La Dirección de Investigación de Protección de Datos Personales de la Superintendencia de Industria y Comercio tuvo conocimiento de una denuncia según la cual, una entidad financiera le negó un crédito al denunciante, debido a que MOVISTAR COLOMBIA había accedido en numerosas ocasiones a su historial crediticio en DataCrédito, con el fin de enviarle ofertas comerciales que nunca aceptó, circunstancia que habría disminuido su puntaje en historial crediticio.
Por esta razón, la Dirección inició una investigación administrativa en contra de MOVISTAR, mediante la Resolución No. 89950 del 12 de diciembre de 2018, ante la presunta violación de las normas sobre protección de datos personales y, en particular, las disposiciones contenidas en el artículo 9 numeral 1 de la Ley 1266 de 2008[1] sobre hábeas data financiero (información personal crediticia, financiera, comercial y de servicios), en concordancia con el artículo 15 de esta norma.
En la decisión final, la Dirección resaltó que en el caso de bases de datos que contienen información comercial, crediticia, financiera y de servicios, la finalidad del tratamiento se define exclusivamente por la Ley 1266 de 2008 y consiste en calcular el riesgo crediticio de los titulares de datos personales.
Por lo tanto, para la SIC la manifestación de voluntad del titular de los datos personales de celebrar un contrato futuro para adquirir un producto o servicio, solo legitiman a la empresa para consultar su información financiera en las centrales de riesgo, siempre y cuando la finalidad sea calcular el riesgo crediticio de la operación a celebrar. En caso de que la consulta no se realice con esta finalidad o las demás indicadas en el artículo 15 de la Ley de Hábeas Data Financiero, el usuario de los datos debe contar con autorización previa, expresa e informada del titular de los datos personales. Esto es aplicable a los contratos de prestación de servicios de telefonía móvil en la modalidad pospago.
En este caso particular, si bien MOVISTAR alegó que las consultas al historial financiero del usuario se debían a su manifestación de hacer una mejora de plan, la empresa investigada NO logró demostrar que las consultas realizadas contaran con una finalidad legítima, ni el otorgamiento por parte del titular de los datos de una autorización previa para consultar su historial crediticio. Por lo anterior, la SIC concluyó que la investigada infringió la obligación del artículo 9 numeral 1, en concordancia con el artículo 15 de la Ley 1266 de 2008, al no probar que estaba legitimada para consultar el historial crediticio del titular en numerosas ocasiones.
Por lo tanto, la SIC resolvió imponer una sanción pecuniaria a MOVISTAR COLOMBIA por la suma de DOSCIENTOS SESENTA Y TRES MILLONES TRESCIENTOS CUARENTA Y NUEVE MIL TRESCIENTOS SETENTA Y DOS PESOS ($263.349.372) por la violación a los artículos mencionados de la Ley 1266 de 2008, y exhortó a dicha compañía a adoptar ciertas medidas con el propósito de que se respeten los derechos de los titulares.
Este documento es un resumen de la decisión adoptada por la SIC. No contiene opiniones, apreciaciones, valoraciones subjetivas o comentarios de la Firma con respecto a la decisión. Su publicación no implica aprobación o desaprobación frente a la decisión, y se realiza únicamente con fines académicos.
[1] Numeral 1 del artículo 9, Deberes de los usuarios de la información: “1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines que le fue entregada, en los términos de la presente ley”.