Sentencia T-1017 de octubre 16 de 2008 

CORTE CONSTITUCIONAL

SALA TERCERA DE REVISIÓN

Sentencia T-1017 de 2008

Ref.: Expediente T-1.960.877

Magistrado Ponente:

Dr. Jaime Córdoba Triviño

Acción de tutela interpuesta por Nínive Gahona Molano contra Computec S.A. – División Datacrédito y Asobancaria – Central de Información Financiera (Cifin).

Bogotá, D.C., dieciséis de octubre de dos mil ocho.

La Sala Tercera de Revisión de la Corte Constitucional, en ejercicio de sus competencias constitucionales y legales, específicamente las previstas en los artículos 86 y 241 numeral 9º de la Constitución Política y en el Decreto-Ley 2591 de 1991, profiere la siguiente

Sentencia

en el trámite de revisión del fallo proferido por el Juzgado Doce Civil Municipal de Cali (Valle del Cauca), que resolvió la acción de tutela impetrada por Nínive Gahona Molano contra Computec S.A. — División Datacrédito y Asobancaria – Central de Información Financiera (Cifin).

I. Antecedentes

1. Hechos relevantes y acción de tutela interpuesta.

La ciudadana Nínive Gahona Molano adquirió obligaciones comerciales con las sociedades comerciales Visión Satélite S.A. y Sufi – Compañía de Financiamiento Comercial, las cuales se encuentran al día, conforme certificaciones expedidas por dichas empresas (1) . No obstante, manifiesta que continúa reportada en las centrales de riesgo financiero administradas por las entidades demandadas, a pesar que no presentaba mora en sus obligaciones y, además, no había prestado su consentimiento para la inclusión de su información personal en dichos bancos de datos.

Agrega que elevó derecho de petición ante las instituciones accionadas, con el fin que la información fuera excluida de las centrales de riesgo, habida cuenta la falta de autorización del titular del dato. Empero, no obtuvo respuesta alguna a su requerimiento.

Con base en los anteriores supuestos fácticos, la peticionaria interpuso acción de tutela con el fin que fuera protegido su derecho fundamental al buen nombre, a través de la orden judicial de protección dirigida a que su información financiera negativa fuera eliminada, habida cuenta del pago de las obligaciones antes descritas.

2. Respuesta de las entidades demandadas.

2.1. Computec S.A. – División Datacrédito.

A través de apoderado judicial y mediante comunicación del 3 de abril de 2008 Datacrédito informó que en su base de datos encontraba reportada dos obligaciones relativas a la actora. La primera de ellas, con Sufi – Compañía de Financiamiento Comercial, crédito que se encontraba al día, con una mora registrada entre noviembre de 2006 y enero de 2007. La segunda, relacionada con una obligación suscrita con Telecable Visión Satélite, la cual se encontraba “bloqueada por reclamo pendiente”. Este hecho, a juicio de la entidad demandada, liberaba su responsabilidad en términos de la protección de los derechos fundamentales de la accionante, puesto que la fuente de información “está solucionando un reclamo pendiente”.

Señala que en cuanto al reporte generado por la obligación adquirida con Sufi, la central de información daba cuenta de la mora histórica actualmente pagada, dato que tiene un término de permanencia de dos años contado a partir del pago. Este plazo “corresponde al que se aplica de forma general a todos los casos donde el pago de la obligación se realiza de forma voluntaria”. Luego de poner a consideración del juez de tutela el estatus de la información personal de la actora, Datacrédito expuso una serie de argumentos, sustentados en las sentencias T-030/2003, T-094/95 y T-355/2002 de esta corporación, con base en los cuales concluye que la recopilación de información financiera destinada al cálculo del riesgo, es una actividad legítima desde la perspectiva constitucional.

Con base en estas mismas decisiones, indica que el perfeccionamiento de la facultad que tiene el titular del dato de actualizar la información personal, no es incompatible con la fijación de un término de caducidad del dato financiero negativo. Ello en la medida en que ese registro histórico es imprescindible para la evaluación del riesgo crediticio. Por último, señala que el precedente constitucional es unívoco en afirmar que los reportes realizados por las centrales de riesgo no constituyen una sanción y son armónicos con la protección del derecho al buen nombre y la intimidad, en tanto se basan en hechos objetivos y veraces, que no incorporan información perteneciente a la esfera íntima del individuo.

2.2. Asobancaria – Central de Información Financiera (Cifin).

Mediante oficio dirigido al juez de tutela el 7 de abril de 2008, la Cifin se opuso a las pretensiones de la actora. De manera preliminar, manifestó que la central de información “es una entidad diferente e independiente de las entidades que reportan información a nuestra base de datos. La Cifin no es parte de los contratos que estas entidades celebran con sus clientes, razón por la cual desconocemos el contenido y alcance de los mismos, así como los problemas y errores que se hayan presentado en la ejecución de ellos”.

En relación con el historial crediticio de la accionante, señaló que aparece reportada con base en la obligación suscrita con Sufi, la cual se encuentra vigente, calificada con “A” y con comportamiento normal. Con base en la anterior información, la actora tiene una valoración favorable en cuanto a su endeudamiento global. Sin embargo, la entidad demandada indica que la demandante registra mora en una de sus obligaciones, suscrita con Fenalco Cali, “la cual se encuentra con comportamiento inactivado por falta de reporte de la entidad y reflejando en el superconsolidado una mora equivalente a la suma de $ 44.000” .

