociación. En materia de datos personales, por ejemplo, un DUE DILIGENCE debe establecer, entre otras, lo siguiente:

a) La veracidad de la información teniendo en cuenta que ésta debe ser comprobable

b) La legitimación sobre el tratamiento de datos para determinar si quien los posee los adquirió lícitamente y qué puede hacer con los mismos.

c) Verificar que quien trata los datos está facultado para transferir los datos personales a terceros.

d) Determinar, en caso de reportes negativos a centrales de información financiera, que quien vende la cartera realizó de manera correcta y oportuna la notificación previa a que se refiere el artículo 12 de la Ley Estatutaria 1266 de 2008.

En el mismo pronunciamiento dijo que: “cuando la Fuente haya adquirido una obligación objeto de reporte, mediante cualquier forma transferencia del derecho de dominio, en lo que tiene que ver con la comunicación previa, se tendrá como válida la que haya sido enviada por parte del acreedor originario, siempre y cuando se cumplan con los siguientes requisitos:

1. Que la información reportada haya continuado en el tiempo.

2. Que el vendedor no la haya eliminado del historial de crédito del titular.

Quien haya adquirido la obligación no tendría que realizar un nuevo reporte negativo frente a la misma, sino que continuaría con el inicialmente realizado por parte del acreedor originario, razón por la que debe esa fuente que adquiere la obligación estar en la capacidad de demostrar que respecto de ese reporte realizado por parte del acreedor originario cumplió con la comunicación previa, conforme a las normas citadas.

(…) , en el evento que, el cesionario no pueda demostrar que el cedente realizó la comunicación previa respecto del primer reporte conforme a la ley, deberá eliminarlo dejando sus vectores sin información y posteriormente realizar un nuevo reporte.

Esto concluyó la entidad: “Como se observa, el DUE DILIGENCE demanda una labor profesional, diligente y exhaustiva que comprende la revisión de todos los documentos y las pruebas de manera que se evidencie un estudio profundo y detallado de cada obligación respecto de la regulación de tratamiento de datos personales para evitar adquirir problemas jurídicos u obligaciones con irregularidades”.

 

En entidad de la SIC, no actuar de esta manera compromete la responsabilidad de los administradores en los términos del artículo 22 de la ley 222 de 1995.


Los invitamos a leer Autorización para captura y tratamiento de datos personales (Habeas Data), un ejemplo


Si este artículo te fue útil recuerda navegar en la publicidad. Gracias.

Comentarios