REPÚBLICA DE COLOMBIA

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

RESOLUCIÓN NÚMERO 79845 DE 2020

(14 de diciembre)

Por la cual se resuelve un recurso de apelación

Radicación No. 20-80545 VERSIÓN PÚBLICA

El Superintendente Delegado para la Protección de Datos Personales

En ejercicio de sus facultades legales, en especial las conferidas por el artículo 17 de la

Ley 1266 de 2008, el numeral 7 del artículo 16 del Decreto 4886 de 2011 y,

CONSIDERANDO

PRIMERO. Que mediante escrito 20-80545-00 de 6 de abril de 2020, la señora Carolina

Bonilla Alzate, presentó ante esta entidad una queja en contra de Compañía de Créditos
Rápidos S.A.S. por una presunta vulneración a su derecho constitucional de habeas data.

SEGUNDO. Que con base en el análisis de las respuestas suministradas por Compañía de
Créditos Rápidos S.A.S., los operadores de información (TransUnion (Cifin S.A.S) y
Experian Colombia S.A.-DataCrédito), y los demás elementos probatorios que reposan en
el expediente, la Dirección de Investigación de Protección de Datos Personales por medio
de la Resolución No. 56021 de 15 de septiembre de 2020, resolvió:

TERCERO. Que en el término legal establecido mediante escrito 20-80545-21 de 6 de octubre

de 2020, la empresa Compañía de Créditos Rápidos S.A.S. (en adelante, la recurrente),
interpuso recurso de apelación contra la Resolución No. 56021 de 15 de septiembre de
2020, a fin de que esta sea revocada, con fundamento en los siguientes argumentos:

“Pretende el Director de Investigación de Protección de Datos Personales, que el

responsable [sic] de la información, elimine la información negativa y/o positiva del titular
[sic] de la información, sin embargo, no existe un fallo emitido por una autoridad
competente, tal y como lo ha establecido la Superintendencia Financiera de Colombia, y no
puede inferirse, que sin el fallo, el titular [sic] /cliente reclamante, se encuentre habilitado,
para solicitar la desvinculación total de las centrales de riesgo, máxime, cuando existe un
tipo de marcación en las centrales de riesgo, que contempla el manejo de un reporte en
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 2

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

discusión, - que es la figura a la que en la actualidad está recurriendo RAPICREDIT- que

contiene la situación de aclaración eventual ordenada por esta Superintendencia [sic]. Y es
necesario recordar, que estas medidas, solamente están contempladas en el proyecto de
Ley [sic], denominado “Ley de borrón y cuenta nueva”, y que dicho proyecto aún no es Ley
[sic] de la República.

Existen pronunciamientos en sede de tutela, e igualmente pronunciamientos de esta misma

Superintendencia [sic], y de la Superintendencia Financiera de Colombia, que establecen,
que no necesariamente, la simple manifestación del titular [sic]/suplantado, da lugar a la
eliminación del dato [sic].

(...)

Aplicar de plano, como lo pretende esta resolución, eliminando el reporte en las centrales
de riesgo, sin tener en cuenta, que estamos hablando de un evento de suplantación, en
donde la Compañía de Crédito Rápidos S.A.S., también es víctima del fraude, y cargarla de
antemano con toda la responsabilidad por la situación, no tiene un soporte legal vigente, y
por el contrario, se le está Juzgando [sic] por parte de esta Superintendencia [sic], por no
estar aplicando en forma anticipada, una normatividad que en estos momentos se
encuentra a revisión previa de la Corte Constitucional por tener el rango de estatutaria, es
decir que no hace parte de la codificación legal de la República [sic], aplicable en estos
casos al investigada.

(...)

Esta misma Superintendencia [sic], frente a un derecho de petición presentada en su

momento por la sociedad que represento, sobre esta misma situación, se expresó el día 25
de octubre de 2019, en los siguientes términos: (...) los temas de la petición eran son
competencia de la Superintendencia Financiera de Colombia, por involucrar temas de
cuentas y entidades bancarias”.