La entidad demandada reitera la vigencia de los términos de permanencia de la información financiera negativa, previstos por la Corte en la Sentencia SU-082/95, los cuales en su sentir supeditan dicha caducidad al pago efectivo de la obligación en mora. Con base en ellos concluye que para el caso particular de la ciudadana Gahona Molano, el dato negativo no puede ser removido, puesto que la mora con Fenalco Cali se encuentra vigente.

En lo que respecta a la ausencia de autorización para la inclusión de los datos personales de riesgo, Cifin sostiene que “[l]as fuentes de información son las encargadas de solicitar la autorización previa y expresa a los titulares de los datos para reportar su información a la Cifin. || En efecto, de acuerdo con los literales d) y e) del artículo 10 del reglamento de la Cifin, es deber de las fuentes de información obtener y conservar la autorización de los titulares de los datos para reportar su información a la Cifin. Lo anterior, en virtud de la relación comercial o financiera existente entre la entidad reportante y su cliente, respecto de la cual la Cifin no tiene injerencia alguna. || Por tal razón, para saber en cada caso si la cliente dio o no autorización para ser reportada, resulta indispensable dirigirse directamente ante cada una de las entidades reportantes, a fin de que nos suministren tal información. || Dado lo anterior, Sufi es la entidad encargada de solicitar la autorización a la señora Nínive Gahona Molano para poder reportar su información a nuestra base de datos”.

Por último, la entidad demandada replica los argumentos expresados por Datacrédito, en el sentido que la jurisprudencia constitucional ha contemplado que la recopilación de información personal de contenido crediticio es compatible con la eficacia de los derechos fundamentales al buen nombre. Ello en tanto da cuenta de información verídica y actualizada del sujeto concernido, la cual sirve de parámetro para que las entidades financieras adopten, si así lo consideran pertinente, decisiones sobre sus operaciones de crédito.

3. Decisión judicial objeto de revisión.

El Juzgado Doce Civil Municipal de Cali, a través de sentencia del 15 de abril de 2008, negó la protección de los derechos fundamentales al buen nombre y al hábeas data de la actora. En su criterio, la actuación de las entidades demandadas era compatible con el contenido y alcance del derecho al hábeas data, puesto que la información financiera negativa había permanecido en las centrales del riesgo dentro del plazo que la jurisprudencia constitucional ha considerado razonable.

Para el juez de tutela, la necesidad de permanencia del dato financiero negativo por un término definido, “se explica fácilmente pues el simple pago de la obligación no puede implicar la caducidad del dato financiero, por esta razones: la primera, la finalidad legítima del banco de datos que es la de informar verazmente sobre el perfil de riesgo de los usuarios del sistema financiero; la segunda, la ausencia de nuevos datos negativos durante dicho término, que permite presumir una rehabilitación comercial del deudor moroso”.

El fallo de tutela no fue objeto de impugnación.

II. Consideraciones y fundamentos

1. Problema jurídico y metodología de la decisión.

La ciudadana Gahona Molano considera que las entidades accionadas han violado su derecho fundamental al buen nombre, puesto que (i) han mantenido en las centrales de riesgo el reporte financiero negativo, a pesar que está al día en sus obligaciones comerciales; e (ii) incorporaron su información personal en el banco de datos sin contar con el consentimiento para ello.

Datacrédito y Cifin, en su condición de administradoras de los bancos de datos destinados al cálculo de riesgo financiero, se oponen a las pretensiones de la tutelante. Para ello, parten de advertir que la recopilación de datos personales es una actividad protegida por la Carta Política, pues constituye una actividad indispensable para el cálculo del riesgo crediticio, del cual depende la adecuada protección de los recursos provenientes del ahorro público. Con base en esta premisa, consideran que el reclamo de la actora es injustificado, en la medida en que la información concernida ha permanecido reportada dentro de los plazos previstos por la jurisprudencia constitucional, vigentes en tanto no se ha promulgado la normatividad estatutaria sobre esta materia. Por último, desestiman el cuestionamiento surgido por la ausencia de consentimiento, al considerar que la obtención de la autorización para la inclusión del dato es un asunto que pertenece a la responsabilidad exclusiva de las fuentes de información, esto es, las sociedades comerciales con quienes la actora ha suscrito los contratos correspondientes.

El juez de tutela negó el amparo, fundado en el argumento de la permanencia legítima de la información dentro del término fijado por la jurisprudencia constitucional. En cuanto a la controversia basada en la ausencia del consentimiento, el fallo no ofreció argumentos para negar la protección de los derechos fundamentales a ese respecto.

De manera preliminar, la Sala advierte que aunque la actora solicita la protección de su derecho fundamental al buen nombre, del análisis efectuado por las partes y por el juez de tutela se infiere con claridad que el derecho presuntamente vulnerado es el del hábeas data, previsto en la artículo 15 de la Constitución Política. Aunque el alcance del derecho al buen nombre pudiere verse interferido en los procesos de administración de datos personales, la jurisprudencia de esta corporación ha conferido carácter autónomo al hábeas data. Por lo tanto, el análisis de los problemas jurídicos que ofrece la sentencia objeto de revisión se concentrará en las implicaciones que contrae la protección de este derecho fundamental.

Conforme lo expuesto, corresponde a la sala pronunciarse sobre dos problemas jurídicos definidos: En primer término, deberá analizarse si la recopilación de datos personales de contenido comercial crediticio debe estar sometida a un régimen de permanencia de la información negativa y si este fue cumplido en el caso de la actora. En segundo lugar, la Corte tendrá que determinar (i) si el consentimiento del titular del dato es un requisito constitucionalmente obligatorio para la recopilación de información financiera en centrales de riesgo y; (ii) el grado de responsabilidad de las fuentes y de los operadores de la información en la comprobación de ese requisito.

