220-52615
Asunto: CENTRALES DE RIESGO O DE INFORMACIÓN COMERCIAL.
En atención a su escrito radicado en esta entidad el día 14 de julio del presente año con el No. 457.290-0, en el cual
solicita se le informe, entre otros aspectos relacionados con las centrales de riesgo o "bancos de datos", cuál es el
régimen legal que les es aplicable, esta Oficina se permite hacer las siguientes precisiones y consideraciones de
orden legal a efectos de darle respuesta.
1. Antecedentes.
La aparición del crédito en la historia de las relaciones comerciales hizo necesario diseñar e implementar
diferentes mecanismos para garantizar su otorgamiento, de manera que se desarrollaron criterios de
protección del riesgo, satisfactorias garantías y adecuadas fuentes de pago. Así, desde de la expedición de
la Ley 45 de 1923 el legislador nacional se ocupa de establecer las facultades, restricciones y limitaciones
a los establecimientos bancarios, entre otras la obligación de abstenerse de otorgar créditos cuyo riesgo
de recuperación no se encuentre debidamente cubierto y asumido.
Posteriormente, se expide el Decreto 2920 de 1982, por el cual se dictan normas para asegurar la
confianza del público en el sector financiero colombiano, en cuyo artículo 1° se lee:
"Artículo 1°- Los administradores de las instituciones financieras deben obrar no solo dentro del marco de
la ley, sino dentro del principio de la buena fé y de servicio a los intereses sociales, absteniéndose de las
siguientes conductas: (… )
g) Violar cualquiera de las normas legales sobre límites a inversiones, a concentración de riesgos y de
créditos, y seguridad en el manejo de los negocios."
Como quiera que en los regímenes capitalistas actuales se impone la protección de las reglas del
desenvolvimiento del mercado, y especialmente las del sector financiero por donde, necesariamente,
atraviesa el flujo de capitales que lo alimenta y justifica, es que el otorgamiento del crédito ha sido objeto
de regulación y protección.
Uno de los mecanismos que dispuso la ley para el efecto consiste en la obligatoriedad de evaluar
permanente y periódicamente la cartera de créditos de las entidades vigiladas por la Superintendencia
Bancaria, con el fin de medir el nivel de exposición de los usuarios en el sistema.
2. Centrales de información financiera.
Como consecuencia de lo anterior, la Superintendencia Bancaria expidió, entre otras, las Resoluciones No.
1980 y 2195 de 1994 por medio de las cuales dispuso la obligatoriedad de vigilar permanentemente el
cumplimiento de las normas referentes a cupo individual de crédito y sobre los niveles de concentración
crediticia, exigiendo a las entidades vigiladas la consulta de bancos de datos de información comercial y,
en particular, el endeudamiento consolidado vigente de los clientes con el conjunto del sector financiero,
información que se ubica y maneja en las llamadas centrales de riesgo.
Así mismo, por Resolución No. 023 de 1995 de la referida superintendencia se hace obligatorio remitir a
ésta la información relacionada con el endeudamiento de clientes, información que debe ser producto de la
correspondiente evaluación de cartera.
Posteriormente se expide la Circular Externa No. 100 de 1995, más conocida como CIRCULAR BÁSICA
CONTABLE Y FINANCIERA, cuyo Capítulo II se ocupa de la EVALUACIÓN DE CARTERA DE CRÉDITOS. El
numeral 7 de la citada circular se denomina "Factores de Evaluación", el cual dispone:
"En la evaluación de la cartera se deberán considerar los siguientes factores:
"7.4 Información proveniente de centrales de riegos, consolidadas con el sistema, y de las demás fuentes
de información comercial de que disponga la institución vigilada."
De lo hasta aquí expuesto queda claro que, si bien, en principio, la organización y funcionamiento de las
centrales de información comercial y financiera no está regulada como tal en la ley, sí se hace obligatoria
�la consulta de la información por ellas administrada, por parte de las entidades vigiladas por la
Superintendencia Bancaria, así como la obligación de remitir periódicamente a ésta los informes
relacionados con la evaluación de cartera. Y decimos en principio, pues, en todo caso, tanto la Constitución
Política de 1886 como la de 1991, frente a la utilización de los servicios que prestan tales centrales de
información, imponen a los usuarios y a quien los presta, el deber de acatar y respetar los derechos de
rango fundamental como son, entre otros, el derecho a la intimidad personal y familiar, al buen nombre, a
la libertad y a la dignidad humana.