Por su parte la Superintendencia Financiera de Colombia, frente al mismo tema, y frente a

una consulta sobre los casos de suplantación, que presentó la sociedad RapiCredit, en
respuesta emitida el día 06 [sic] de noviembre de 2019, entre otras, indica el deber que
tienen las entidades bancarias de “(...) dar cumplimiento a la obligación de conocimiento
del cliente y al principio de la debida diligencia (...)” prevista en el artículo 3o de la Ley 1328,
y remite expresamente a las investigaciones que haga de estos punibles, la Fiscalía
General de la Nación (...)

Cómo [sic] puede observarse entonces, esta Superintendencia [sic], está excediendo el
mandato legal autorizado, toda vez que la eliminación de los datos [sic] negativos Y7o [sic]
positivos del titular [sic], debe ser antecedida por una resolución judicial emitida por la
Fiscalía General de la Nación, que declare la existencia de la suplantación y ordene el
restablecimiento del derecho del reclamante y de la las víctimas.

RapiCredit movida por la legítima confianza en el sector bancario nacional, ha consignado

en una cuenta, que una entidad bancaria le certificó como de propiedad del titular en
cuestión, dejándole constancia señor Director, que esa confianza legítima, proviene de la
institución financiera nacional y su calificación como servicio público; este servicio público
implica que las entidades vigiladas deben cumplir con el requisito de autenticación a la hora
de prestar sus servicios y productos financieros, el cual hace referencia a la necesidad de
conocimiento del cliente y a la necesidad de identificar plenamente al mismo, antes de
iniciar una relación contractual con este. Lo anterior, independientemente de si se trata de
una cuenta de ahorros solicitada personalmente en las oficinas de la entidad, de una cuenta
de ahorros electrónica o de una cuenta de ahorros de trámite simplificado.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 3

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

Así las cosas, puede afirmarse que, presuntamente, el Banco, al autorizar la apertura de
las cuentas bancarias por medio de las cuales se llevan a cabo los fraudes de los cuales
fue víctima la Compañía, no está dando cumplimiento a la obligación anteriormente [sic]
mencionada. Si lo hubiera hecho, hubiera podido identificar que la información usada por
las personas para abrir las cuentas era falsa y no se correspondía con la realidad.

(...)

En relación con esto, resulta necesario mencionar que los principios de la buena fe y
confianza legítima son perfectamente aplicables a las actuaciones de las entidades
financieras durante la prestación de los servicios bancarios. Más, si se considera que la
actividad bancaria se considera un servicio público.

Por esta razón, puede afirmarse que un consumidor financiero, al llevar a cabo
transacciones en el sistema bancario, por medio de las entidades que se encuentran
habilitadas para llevar a cabo este tipo de operaciones, tiene la plena certeza y confianza
en que estas transacciones serán exitosas y contarán con toda la seguridad requerida para
esto. De acuerdo con lo anterior, y haciendo referencia al caso en concreto, puede decirse
que la Compañía [sic], como consumidor financiero, y al llevar a cabo operaciones y
transacciones a través del sistema bancario, tiene la plena seguridad de que dichas
operaciones no serán objeto de fraude o suplantación. Esto, ya que era perfectamente
asumible, para la Compañía [sic], que el Banco, como entidad financiera y vigilada, había
dado cumplimiento a sus obligaciones de conocimiento del cliente, y que, por ende, quienes
aparecían como titulares [sic] de dichas cuentas bancarias eran realmente quienes decían
ser. Adicionalmente, y tal como se mencionó en los hechos del presente escrito, el Banco
[sic] confirmó a la Compañía [sic] que efectivamente sus clientes eran los titulares [sic] y
propietarios de las cuentas bancarias en cuestión, sin esto ser cierto, permitiendo que la
Compañía [sic] procediera con el desembolso de los créditos a estas personas.

No obstante lo anterior, y violando los principios de buena fe y confianza legítima, al parecer,

el Banco [sic] no dio cumplimiento a sus obligaciones y permitió la apertura de unas cuentas
bancarias, por parte de terceros, sin tener conocimiento pleno de su identidad. A través de
estas cuentas bancarias la Compañía [sic] fue víctima de un fraude masivo y se generaron
unos graves perjuicios económicos para esta.