Así, en cuanto al primer nivel de análisis, la Sala recopilará el precedente constitucional aplicable a la exigencia de un término de permanencia de la información financiera negativa, como parte del contenido y alcance del principio de caducidad en la administración de datos personales. Respecto al segundo de los problemas jurídicos, la Corte identificará los predicados que se derivan de la vigencia de la libertad en dichos procesos de administración y establecerá sus consecuencias respecto de la responsabilidad en la garantía de autorización por parte de los agentes que intervienen en el tratamiento del dato personal. A partir de las reglas que se deriven de estos análisis, se decidirá lo referente al caso concreto.

2. El principio de caducidad y la permanencia del dato financiero negativo. Reiteración de jurisprudencia.

2.1. El artículo 15 de la Constitución Política establece el derecho fundamental al hábeas data, que consiste en la facultad que tiene toda persona a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y archivos de entidades públicas y privadas. Igualmente, la Carta Política establece que en los procesos de recolección, tratamiento y circulación de datos se respetarán la libertad y las demás garantías consagradas en la Constitución.

Esta cláusula superior ha sido comprendida por la jurisprudencia constitucional (2) como la expresión del ejercicio de la autonomía individual en los procesos automatizados de información. En las sociedades contemporáneas, la administración de datos personales es una actividad cotidiana, aplicable a los distintos escenarios de la vida social, lo que implica que los intereses y posiciones jurídicas del individuo se ven permanentemente interferidas en los procesos de acopio, procesamiento y divulgación del dato personal. Por ende, el establecimiento de herramientas para la protección del derecho al hábeas data, es un requisito indispensable para la eficacia del derecho de autonomía mencionado.

El mismo precedente ha previsto que la prefiguración de dichos mecanismos de protección de la autodeterminación informática del sujeto concernido, se definen a través de los principios de administración de datos personales, dirigidos a la preservación de las facultades de conocimiento, actualización y rectificación, a la vez que la libertad y los demás derechos constitucionales afectados por la gestión de dichos datos. Así, se ha contemplado que en los procesos de recolección, tratamiento y circulación de datos personales deben garantizarse los principios rectores de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad (3) .

2.2. Uno de los ámbitos que ha permitido construir una dogmática constitucional sobre el contenido y alcance del derecho al hábeas data, es en la administración de datos personales de contenido crediticio, destinados a la calificación del riesgo crediticio, esto es, la previsión acerca de la posibilidad de incumplimiento en el pago de las obligaciones adquiridas (4) . Estos procesos de gestión de información del sujeto concernido son legítimos, puesto que se muestran útiles para la adecuada distribución de recursos del mercado de crédito, lo que redunda en la estabilidad del sistema financiero y la protección del ahorro público.

Sin embargo, la legitimidad prima facie de estos procesos de administración de datos depende de la protección correlativa del derecho al hábeas data. En lo que respecta al problema jurídico analizado en esta decisión, la recopilación de información personal financiera y crediticia debe estar sometida a un término razonable de permanencia del dato negativo. Este deber se basa en el reconocimiento del principio de caducidad, conforme el cual la información que resulte desfavorable al titular, deber ser retirada de los archivos y bancos de datos, conforme a criterios de oportunidad y razonabilidad, por lo que queda proscrita la conservación indefinida de información personal, después de que hayan desaparecido las causas que motivaron el acopio de la información.

Tal condición se muestra especialmente pertinente para el caso del reporte financiero negativo. Como se indicó, la justificación constitucional de la administración de datos personales del contenido crediticio es la protección de la estabilidad financiera y el ahorro público. Sin embargo, esta finalidad debe acompasarse con las demás finalidades de las actividades de intermediación (C.N., art. 335), en especial la democratización del crédito. Así, la posibilidad de uso del dato financiero negativo (i) no podrá extenderse más allá del término en que resulte útil para la determinación del nivel de riesgo, pues esta es la finalidad del acopio de la información. Por lo tanto, aquella información desactualizada y caduca sobre el comportamiento crediticio, pierde su aptitud para determinar el grado de cumplimiento en el pago de las obligaciones; y (ii) no debe convertirse en una carga irrazonable y desproporcionada en contra del sujeto concernido, en tanto lo excluya del mercado de crédito, desvirtuándose con ello la finalidad de democratización antes anotada. Sobre este último aspecto debe acotarse que, a pesar que el dato financiero negativo se basa en la comprobación de hechos objetivos —el incumplimiento en el pago de las obligaciones—, genera consecuencias materiales que excluyen y limitan las posibilidades que tiene el titular de acceder a los productos financieros. Por ende, resulta justificada la exclusión del dato negativo luego de un término de permanencia razonable.

