martes, 30 de junio de 2020

Acaba de ser aprobada por el Congreso de la República (pendiente de sanción presidencial) una ley estatutaria que reforma la ley 1266 de 2008, ley especialmente orientada a regular las centrales que recopilan información crediticia y financiera (operadores), y también los bancos y entidades del sector real que les suministran dichos datos (fuentes de la información).

Los principales cambios introducidos por la nueva legislación son:
(i) Se crean varias “amnistías” en distintas modalidades que, en términos generales, establecen que las personas que tengan obligaciones en situación de incumplimiento, en la víspera de la entrada en vigencia de la nueva ley o dentro del año siguiente a su promulgación, reciben un alivio respecto de la caducidad del dato, alivio que consiste en la eliminación del dato de forma inmediata o dentro de un plazo menor al habitual.

Esto aplica de forma preferencial para Mipyme, pequeños agricultores, víctimas del conflicto, jóvenes, mujeres rurales y otros deudores en situaciones espaciales, con las variaciones y especificidades que establece la ley. (ii) Se crea la obligación de actualizar los score crediticios, siempre que se elimine cualquier dato negativo.

(iii) Se prohíbe que la consulta frecuente de la historia de crédito sea factor de disminución de la calificación crediticia y, se prohíbe también que esta información sea usada para la toma de decisiones laborales. (iv) Se establecen protecciones para el titular que sea sujeto de suplantación mediante acciones que constituyan delito de falsedad personal.

(v) Se establece a favor del titular de los datos el silencio administrativo positivo, en el marco de las reclamaciones que formule ante el operador o la fuente. (vi) Tomando ejemplo de la Ley 1581 de 2012, se establece el principio de responsabilidad demostrada que permite modular la responsabilidad según el volumen de la información, la naturaleza de los datos, el tipo de tratamiento y los riesgos potenciales. Los operadores y fuentes de información deberán adoptar políticas internas efectivas.

La nueva normativa no introduce mayores cambios de fondo, lo cual es un pesar si se tiene en cuenta lo difícil que es conseguir las mayorías para aprobar una ley estatutaria. Habría sido muy interesante aprovechar esta oportunidad para actualizar el marco legal, especialmente teniendo en consideración la reciente aprobación del nuevo reglamento europeo sobre la materia (Gdpr).

Aparte de algunas mejoras no sustanciales en el nivel de protección de los titulares de la información, vemos que el centro de la nueva legislación está en la generación de varias modalidades de amnistías, que si bien producen un alivio temporal para sus destinatarios, generan un daño general en la calidad de la información, lo que al final repercute en la confiabilidad de todo el sistema.

Las mal llamadas amnistías, en realidad lo que hacen es ordenar el ocultamiento de una pieza de información veraz, para dejar visible el resto de la información positiva, lo cual no es otra cosa que una distorsión de la realidad por orden legislativa. Se pone el interés particular por encima del interés general.

En cambio, se perdió la oportunidad de incorporar figuras interesantes del nuevo reglamento europeo que le habrían dado modernidad al marco jurídico. Es el caso, de la institución del Data Protection Officer, agente obligatorio para el grupo de controladores de información que ofrecen más alto riesgo, o el novedoso mecanismo de la certificación de protección de datos, el cual permitirá, vía compliance, que terceros independientes validen el cumplimiento normativo de los sujetos supervisados.

Igualmente, se perdió esta oportunidad para darle rango legal a la importante figura de las mediciones de impacto de protección de datos, pieza esencial en la visión regulatoria actual.