Finalmente, es necesario resaltar que la actividad bancaria, se ha considerado

jurisprudencialmente como un servicio público. En este sentido, los Bancos [sic], al darse
cuenta de los presuntos fraudes masivos de los que estaba siendo víctima la Compañía
[sic], debía haber hecho las denuncias correspondientes ante la Fiscalía General de la
Nación.

(...)

De acuerdo con el artículo 3 de la Ley 1328 de 2009, las entidades vigiladas, en sus
relaciones con los consumidores financieros deberán cumplir con el principio de debida
diligencia, el cual establece, entre otras cosas, lo siguiente:
“ (...)
a) (...) Las entidades vigiladas deberán observar las instrucciones que imparta la
Superintendencia Financiera de Colombia en materia de seguridad y calidad en los
distintos canales de distribución de servicios financieros.”

El mismo cuerpo normativo, en su artículo 5o, consagra que los consumidores financieros
tienen el siguiente derecho:
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 4

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

“a) En desarrollo del principio de debida diligencia, los consumidores financieros tienen el
derecho de recibir de parte de las entidades vigiladas productos y servicios con estándares
de seguridad y calidad, de acuerdo con las condiciones ofrecidas y las obligaciones
asumidas por las entidades vigiladas.”

(...)

En este sentido, resulta claro que las entidades financieras tienen la obligación de incluir,
en los procedimientos para la prestación de los servicios u operaciones financieras, un
criterio de autenticación para verificar la identidad de sus clientes o usuarios. Ahora bien,
es necesario resaltar que la autenticación de los clientes, por parte de las entidades
financieras, no siempre deberá llevarse a cabo de la misma forma, ya que dependerá del
canal por medio del cual se realicen las operaciones.

En relación con lo anterior, la Circular Básica Jurídica, igualmente en la Parte I, Título II,
Capítulo I, establece que existen canales presenciales y canales no presenciales para la
prestación de los servicios. Sobre los primeros, menciona que son aquellos en los que el
consumidor financiero asiste personalmente, y, sobre los segundos, menciona que son
aquellos en los que el consumidor financiero es atendido de forma remota.

Así las cosas, tratándose de cuentas de ahorros vigentes con el sistema financiero bancario
nacional, si bien no se exige a la entidad dar cumplimiento a los requisitos de conocimiento
del cliente, relativos al formulario y la entrevista, establecidos en las normas que regulan
Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo
(SARLAFT), sí se exige dar cumplimiento a las demás disposiciones en este tema y se
exige establecer mecanismos de seguridad para asegurar el efectivo conocimiento de sus
clientes. Por tal razón, el Banco, a la hora de recibir las solicitudes para la expedición de
cuentas de ahorros electrónicas, por parte de sus potenciales clientes, debió cumplir con la
obligación de recolectar toda la información que fuese necesaria para identificar plenamente
al usuario y autenticar su identidad.

En virtud de lo anteriormente [sic] expuesto, es perfectamente posible concluir, que las

entidades vigiladas deben cumplir con el requisito de autenticación a la hora de prestar sus
servicios y productos financieros, el cual hace referencia a la necesidad de conocimiento
del cliente y a la necesidad de identificar plenamente al mismo, antes de iniciar una relación
contractual con este. Lo anterior, independientemente de si se trata de una cuenta de
ahorros solicitada personalmente en las oficinas de la entidad, de una cuenta de ahorros
electrónica o de una cuenta de ahorros de trámite simplificado.

Ahora, con el siguiente documento, se pretende por este representante, que está
Superintendencia [sic], tenga conocimiento que, las entidades bancarias, No están
cumpliendo con la debida diligencia, la obligación legal que tienen del conocimiento mínimo
del cliente.

La respuesta que se adjunta a continuación, demuestra que ese conocimiento, se está

dejando supeditado, únicamente, a la existencia de la copia de la cédula, con lo que a todas
luces se demuestra el incumplimiento por parte de la entidad bancaria, de su obligación de
establecer mecanismos de seguridad para asegurar el efectivo conocimiento de sus
clientes.

(...)