2.3. La fijación de un término de caducidad del dato financiero negativo es un asunto que, al estar relacionado con los aspectos estructurales del derecho al hábeas data, corresponde a la competencia del legislador estatutario (5) . Sin embargo, hasta el momento no se ha aprobado la disposición que determine ese plazo. Por esta razón y ante la necesidad imperiosa de contar con un plazo de permanencia que responda a parámetros de razonabilidad, la jurisprudencia constitucional, a partir de criterios de interpretación analógica, ha previsto un término de permanencia supletorio (6) . De acuerdo con esta regla, (i) si se trata del pago voluntario de la obligación, el dato permanecerá por el término de dos años, salvo que la mora sea inferior a un año, caso en el cual la caducidad del dato financiero negativo será del doble de la mora; (ii) si se trata de pago verificado luego del trámite de un proceso ejecutivo, sin que prosperen excepciones que pongan fin al proceso y sin que se verifique el pago al momento de notificar el mandamiento de pago, la información financiera negativa reportada en la central de riesgo caduca en cinco años. En caso que prosperen excepciones en el proceso ejecutivo, distintas a la de prescripción, el dato deberá ser eliminado inmediatamente. Si el pago se realiza al momento de notificar el mandamiento de pago, se aplicará el término de caducidad previsto para el pago voluntario de la obligación; (iii) cuando se trate de una obligación insoluta, debido a que la deuda permaneció en mora, el dato financiero negativo deberá permanecer por el término de caducidad de la prescripción ordinaria, esto es, diez años, contados a partir de la exigibilidad de la obligación; y (iv) cuando se trate de una obligación insoluta, debido a que dentro del proceso judicial prosperó la excepción de prescripción, el dato financiero negativo caducará también en el término de diez años.

3. El consentimiento como expresión concreta del principio de libertad en la administración de datos personales.

3.1. La adscripción al titular de la información personal de las facultades de conocimiento, actualización y rectificación del dato, conforman la prerrogativa constitucional de controlar dicha información por parte del sujeto concernido. La libertad informática o informativa, identificada por la jurisprudencia constitucional (7) , depende del ejercicio efectivo de dichas prerrogativas de control del dato. Así, la garantía de autonomía y libertad individuales al interior de los procesos de gestión de la información personal, que conforman el núcleo esencial del derecho fundamental al hábeas data, está supeditada a que estos procedimientos se efectúen de cara al titular del dato, de manera que las facultades mencionadas puedan ser materialmente ejecutadas.

La condición necesaria para la eficacia de la libertad en los procesos de administración de datos personales, en los términos del artículo 15 superior, es el consentimiento del titular de la información en la incorporación del dato. En efecto, la existencia de la autorización expresa, libre y suficiente del sujeto concernido es un presupuesto para el ejercicio del control del dato personal, puesto que la vigencia de la libertad en la gestión de la información implica que el individuo conozca las finalidades del tratamiento del dato, las personas que podrán tener acceso al mismo y, en general, las condiciones en que se efectuarán las actividades de acopio, recopilación y circulación del mismo. A su vez, la condición de titularidad que tiene el sujeto respecto de sus datos personales obliga a que el acceso a los mismos esté supeditado a su consentimiento. Aunque la jurisprudencia ha establecido que respecto a la información personal no es posible ejercerse una relación de propiedad conforme al derecho privado, (8) es evidente que el control del dato es una garantía inescindible a la vigencia de la autonomía personal. Así, permitir la recopilación y circulación del dato personal sin que medie la autorización del titular, viola el derecho fundamental al hábeas data, específicamente la eficacia del principio de libertad, de acuerdo con lo expuesto.

3.2. Para el caso particular de la necesidad de autorización para la transferencia de información personal de contenido crediticio, la jurisprudencia constitucional ha construido reglas definidas acerca del vínculo entre la legitimidad de la administración del dato personal financiero y la comprobación del consentimiento. Al respecto, en la Sentencia SU-082/95, que realizó un análisis extenso sobre el contenido y alcance del derecho al hábeas data respecto de la información financiera, la Corte consideró que la acreditación del consentimiento del titular era un aspecto que conformaba el núcleo esencial de ese derecho, lo que imponía la obligatoriedad de ese requisito. En concreto, la decisión del pleno señaló:

A diferencia de lo que ocurre en otras legislaciones, en Colombia el hábeas data está expresamente establecido en la Constitución. Al respecto, el artículo 15, después de consagrar los derechos de todas las personas a la intimidad y al buen nombre, agrega: “De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. Este, concretamente, es el hábeas data.

¿Cuál es el núcleo esencial del hábeas data? A juicio de la Corte, está integrado por el derecho a la autodeterminación informática y por la libertad, en general, y en especial económica.

La autodeterminación informática es la facultad de la persona a la cual se refieren los datos, para autorizar su conservación, uso y circulación, de conformidad con las regulaciones legales.

Y se habla de la libertad económica, en especial, porque esta podría ser vulnerada al restringirse indebidamente en virtud de la circulación de datos que no sean veraces, o que no haya sido autorizada por la persona concernida o por la ley.

(...).

Lo expuesto en esta providencia, en relación con el derecho a la información y la legitimidad de la conducta de las entidades que solicitan información de sus eventuales clientes, a las centrales de información que para el efecto se han creado, así como la facultad de reportar a quienes incumplan las obligaciones con ellos contraídas, tiene como base fundamental y punto de equilibrio, la autorización que el interesado les otorgue para disponer de esa información, pues al fin y al cabo, los datos que se van a suministrar conciernen a él, y por tanto, le asiste el derecho, no solo a autorizar su circulación, sino a rectificarlos o actualizarlos, cuando a ello hubiere lugar.

Autorización que debe ser expresa y voluntaria por parte del interesado, para que sea realmente eficaz, pues de lo contrario no podría hablarse de que el titular de la información hizo uso efectivo de su derecho. Esto significa que las cláusulas que en este sentido están siendo usadas por las distintas entidades, deben tener una forma y un contenido que le permitan al interesado saber cuáles son las consecuencias de su aceptación” (negrillas originales).

