INFORMACIÓN, DATO PÚBLICO, PRIVADO TRANSACCIÓN CON TARJETA DE CRÉDITO Concepto 2010067114-001 del 28 de octubre de 2010. Y SEMIPRIVADO EN Síntesis: Información suministrada a una empresa al hacer una transacción con tarjeta de crédito. Si se trata de información financiera (relativa al crédito rotatorio vinculado a la tarjeta expedida) o comercial (la de la transacción realizada con una empresa para adquirir bienes o servicios), en principio, estaríamos en presencia de datos semiprivados. Datos de nombre, dirección y teléfono, entenderíamos que éstos no son privados, sino datos personales de público conocimiento. Si la información personal fue suministrada a terceros a través de una empresa comercial no vigilada por esta Autoridad y sin consentimiento (en los casos en los cuales es necesaria la autorización previa, como sucede con el reporte y circulación del dato semiprivado), puede formularse la queja ante la Superintendencia de Industria y Comercio. «(…) formula algunos interrogantes respecto de la regularidad en el suministro de información que una empresa obtuvo de otra, concretamente con ocasión de una transacción realizada con su tarjeta de crédito. Sobre el particular, procede advertir en primer lugar que el pronunciamiento de esta Superintendencia en atención a su solicitud se circunscribirá a los aspectos generales de la consulta que corresponden a las materias propias de su condición de supervisor de las entidades que integran el sistema financiero, bursátil y asegurador, teniendo en cuenta para dichos efectos el alcance previsto en el artículo 25 del Código Contencioso Administrativo. En ese orden, en relación con su inquietud concerniente a si la información suministrada “a una empresa al hacer una transacción” con su tarjeta de crédito es “pública” o “confidencial”, amablemente manifestamos que no es posible establecer por vía doctrinaria si la “información” a la que alude de modo general y sin realizar mayores precisiones, tiene uno u otro carácter, porque para ello se hace necesario conocer previamente qué tipo de datos son los involucrados en el cuestionamiento planteado. No obstante la anterior aclaración, frente a los antecedentes expuestos en su escrito estimamos oportuno hacer algunas observaciones en punto a los aspectos que, a nuestro de modo de ver, podrían contribuir a resolver las dudas que al parecer constituyen el objeto de su interés. En ese contexto, consideramos pertinente manifestar que la Ley de Hábeas Data (Ley 1266 de 2008), mediante la cual se dictan disposiciones generales y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en el artículo 3º establece, entre otras definiciones, las concernientes a los datos personal, público, semiprivado y privado, así: Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que pueden asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de dicha ley. Cuando en la misma ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados. Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la Ley de Hábeas Data. Son públicos, entre otros los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas. Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de esa ley (la Corte Constitucional precisa en la Sentencia C--1011 de 2008 que este tipo de datos requieren de autorización previa del titular para ser reportados a las bases de datos y circular en los términos previstos en la ley en comento). Dato privado. Es el dato que por su naturaleza íntima o reservada solo es relevante para el titular. Desde esa perspectiva, podríamos entonces inferir que si se trata, por una parte, de información financiera (en el evento que nos ocupa, entendemos como tal la relativa al crédito rotatorio vinculado a la tarjeta expedida a su favor por una entidad financiera) o comercial (la cual, según lo manifestado, provendría de la transacción realizada con una empresa para adquirir bienes o servicios), en dicho escenario y en principio, estaríamos en presencia de datos semiprivados; de otra parte, en cuanto a su nombre, dirección y teléfono, entenderíamos que éstos no son privados, sino datos personales de público conocimiento (a los cuales se puede acceder, por ejemplo, a través del directorio telefónico o de simples indagaciones realizadas en su vecindad, tal y como lo ha expresado la Corte Constitucional en su jurisprudencia1). De otra parte y en lo tocante a lo expresado en los puntos 2 y 3 de su petición, consideramos que en la medida en que en ellos se hace referencia a actuaciones que no involucran la conducta de instituciones vigiladas por la Superintendencia Financiera de Colombia, a la misma no le corresponde emitir concepto alguno sobre tales aspectos. 1 La Corte Constitucional estima que la dirección y el teléfono de las personas son datos que no tienen el carácter de íntimos, puesto que, por ejemplo, el conocimiento de la dirección de un individuo es algo que por el mismo desenvolvimiento de sus actividades en el seno de la sociedad y aún por razones físicas de vecindad, no puede mantenerse en secreto (Sentencia T-261 de junio 20 de 1995. Magistrado Ponente: Dr. José Gregorio Hernández Galindo) Todo ello, sin perjuicio de señalar que el artículo 17 de la Ley 1266 de 2008 asigna competencia general a la Superintendencia de Industria y Comercio para ejercer la función de vigilancia de los operadores, las fuentes y usuarios de información financiera, crediticia, comercial, de servicios y provenientes de terceros países que no estén sometidos a la supervisión de este Organismo, en cuanto se refiere a la administración de datos personales que regula dicha ley. En consecuencia, si su información personal fue suministrada a terceros a través de una empresa comercial no vigilada por esta Autoridad y sin su consentimiento (en los casos en los cuales es necesaria la autorización previa, como sucede con el reporte y circulación del dato semiprivado), puede formular la queja ante la Superintendencia de Industria y Comercio, a fin de que ésta asuma el conocimiento de los hechos respectivos y en el marco de la investigación administrativa desarrollada evalúe la conducta del ente objeto de la denuncia y adopte las medidas a que haya lugar en ejercicio de las facultades señaladas en la mencionada regulación. (…).»