Como corolario final, nuevamente, y en forma repetida, el Banco [sic], al autorizar la

apertura de las cuentas bancarias por medio de las cuales se llevan a cabo los fraudes de
los cuales fue víctima la Compañía [sic], no está dando cumplimiento a la obligación
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 5

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

anteriormente mencionada. Si lo hubiera hecho, hubiera podido identificar que la

información usada por las personas para abrir las cuentas era falsa y no se correspondía
con la realidad, de donde la decisión de esta Superintendencia [sic], de eliminar la
información negativa y/o positiva del reporte del titular [sic] en las centrales de riesgo,
únicamente, bajo el sustento de la existencia del denuncio penal, pretende imputar la
responsabilidad a mi representada, desconociendo los lineamientos vigentes de la
legislación nacional, que supeditan un pronunciamiento de un ente jurisdiccional que tiene
la facultad de atribuir los alcances de la responsabilidad en los hechos que deben
obligatoriamente ser puestos en su conocimiento. La evidencia sumaria, no tiene por sí, la
facultad de eliminación automática y expedita que pretende la delegatura. Es cierto, que
este trámite, en el que sólo [sic] es necesario el denuncio penal, y el aporte de una prueba
sumaria, es suficiente, pero eso hace parte de un proyecto de ley, que aún no ha sido
sancionado como ley de la República [sic], razón por la cual, esta delegatura, no puede
exigir los alcances de eliminación incorporados en un proyecto, que todavía no es ley.

RapiCredit, dentro del marco del debido proceso, ha podido dar veracidad a los hechos
invocados, según los cuales, la eliminación del reporte exigido, se aleja de la ley, y por el
contrario, al no existir un pronunciamiento expreso de la Fiscalía General de la nación, -que
es el órgano encargado de restablecer el derecho del denunciante-, no puede
responsabilizarse a RapiCredit, por no eliminar el reporte simplemente con la existencia de
una prueba sumaria, que no le obliga en dicha situación, por expreso mandato legal.

La suplantación, en este tipo de industria, ha aparecido como un fenómeno que ha sido

generado, por la falta de control y cumplimiento del deber de debida diligencia, en el proceso
de matriculación de sus clientes, por parte de las entidades financieras, no siendo de recibo,
que esa falta de verificación en la prestación de un servicio público, sea cargada como una
responsabilidad que debe afrontar la industria Fintech en Colombia.

Pretensión

La investigada solicita reponer la orden administrativa impuesta en la Resolución No. 56021

de 15 de septiembre de 2020.

Cuarto. Que de acuerdo con lo establecido en el artículo 80 del Código de Procedimiento

Administrativo y de lo Contencioso Administrativo, este Despacho procede a resolver el
recurso de apelación interpuesto contra la Resolución No. 56021 de 15 de septiembre de
2020.

CONSIDERACIONES DEL DESPACHO

1. COMPETENCIA DEL DESPACHO DEL SUPERINTENDENTE DELEGADO PARA LA PROTECCIÓN

DE DATOS PERSONALES

El artículo 16 del Decreto 4886 de 26 de diciembre de 20111 establece las funciones del
Superintendente Delegado para la Protección de Datos Personales, entre las cuales se
destacan las siguientes:

“(…)

1Por medio del cual se modifica la estructura de la Superintendencia de Industria y Comercio, se determinan las funciones
de sus dependencias y se dictan otras disposiciones.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 6

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

7. Decidir los recursos de reposición y las solicitudes de revocatoria directa que

se interpongan contra los actos que expida, así como los de apelación que se
interpongan contra los actos expedidos por la Dirección a su cargo (…)”

2. DE LA CALIDAD DE LA INFORMACIÓN QUE DEBE SUMINISTRAR LA FUENTE

Ordena lo siguiente la Ley Estatutaria 1266 de 2008:

ARTÍCULO 4o. PRINCIPIOS DE LA ADMINISTRACIÓN DE DATOS. En el desarrollo,

interpretación y aplicación de la presente ley, se tendrán en cuenta, de manera armónica e
integral, los principios que a continuación se establecen:

a) Principio de veracidad o calidad de los registros o datos. La información contenida

en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable
y comprensible. Se prohíbe el registro y divulgación de datos parciales, incompletos,
fraccionados o que induzcan a error; (…)”