La jurisprudencia constitucional, a la vez que ha insistido en la comprobación del consentimiento como parámetro para la legitimidad de los procesos de administración de datos personales, confiere carácter calificado a esta autorización. Así, sostiene que la voluntad del sujeto concernido de autorizar la incorporación del dato en el archivo o banco de datos debe tener carácter expreso, específico, libre y previo. Sobre el particular, la Sentencia T-592/2003, que analizó un grupo de acciones de tutela de personas respecto de las cuales se había incorporado información en bases de datos sobre riesgo crediticio, sin que fuera retirada luego de vencerse el plazo de caducidad, expresó los argumentos siguientes:

“En este orden de ideas cabe destacar que el consentimiento del titular de la información sobre el registro de sus datos económicos en los procesos informáticos (9) , aunado a la necesidad de que aquel cuente con oportunidades reales para ejercer sus facultades de rectificación y actualización durante las diversas etapas de dicho proceso, resultan esenciales para salvaguardar los derechos a la intimidad y buen nombre de los usuarios de servicios financieros, y con ello las garantías de los operadores económicos de informar y de recibir información veraz e imparcial con miras a la adopción de sanas políticas de crédito (10) .

Respecto a la aquiescencia del titular, vale considerar que cuando una persona acude a una entidad financiera, independientemente del servicio que demande, autoriza la intromisión de terceros en aspectos de su estado patrimonial, pero es cierto que la sola demanda efectiva o potencial de servicios financieros no autoriza al receptor para divulgar lo que conoce en razón o por ocasión del servicio, habida cuenta que toda actividad profesional se ampara, en principio, en la inviolabilidad del sigilo y confidencialidad de las informaciones, en los términos del artículo 74 constitucional (11) .

De ahí que la jurisprudencia constitucional, de manera unánime y reiterada, en cumplimiento de la proyección constitucional de la libertad individual en el derecho a la autodeterminación informática, exija de los operadores informáticos obtener un previa, explícita y concreta autorización de los usuarios del crédito para recopilar, tratar y divulgar informaciones sobre su intimidad económica, la que deberá utilizarse con miras a preservar la estabilidad económica que comporta la sanidad general del crédito —C.N., arts. 15 y 335— (12) .

En este sentido, compete a los jueces, en cada caso, analizar el contenido de la autorización que el usuario de los sistemas informáticos obtiene del titular del dato, con miras a establecer su alcance, considerando, además del interés general que demanda la utilización del documento, especialmente, las condiciones en que dicha autorización fue otorgada (13) , comoquiera que si la aquiescencia del otorgante estuvo condicionada por el acceso al servicio o a la operación de crédito, el juzgador debe tener presente que al proponente de un servicio público no le está permitido obtener ventajas injustas y dar lugar a desequilibrios contractuales, amparado en el privilegio que comporta su calidad de autoridad”.

3.3. Conforme a los precedentes expuestos, la Sala concluye que el consentimiento del titular del dato personal es la actuación que otorga eficacia material a la libertad en los procesos de administración de información personal. Por lo tanto, hace parte de los aspectos estructurales del derecho al hábeas data, de modo tal que la legitimidad constitucional de las actividades de acopio, tratamiento y divulgación de datos del sujeto concernido es una variable dependiente, entre otros factores, del cumplimiento de dicho deber.

4. La responsabilidad de los agentes que intervienen en la administración de datos personales de contenido crediticio, frente a la protección del principio de libertad.

4.1. En los procesos de administración de datos personales de contenido financiero, destinados al cálculo del riesgo financiero, pueden identificarse cuatro tipos de agentes, que participan en diversas instancias de la gestión del dato.

En primer lugar, se encuentra el titular de la información, sujeto del derecho fundamental al hábeas data y, en consecuencia, beneficiario de (i) las facultades de conocimiento, actualización y rectificación del dato personal; y (ii) la libertad y los demás derechos y garantías interferidos en la recolección, tratamiento y circulación de datos.

En segundo término, está la fuente de información, que es aquella persona natural o jurídica que, como consecuencia de la suscripción de contratos comerciales o de crédito con el titular, adquiere datos personales que resultan pertinentes para el cálculo del riesgo financiero, en especial aquellos que dan cuenta del grado de cumplimiento en el pago de las obligaciones del sujeto concernido.

En tercer lugar, están los operadores de las centrales de la información financiera, entidades comerciales que tienen como objeto social recolectar, tratar y divulgar esos datos, a través de reportes que dan cuenta del comportamiento crediticio del titular. A esta categoría pertenecen las instituciones accionadas en el presente proceso.

Por último, se encuentran los usuarios de la información personal. Se trata de personas naturales y jurídicas, oferentes en el mercado financiero y, en muchos otros casos, de servicios o del sector real, que suscriben contratos con los operadores para que, mediante el pago de una suma de dinero, puedan acceder a la información comercial y crediticia del sujeto concernido. Los usuarios, a través de ese acceso, adquieren una ventaja económica significativa, a través de la adquisición de datos valiosos para la suscripción de contratos comerciales o de crédito con clientes potenciales.

4.2. Como se observa, fuentes, operadores y usuarios de la información, participan en distintas instancias de la administración de datos personales. Las fuentes adquieren del sujeto concernido los datos que le son relevantes para el cálculo del riesgo y los transmiten a los operadores. Estos, a su vez, tratan la información, identifican los componentes valiosos en términos de determinación del grado de cumplimiento y la organizan con fines de consulta a través de reportes. Finalmente, los usuarios acceden a los datos así compilados, los cuales son utilizados como insumo para la adopción informada de decisiones empresariales.