Por otra parte, vale la pena poner de presente que la Asociación Bancaria de Colombia, ASOBANCARIA, en
su calidad de organismo gremial que presta servicios privados de información financiera y, por ende, de
interés público, administra la CENTRAL DE INFORMACIÓN DEL SECTOR FINANCIERO (CIFIN), en cuyo
reglamento aprobado por Junta Directiva el 2 de julio de 1997, dispone que "la recolección,
procesamiento, conservación y utilización de la central de información está sometida al principio de
protección del derecho a la intimidad reconocido en la Constitución y las leyes, por lo cual la información a
la cual tengan acceso los usuarios solamente puede ser utilizada para los propósitos señalados en el
artículo 2° de este reglamento", esto es, "servir a las instituciones financieras como un elemento más de
juicio por considerar en la evaluación de riesgos de los negocios financieros, y operaciones activas de
crédito que celebren con sus clientes".
Posteriormente se expide la Ley 510 del 3 de agosto de 1999, por la cual se dictan disposiciones en
relación con el sistema financiero y asegurador, el mercado público de valores, las Superintendencias
Bancaria y de Valores y se conceden unas facultades, cuyos artículos 110 y 114, relacionados con el tema
que nos ocupa, fueron declarados inexequibles por la Corte Constitucional en Sentencias C-729/00 y C-
384/00, respectivamente. Los citados artículos decían:
"Artículo 110. Las entidades financieras velarán porque las personas encargadas de la conservación, el uso
y la divulgación informática de la información de los usuarios del sistema financiero, se mantenga
permanentemente actualizada, siguiendo para el efecto, en el reporte histórico de la misma, las siguientes
reglas:
a) Todo usuario cuyo monto adeudado al sistema financiero no supere cien (100) salarios mínimos legales
mensuales vigentes, que realice voluntariamente el pago del saldo de su deuda en mora dentro de los seis
(6) meses contados a partir del primer día en que incurrió en el retardo, tendrá derecho a solicitar a la
respectiva entidad financiera el inmediato reporte a las centrales de información de la recalificación de su
deuda en la categoría correspondiente a los créditos adecuadamente atendidos;
b) Si el usuario de que trata el literal anterior reincide en la mora de sus obligaciones dentro de los seis
(6) meses siguientes a la fecha de recalificación, no podrá efectuar nuevamente la solicitud de que trata el
literal anterior y deberá estar calificado en la categoría respectiva, durante un término no inferior al doble
del plazo en mora cuando ésta no supere un (1) año o por un término de dos (2) años cuando la misma
supere el mencionado plazo;
c) Si el usuario presenta una deuda con monto superior a los cien (100) salarios mínimos legales
mensuales vigentes o si su deuda es inferior a dicho monto pero paga después de los seis (6) meses
previstos en el literal a) del presente artículo, se sujetará a los términos previstos en el literal b) para
efectos de la permanencia de su calificación en el reporte;
d) Cuando el usuario incurra en mora de su obligación, cualquiera que sea su monto y se inicia proceso
judicial para la recuperación de la misma, la respectiva entidad financiera podrá mantener el último
reporte efectuado a las centrales de información por un término máximo no superior de cinco (5) años
contados desde la fecha de la sentencia que condene al deudor. No obstante, si el deudor paga el monto
adeudado con la notificación de mandamiento de pago en proceso ejecutivo, el término del reporte será de
dos (2) años contados desde la fecha del pago;
e) En el evento en que el usuario demandado no resulte condenado en el proceso judicial iniciado por la
entidad financiera, el reporte efectuado debe eliminarse con la sentencia de primera instancia
debidamente notificada, por solicitud del usuario demandado. Esta regla no se aplicará si el fundamento
de la sentencia es la prescripción de la obligación, caso en el cual, sin perjuicio de la exoneración del pago
de la deuda, el reporte de esta circunstancia deberá realizarse por la entidad financiera correspondiente
por dos (2) años contados desde la sentencia.
Parágrafo. El límite adeudado previsto en el literal a) del presente artículo, será de doscientos cincuenta
(250) salarios mínimos legales mensuales vigentes, para el caso de las pequeñas y medianas empresas
definidas como tales por la Ley 78 de 1988.
� Artículo 114. Banco de Datos Financieros o de Solvencia Patrimonial y Crediticia. Las entidades o personas
naturales que suministren regularmente datos financieros o sobre solvencia patrimonial y crediticia sólo
podrán tratar automatizadamente datos personales obtenidos de fuentes accesibles al público o
procedentes de informaciones recogidas mediante el consentimiento libre, expreso, informado y escrito de
su titular.
