En una interesante Resolución que lleva por número 15969 del 29 marzo de 2022 la Superintendencia de Industria y Comercio (SIC) analizó la legalidad del reporte en bases de datos de un dato negativo por parte de una fuente, en la referida resolución la SIC dijo que “quien adquiere la cartera debe ser muy diligente con miras a establecer si quien le vende la misma cumplió correctamente sus deberes respecto de la regulación de tratamiento de datos personales.
Según la SIC, el comprador de la cartera debe realizar un proceso de
investigación (DUE DILIGENCE) con miras a establecer la situación legal y real
de lo que desea adquirir con el objetivo de determinar, evaluar y cuantificar
las posibles contingencias de una eventual negociación. En materia de datos
personales, por ejemplo, un DUE DILIGENCE debe establecer, entre otras, lo siguiente:
a) La veracidad de la información teniendo en cuenta que ésta debe ser
comprobable
b) La legitimación sobre el tratamiento de datos para determinar si quien
los posee los adquirió lícitamente y qué puede hacer con los mismos.
c) Verificar que quien trata los datos está facultado para transferir los
datos personales a terceros.
d) Determinar, en caso de reportes negativos a centrales de información
financiera, que quien vende la cartera realizó de manera correcta y oportuna la
notificación previa a que se refiere el artículo 12 de la Ley Estatutaria 1266
de 2008.
En el mismo pronunciamiento dijo que: “cuando la Fuente haya adquirido una
obligación objeto de reporte, mediante cualquier forma transferencia del
derecho de dominio, en lo que tiene que ver con la comunicación previa, se
tendrá como válida la que haya sido enviada por parte del acreedor originario,
siempre y cuando se cumplan con los siguientes requisitos:
1. Que la información reportada haya continuado en el tiempo.
2. Que el vendedor no la haya eliminado del historial de crédito del
titular.
Quien haya adquirido la obligación no tendría que realizar un nuevo reporte
negativo frente a la misma, sino que continuaría con el inicialmente realizado
por parte del acreedor originario, razón por la que debe esa fuente que
adquiere la obligación estar en la capacidad de demostrar que respecto de ese
reporte realizado por parte del acreedor originario cumplió con la comunicación
previa, conforme a las normas citadas.
(…) , en el evento que, el cesionario no pueda demostrar que el cedente
realizó la comunicación previa respecto del primer reporte conforme a la ley,
deberá eliminarlo dejando sus vectores sin información y posteriormente
realizar un nuevo reporte.
Esto concluyó la
entidad: “Como se observa, el DUE DILIGENCE demanda una labor profesional,
diligente y exhaustiva que comprende la revisión de todos los documentos y las
pruebas de manera que se evidencie un estudio profundo y detallado de cada
obligación respecto de la regulación de tratamiento de datos personales para
evitar adquirir problemas jurídicos u obligaciones con irregularidades”.
En entidad de la SIC, no actuar de esta manera compromete la responsabilidad
de los administradores en los términos del artículo 22 de la ley 222 de 1995.
Los invitamos a leer Autorización para captura y tratamiento de datos personales (Habeas Data), un ejemplo
Si este artículo te fue útil recuerda navegar en la publicidad. Gracias.