El papel del principio de libertad, que según lo indicado en el fundamento jurídico 3.3, encuentra concreción en el consentimiento calificado del titular del dato, tiene un carácter transversal en el proceso de administración de datos personales. En efecto, la fuente deberá prever los procedimientos adecuados y suficientes para que el sujeto concernido exprese su consentimiento, con base en las siguientes condiciones: (i) la autorización del titular debe ser libre y expresa. Esto implica que la fuente deberá permitir que el sujeto concernido exprese su voluntad sin coacción ni error, a través de instrumentos que garanticen la consciencia plena sobre el acto de autorización y sus implicaciones; y (ii) el documento contentivo de la autorización deberá señalar el propósito de la recolección y circulación del dato personal. En todo caso, la administración de datos personales solo será admisible para el cumplimiento de propósitos compatibles con la Constitución.

4.3. El mencionado carácter transversal implica, igualmente, que la responsabilidad en la preservación del principio de libertad sea predicable no solo de las fuentes, sino que también genera deberes concretos de protección del derecho, oponibles a los operadores de las centrales de información. En efecto, aunque la obtención de la autorización es un asunto que corresponde de forma primigenia a la fuente, en tanto ejecuta actos de gestión del dato personal previos a la incorporación del mismo en las centrales de información, tal circunstancia no libera de obligaciones específicas al operador, en cuanto a la preservación del principio de libertad.

Este predicado es consecuencia del expreso mandato contenido en el artículo 15 de la Constitución Política, en tanto dispone que “en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”. De acuerdo con el procedimiento descrito en el fundamento jurídico 4.1, la actividad de las fuentes de información se concentra en la etapa de recolección del dato personal. En cambio, las labores efectuadas por los operadores son propias de los procesos de tratamiento y circulación del dato. En cada una de estas etapas el principio de libertad mantiene su vigencia; por ende, si de acuerdo con lo demostrado en esta sentencia, este principio se concreta en la autorización del titular para la administración del dato personal con propósitos del cálculo del riesgo crediticio, el consentimiento es un asunto que no resulta ajeno a los operadores, en la medida en que los mismos son los agentes principales frente a los actos de tratamiento y divulgación del dato.

Como se indicó, la autorización del titular tiene carácter cualificado, condición que implica, entre otros aspectos, que el sujeto concernido advierta la finalidad de la recopilación y divulgación de la información personal y, por ende, consienta en ella. Así, la responsabilidad del operador respecto del consentimiento del titular consiste en (i) verificar que el ciudadano haya prestado su autorización para la inclusión del dato en la central de información financiera y especialmente; (ii) constatar que la finalidad autorizada por el sujeto concernido es equivalente al propósito del tratamiento de la información personal que lleva a cabo el operador, que para el caso analizado consiste en la calificación del grado de cumplimiento en el pago de las obligaciones, en tanto parámetro para la definición del riesgo crediticio.

En ese sentido, no resulta aceptable la tesis según la cual la vigencia del principio de libertad es un asunto que se circunscribe a la responsabilidad de la fuente, pues la misma desconocería el preciso mandato fijado en el artículo 15 de la Constitución Política, que otorga efectos transversales al principio en comento, predicables de cada una de las instancias de administración de datos personales.

5. Caso concreto.

5.1. La ciudadana Gahona Molano, conforme lo expresan las entidades accionadas, tiene en su historial crediticio tres obligaciones, las cuales han generado los reportes materia de discusión. La primera, adquirida con Telecable Visión Satélite, se encuentra en términos de Datacrédito como “bloqueada por reclamo pendiente”. Empero, conforme a la certificación cuya copia fue aportada como prueba y no fue contradicha por las entidades demandadas, el departamento de servicio al cliente de Visión Satélite, la actora se encuentra a paz y salvo con dicha empresa. La segunda obligación, adquirida con la Compañía de Financiamiento Comercial Sufi, se encuentra vigente, actualmente al día y con una mora histórica comprendida entre noviembre de 2006 y enero de 2007, esto es, dos meses. Por último, la tercera acreencia, suscrita con Fenalco Cali, la cual presenta mora a 22 de agosto de 2006, registro que ha sido calificado por Cifin como “comportamiento inactivado por falta de reporte” (14) .

Al respecto, la Corte advierte que las fuentes de información y las centrales de riesgo crediticio han incumplido su obligación constitucional de mantener su información debidamente actualizada, en los términos del artículo 15 de la Constitución Política. En efecto, si bien plantean que la actora tiene dos obligaciones con mora vigente, suscritas con Visión Satélite y Fenalco Cali, en la primera de ellas existe paz y salvo expedido por el acreedor desde el 14 de noviembre de 2007 y, en el segundo, si bien no existe prueba acerca del pago, el mismo operador ha calificado al dato como inactivo, en razón de la falta de reporte.

El incumplimiento del deber de operadores y fuentes de mantener la información actualizada, contradice el principio de veracidad en la administración de datos personales, entendido como la necesidad que el reporte crediticio responda a situaciones reales, obligación que proscribe la posibilidad de consignar en los bancos de datos informaciones falsas o erróneas. La Sala debe insistir que la responsabilidad en la protección de las prerrogativas propias del derecho al hábeas data radica en fuentes y operadores, pues ellas son las llamadas a garantizar el conocimiento, actualización y rectificación de los datos personales, en tanto adelantan las actividades de recolección, tratamiento y circulación de la información. De esta manera, resulta un contrasentido que las mismas centrales de información evalúen la información como caduca y, en vez de ejercer acciones ante la fuente para recabar sobre la exactitud de la información concernida, se fundamenten en su propia negligencia para mantener el reporte financiero negativo.