Previo el pago de la tarifa que autorice la Superintendencia Bancaria y la solicitud escrita de su titular, el
responsable del banco de datos deberá comunicarle las informaciones difundidas y el nombre y dirección
del cesionario. Sólo se podrán registrar y ceder los datos que, según las normas o pautas de la
Superintendencia Bancaria y de conformidad con el artículo 15 de la Constitución, se consideren relevantes
para evaluar la solvencia económica de sus titulares.
Los datos personales que recojan y sean objeto de tratamiento deben ser pertinentes, exactos y
actualizados, de modo que correspondan verazmente a la situación real de su titular.
Parágrafo. Las personas que dentro de los seis (6) meses siguientes a la vigencia de la presente ley se
pongan al día en obligaciones por cuya causa hubieren sido reportadas a los bancos de datos de que trata
este artículo tendrán un alivio consistente en la caducidad inmediata de la información negativa, sin
importar el monto de la obligación e independientemente de si el pago se produce judicial o
extrajudicialmente. La Defensoría del Pueblo velará por el cumplimiento de esta norma".
A su vez, el artículo 46 de la llamada Ley de Vivienda (Ley 546 del 23 de diciembre de 1999), estableció
una especie de amnistía a aquellos deudores de créditos de vivienda individual a largo plazo que los
reestructuren en los términos previstos en el artículo 42 de la misma ley, en el sentido de que tendrán
derecho a exigir que sus nombres se retiren como deudores morosos de las centrales de riesgo, una vez
hayan cumplido puntualmente con el pago de las tres primeras cuotas de la obligación reestructurada.
3. Desarrollo jurisprudencial sobre el derecho a la intimidad, habeas data y derecho a la
información.
Finalmente, y no obstante las varias propuestas legislativas encaminadas a expedir una ley estatutaria
sobre protección a la intimidad, el habeas data y el buen nombre, ha sido la Corte Constitucional quien se
ha ocupado de establecer los alcances, límites temporales y sustanciales en la recolección, suministro y
manejo de los datos que reposan en las centrales de información, así como la responsabilidad de quienes
las administran frente a la eventual transgresión de los derechos fundamentales mencionados, en la
Sentencia SU-082 calendada el 1° de marzo de 1995, copia de la cual me permito remitirle.
4. Puntualización de la consulta.
Respecto al primero de los interrogantes planteados, le reiteramos que salvo las disposiciones arriba
mencionadas y transcritas, la ley positiva colombiana no se ha ocupado de reglamentar las llamadas
centrales de riesgo o bancos de datos informáticos. Solamente la jurisprudencia constitucional ha
desarrollado los criterios aplicables en el manejo de la información que aquellas administran.
Efectivamente, la citada jurisprudencia consideró razonable fijar unos términos sobre la caducidad de los
datos, los cuales deben ser aplicados dependiendo de cada caso en particular, teniendo en cuenta
diferentes aspectos entre los cuales contempló por ejemplo las siguientes situaciones: cuando el pago de
la obligación hubiese sido realizado voluntariamente o el mismo fuere efectuado en desarrollo de un
proceso ejecutivo, o cuando dentro de los dos años siguientes se han reportado nuevos incumplimientos
del mismo deudor, etc.
Todo reporte de información a las centrales de riesgo supone que los datos suministrados a ellas son
reales, ciertos y verdaderos, así sean negativos, es decir, que comporten para sus titulares una calificación
de deudores morosos. Pero, en todo caso, será obligatorio y necesario contar con la autorización expresa,
previa y voluntaria del titular para disponer de esa información, como base fundamental y punto de
equilibrio entre el derecho a la información y el derecho a la intimidad.
La indebida utilización de los datos que reposan en las centrales de riesgo hará responsables a quienes las
administran por los daños y perjuicios que causaren a su titular.
La naturaleza de la obligación no limita el reporte del dato negativo en las centrales de riesgo de quien
figura a cargo de ella. Si bien, en principio, las centrales de riesgo manejan información relacionada con
las obligaciones que se ventilan en el sector financiero, ello no obsta para que sea allí reportado quien está
en mora de cancelar una obligación de otra índole, vr. gr. laboral.
�Sin perjuicio de que a estas alturas del presente concepto se haya dado respuesta a los interrogantes planteados, y
con la seguridad de que en la sentencia anexa podrá obtener mayor precisión y puntualidad acerca de los mismos,
nos permitimos sugerirle trasladar cualquier inquietud adicional sobre el tema a la Asociación Bancaria de Colombia,
ASOBANCARIA y/o a la Superintendencia Bancaria.
En los anteriores términos hemos absuelto su consulta, no sin antes manifestarle que el alcance del presente
pronunciamiento es el contemplado en el artículo 25 del Código Contencioso Administrativo.
Rad: 457.290-0
