2010067114 - Superintendencia Financiera de Colombia

INFORMACIÓN, DATO PÚBLICO, PRIVADO
TRANSACCIÓN CON TARJETA DE CRÉDITO
Concepto 2010067114-001 del 28 de octubre de 2010.
Y
SEMIPRIVADO
EN
Síntesis: Información suministrada a una empresa al hacer una transacción con tarjeta de
crédito. Si se trata de información financiera (relativa al crédito rotatorio vinculado a la
tarjeta expedida) o comercial (la de la transacción realizada con una empresa para
adquirir bienes o servicios), en principio, estaríamos en presencia de datos semiprivados.
Datos de nombre, dirección y teléfono, entenderíamos que éstos no son privados, sino
datos personales de público conocimiento. Si la información personal fue suministrada a
terceros a través de una empresa comercial no vigilada por esta Autoridad y sin
consentimiento (en los casos en los cuales es necesaria la autorización previa, como
sucede con el reporte y circulación del dato semiprivado), puede formularse la queja ante
la Superintendencia de Industria y Comercio.
«(…) formula algunos interrogantes respecto de la regularidad en el suministro de
información que una empresa obtuvo de otra, concretamente con ocasión de una
transacción realizada con su tarjeta de crédito.
Sobre el particular, procede advertir en primer lugar que el pronunciamiento de esta
Superintendencia en atención a su solicitud se circunscribirá a los aspectos generales de la
consulta que corresponden a las materias propias de su condición de supervisor de las
entidades que integran el sistema financiero, bursátil y asegurador, teniendo en cuenta para
dichos efectos el alcance previsto en el artículo 25 del Código Contencioso Administrativo.
En ese orden, en relación con su inquietud concerniente a si la información suministrada “a
una empresa al hacer una transacción” con su tarjeta de crédito es “pública” o
“confidencial”, amablemente manifestamos que no es posible establecer por vía doctrinaria
si la “información” a la que alude de modo general y sin realizar mayores precisiones, tiene
uno u otro carácter, porque para ello se hace necesario conocer previamente qué tipo de
datos son los involucrados en el cuestionamiento planteado.
No obstante la anterior aclaración, frente a los antecedentes expuestos en su escrito
estimamos oportuno hacer algunas observaciones en punto a los aspectos que, a nuestro de
modo de ver, podrían contribuir a resolver las dudas que al parecer constituyen el objeto de
su interés.
En ese contexto, consideramos pertinente manifestar que la Ley de Hábeas Data (Ley 1266
de 2008), mediante la cual se dictan disposiciones generales y se regula el manejo de la
información contenida en bases de datos personales, en especial la financiera, crediticia,
comercial, de servicios y la proveniente de terceros países, en el artículo 3º establece, entre
otras definiciones, las concernientes a los datos personal, público, semiprivado y privado,
así:
 Dato personal. Es cualquier pieza de información vinculada a una o varias personas
determinadas o determinables o que pueden asociarse con una persona natural o
jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de
dicha ley. Cuando en la misma ley se haga referencia a un dato, se presume que se
trata de uso personal. Los datos personales pueden ser públicos, semiprivados o
privados.
 Dato público. Es el dato calificado como tal según los mandatos de la ley o de la
Constitución Política y todos aquellos que no sean semiprivados o privados, de
conformidad con la Ley de Hábeas Data. Son públicos, entre otros los datos
contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas
que no estén sometidos a reserva y los relativos al estado civil de las personas.
 Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada
ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular
sino a cierto sector o grupo de personas o a la sociedad en general, como el dato
financiero y crediticio de actividad comercial o de servicios a que se refiere el
Título IV de esa ley (la Corte Constitucional precisa en la Sentencia C--1011 de
2008 que este tipo de datos requieren de autorización previa del titular para ser
reportados a las bases de datos y circular en los términos previstos en la ley en
comento).
 Dato privado. Es el dato que por su naturaleza íntima o reservada solo es relevante
para el titular.
Desde esa perspectiva, podríamos entonces inferir que si se trata, por una parte, de
información financiera (en el evento que nos ocupa, entendemos como tal la relativa al
crédito rotatorio vinculado a la tarjeta expedida a su favor por una entidad financiera) o
comercial (la cual, según lo manifestado, provendría de la transacción realizada con una
empresa para adquirir bienes o servicios), en dicho escenario y en principio, estaríamos en
presencia de datos semiprivados; de otra parte, en cuanto a su nombre, dirección y teléfono,
entenderíamos que éstos no son privados, sino datos personales de público conocimiento (a
los cuales se puede acceder, por ejemplo, a través del directorio telefónico o de simples
indagaciones realizadas en su vecindad, tal y como lo ha expresado la Corte Constitucional
en su jurisprudencia1).
De otra parte y en lo tocante a lo expresado en los puntos 2 y 3 de su petición,
consideramos que en la medida en que en ellos se hace referencia a actuaciones que no
involucran la conducta de instituciones vigiladas por la Superintendencia Financiera de
Colombia, a la misma no le corresponde emitir concepto alguno sobre tales aspectos.
1
La Corte Constitucional estima que la dirección y el teléfono de las personas son datos que no
tienen el carácter de íntimos, puesto que, por ejemplo, el conocimiento de la dirección de un
individuo es algo que por el mismo desenvolvimiento de sus actividades en el seno de la sociedad
y aún por razones físicas de vecindad, no puede mantenerse en secreto (Sentencia T-261 de junio
20 de 1995. Magistrado Ponente: Dr. José Gregorio Hernández Galindo)
Todo ello, sin perjuicio de señalar que el artículo 17 de la Ley 1266 de 2008 asigna
competencia general a la Superintendencia de Industria y Comercio para ejercer la función
de vigilancia de los operadores, las fuentes y usuarios de información financiera, crediticia,
comercial, de servicios y provenientes de terceros países que no estén sometidos a la
supervisión de este Organismo, en cuanto se refiere a la administración de datos personales
que regula dicha ley.
En consecuencia, si su información personal fue suministrada a terceros a través de una
empresa comercial no vigilada por esta Autoridad y sin su consentimiento (en los casos en
los cuales es necesaria la autorización previa, como sucede con el reporte y circulación del
dato semiprivado), puede formular la queja ante la Superintendencia de Industria y
Comercio, a fin de que ésta asuma el conocimiento de los hechos respectivos y en el marco
de la investigación administrativa desarrollada evalúe la conducta del ente objeto de la
denuncia y adopte las medidas a que haya lugar en ejercicio de las facultades señaladas en
la mencionada regulación.
(…).»