La falta de actualización, igualmente, desnaturaliza la legitimidad constitucional de la administración de datos personales. Como se indicó en el fundamento jurídico 2.2, la validez de la gestión de información destinada al cálculo del riesgo crediticio es la necesidad de distribuir adecuadamente los recursos de intermediación, protegiéndose con ello el ahorro público y la estabilidad del sistema financiero. En ese sentido, la ausencia de un reporte actualizado distorsiona la calificación del grado de cumplimiento y, en ese sentido, la actividad que ejercen las centrales de información no cumple con los mencionados propósitos sino que, antes bien, genera un escenario proclive a (i) la imposición de barreras injustificadas a la democratización del crédito; y (ii) la distribución ineficiente de los recursos del ahorro público, lo que pone en riesgo cierto la estabilidad del sector, en tanto finalidad constitucionalmente valiosa (C.N., art. 335).

Según lo expuesto, para la Corte no es admisible que se mantengan en la base de datos de las entidades demandadas informaciones que no respondan a criterios mínimos de actualización. En dicho sentido, tales datos deberán removerse.

Bajo esta perspectiva, a juicio de la Sala la única información que en el caso concreto justifica el reporte financiero adverso es la derivada de la mora histórica en la obligación suscrita con Sufi. Aplicadas las reglas de caducidad de la información financiera negativa fijadas supletoriamente por la jurisprudencia constitucional y descritas en el fundamento jurídico 5.3, se advierte que el plazo de permanencia ya ha fenecido, pues al ser del doble de la mora, se cumplió en el mes de mayo de 2007, es decir, con anterioridad a la fecha en que se interpuso la acción de tutela. Al respecto debe aclararse que, a la luz del precedente constitucional citado, es errónea la posición de las centrales de información, en el sentido que el dato financiero negativo debe permanecer por un término único de dos años. Esta regla solo es aplicable cuando la mora ha excedido un año; por lo que en los demás casos, como sucede en el presente escenario, la variable para calcular el término de permanencia es el doble de la mora, contado a partir del pago de la obligación.

Según lo expresado, se tiene que para el caso concreto de la ciudadana Gahona Molano, el término de permanencia de la información financiera negativa ha caducado, de modo tal que las centrales de información deben excluir los datos negativos que estén consignados en los bancos de datos. De otra parte, debe insistirse en que la remoción del dato negativo subsiste incluso ante la existencia del reporte en mora fundado en la supuesta obligación insoluta con Fenalco Cali, pues con base en lo reconocido por la misma central de información, se trata de información caduca, la cual no puede dar lugar a la determinación del grado de cumplimiento de las obligaciones de la accionante.

5.2. En lo que tiene que ver con el cumplimiento del requisito de consentimiento para la inclusión del dato personal de la ciudadana Gahona Molano, la Corte advierte que las centrales de información se eximieron de toda responsabilidad a ese respecto, en la medida en que consideran que esa es una obligación que corresponde exclusivamente a las fuentes de información. Como se demostró en apartado anterior de este fallo, la necesidad de autorización es uno de los aspectos centrales del derecho fundamental al hábeas data y, por ende, su cumplimiento no es un asunto que se restrinja a la órbita de las fuentes, sino que también incorpora deberes concretos a los operadores, destinados a determinar la existencia de dicha autorización y si los usos consentidos son compatibles con la finalidad del tratamiento de la información.

Para el caso propuesto, esta obligación significa que las centrales de información deben contar con la prueba de la autorización dada por el titular del dato personal, so pena de vulnerar el principio de libertad, predicable de los procesos de administración de datos personales, en los términos del artículo 15 de la Constitución Política. Por lo tanto, la Corte ordenará a las entidades demandadas que en el término de diez días, contados a partir de la notificación del fallo, soliciten y obtengan de las fuentes de información prueba de la autorización dada por la actora para la inclusión de sus datos personales de contenido crediticio en centrales de información financiera. En caso que (i) omitan este deber; (ii) se demuestre que no se ha contado con dicha autorización; o (iii) se advierta que la finalidad autorizada difiere de los objetivos propios de la evaluación del riesgo crediticio, los operadores deberán eliminar los reportes sobre cumplimiento del pago de las obligaciones que correspondan a aquellas fuentes que no solicitaron el consentimiento respectivo por parte del titular del dato.

III. Decisión

En mérito de lo expuesto, la Sala Tercera de Revisión de la Corte Constitucional, administrando justicia en nombre del pueblo y por mandato de la Constitución,

RESUELVE:

1. REVOCAR, el fallo proferido el 15 de abril de 2008 por el Juzgado Doce Civil Municipal de Cali (Valle del Cauca) y, en su lugar, TUTELAR el derecho al hábeas data de la ciudadana Nínive Gahona Cruz.

2. ORDENAR a los representantes legales de los operadores de información personal Computec S.A. – División Datacrédito y Asobancaria, Central de Información Financiera – Cifin, que en el término de cuarenta y ocho (48) horas, contadas a partir de la notificación de esta sentencia, eliminen la información financiera negativa del historial crediticio de la actora, que reposa en los bancos de datos administrados por ellas.

3. ORDENAR a los representantes legales de los operadores de información personal Computec S.A. – División Datacrédito y Asobancaria, Central de Información Financiera – Cifin, que dentro de los diez (10) días siguientes a la notificación de esta sentencia, soliciten y obtengan de las fuentes de información comercial y financiera, contenida en sus bancos de datos y concerniente a la ciudadana Nínive Gahona Molano; prueba de la autorización prestada para la inclusión de sus datos personales en las centrales de riesgo crediticio. En caso que las entidades demandadas omitan el cumplimiento de esta orden, las fuentes de información manifiesten que no se contó con dicho consentimiento, o la finalidad autorizada difiera de los objetivos propios de la evaluación del riesgo crediticio, los operadores de información personal Computec S.A. – División Datacrédito y Asobancaria, Central de Información Financiera – Cifin, deberán eliminar el historial crediticio de la actora, relativo a las fuentes de información que pretermitieron el requisito de consentimiento.

4. En los términos fijados por el artículo 27 del Decreto 2591 de 1991, el Juez Doce Civil Municipal de Cali ejercerá las acciones necesarias para garantizar el cumplimiento de las órdenes de protección descritas en los numerales anteriores.

5. Por secretaría general, líbrense las comunicaciones previstas en el artículo 36 del Decreto-Ley 2591 de 1991.

Notifíquese, comuníquese, publíquese en la Gaceta de la Corte Constitucional y cúmplase.

Magistrados: Jaime Córdoba Triviño—Rodrigo Escobar Gil—Mauricio González Cuervo.

Martha Victoria Sáchica Méndez, Secretaria General.

(1) Cfr. Folios 2 y 3 del cuaderno 1.

(2) Cfr. Corte Constitucional, sentencias T-414/92, T-433/94, T-176/95, T-261/95, SU-082/95, SU-089/95, T-552/97, T-307/99, T-527/2000, SU-014/2001 T-578/2001, T-729/2002 y T-592/2003.

(3) El contenido de cada uno de estos principios fue definido en la Sentencia T-729/2002 del siguiente modo:

“Según el principio de libertad, los datos personales solo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos de manera ilícita (ya sea sin la previa autorización del titular o en ausencia de mandato legal o judicial). En este sentido por ejemplo, se encuentra prohibida su enajenación o cesión por cualquier tipo contractual.

Según el principio de necesidad, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos.

Según el principio de veracidad, los datos personales deben obedecer a situaciones reales, deben ser ciertos, de tal forma que se encuentra prohibida la administración de datos falsos o erróneos.

Según el principio de integridad, estrechamente ligado al de veracidad, la información que se registre o se divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra prohibido el registro y divulgación de datos parciales, incompletos o fraccionados. Con todo, salvo casos excepcionales, la integridad no significa que una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.

Según el principio de finalidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe obedecer a una finalidad constitucionalmente legítima, definida de manera clara, suficiente y previa; de tal forma que queda prohibida la recopilación de datos sin la clara especificación acerca de la finalidad de los mismos, así como el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista.

Según el principio de utilidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara o determinable.

Según el principio de circulación restringida, estrechamente ligado al de finalidad, la divulgación y circulación de la información está sometida a los límites específicos determinados por el objeto de la base de datos, por la autorización del titular y por el principio de finalidad, de tal forma que queda prohibida la divulgación indiscriminada de los datos personales.

Según el principio de incorporación, cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos.

Según el principio de caducidad, la información desfavorable al titular debe ser retirada de las bases de datos siguiendo criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservación indefinida de los datos después que han desaparecido las causas que justificaron su acopio y administración.

Según el principio de individualidad, las administradoras deben mantener separadamente las bases de datos que se encuentren bajo su administración, de tal forma que queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos”.

(4) Sobre una síntesis de ese debate, Cfr. Corte Constitucional, Sentencia T-592/2003.

(5) Cfr. Corte Constitucional, sentencias C-384/2000, C-729/2000 y C-687/2002.

(6) Sobre las reglas de permanencia de la caducidad del dato financiero negativo, Cfr. Corte Constitucional, sentencias SU-082/95, T-487/2004, T-1319/2005 y T-173/2007.

(7) Cfr. Corte Constitucional, Sentencia T-414/92.

(8) Ibídem.

(9) En las sentencias T-412 de 1992 y T-486 de 1992, se puede consultar la propiedad del dato económico, como integrante de la identidad personal —en la primera oportunidad fueron tutelados los derechos a la igualdad, intimidad, y al buen nombre de una persona a quien una empresa de cobranza amenazó con acudir a su lugar de trabajo, con el traje propio de los sujetos llamados “chepitos” a fin de presionar el pago de una obligación; en la segunda de las decisiones en cita fueron amparados los derechos al buen nombre, e intimidad de quien, no obstante haber obtenido mediante sentencia ejecutoriada la declaración de prescripción de una acción, se mantenía reportado en las base de datos de la Asociación Bancaria como deudor de la misma obligación—.

(10) Sobre el proceso informático, sujetos y principios se puede consultar la Sentencia T-729 de 2002, ya citada.

(11) El secreto bancario se puede consultar en la Sentencia C-397 de 1998, M.P. Fabio Morón Díaz. Revisión de constitucionalidad de la Ley 412 de 1997, ya citada.

(12) Consultar entre otras las sentencias SU-082 y 089 de 1995, varias veces citadas. Respecto del aspecto aditivo del derecho a la autodeterminación informática se puede consultar, además, entre otras decisiones, la Sentencia T-578 de 2001, M.P. Rodrigo Escobar Gil —en esta oportunidad se consideró inadmisible “que una entidad financiera tenga a un usuario reportado siete (7) meses, ante los centros de información crediticia y no haya actualizado su información del pago voluntario que estos hicieron por medio de la dación en pago—.

(13) Sobre la libertad de elegir en el ámbito de las relaciones interpersonales se pueden consultar, entre otras, las sentencias C-280 de 1996 control constitucional de varias disposiciones de la Ley 200 de 1995 y C-488 de 2002 —control constitucional del artículo 86 de la Ley 675 de 2001—.

(14) Cfr. Folio 52 del cuaderno 1.

___________________________________________