ARTÍCULO 8o. DEBERES DE LAS FUENTES DE LA INFORMACIÓN. Las fuentes de la

información deberán cumplir las siguientes obligaciones, sin perjuicio del cumplimiento de
las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

1. Garantizar que la información que se suministre a los operadores de los bancos de

datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable. (…)”
(Subrayamos)

Sobre este deber, la Corte Constitucional precisó lo siguiente en el numeral 3.3.3. de la

sentencia C-1011 de 2008: “En cuanto a lo previsto en el numeral 1º, que establece el deber
de las fuentes de garantizar que la información que se suministre a los operadores de los
bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable,
debe señalarse que los procesos de administración de datos personales está signado por
un deber de objetividad. Esta condición implica que la información no debe ser presentada
en forma inductiva, sesgada o sugestiva. La jurisprudencia constitucional[150] al respecto
también ha señalado que la veracidad supone una correspondencia entre el registro
efectuado y las condiciones empíricas del sujeto pasivo. Por ello, en tanto la fuerza de los
presupuestos de veracidad y actualidad se refleja en esta norma, la Corte la encuentra
ajustada a la Constitución.” (Subrayamos)

Como se observa, la información que se reporta debe ser cierta y de calidad. No se puede
reportar información sobre la cual no exista certeza de su veracidad porque ello no solo
afecta el buen nombre de las personas sino que induce a error a los usuarios de la
información y al público en general. Por eso, la citada ley exige que las fuentes de
información garanticen que la información sea, entre otras, comprobable.

Según la RAE, comprobable significa “que se puede comprobar”2, es decir que se puede
“confirmar la veracidad o exactitud de algo”3. Quien reporta a una persona debe ser muy
profesional y diligente porque su acción u omisión genera daños a las mismas al
comprometer o poner en riesgo su buen nombre. No se puede jugar con los derechos de
las personas, sino que se deben garantizar. Por eso, si no es comprobable la información
que se va a reportar, la fuente debe abstenerse de realizar el reporte.

2 Cfr. https://dle.rae.es/comprobable?m=form
3 Cfr. https://dle.rae.es/comprobar
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 7

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

Las personas no deben ser sometidas al escarnio público con reportes negativos sobre los
cuales no existe certeza ni prueba de la veracidad de la información. Su reputación no
puede ser puesta en tela de juicio con ocasión de obligaciones o situaciones no
comprobables. Nótese que ganar un buen nombre no es sencillo, perderlo es fácil y
recuperarlo es muy difícil o, según el caso, imposible.

El artículo 95 de la Constitución Política Nacional ordena “respetar los derechos ajenos y

no abusar de los propios”. Por eso, es legítimo reportar a una persona como morosa
siempre y cuando se cumplan unos requisitos. Uno de ellos, precisamente, exige que la
información sea comprobable. Así las cosas, quien realiza el reporte (la fuente de la
información) debe ser extremadamente cuidadoso de contar con plena prueba de la
veracidad de la información. De lo contrario, no estaría respetando el buen nombre de la
persona reportada, causándole daños y perjuicios.

Es importante recordar lo establecido en la Sentencia T-803 de 2010 sobre el principio de

veracidad, allí la Corte Constitucional manifestó que en la Sentencia T-272 de 2007
estableció:

“(…) en situaciones en las que se ha generado un reporte negativo con respecto a

un deudor, pero éste controvierte la veracidad de la información reportada, bien
porque desconoce que la obligación supuestamente insoluta haya nacido a la vida
jurídica en la forma en que lo sostiene el acreedor, bien porque entiende que si bien
la obligación existió, ya se ha extinguido por alguna circunstancia que no es aceptada
por quien fuera el titular de dicho crédito (…)”

“(…) la Corte ha considerado que no se cumple de manera satisfactoria el criterio de

veracidad, por lo que no resulta procedente mantener el reporte, junto con sus
efectos negativos, mientras no se dilucide con toda claridad si en efecto la obligación
existe y se encuentra pendiente de pago en la forma en que lo entiende el
acreedor.” Agregó la Corte que “[f]rente a la tensión existente entre los derechos e
intereses de las organizaciones que usan este tipo de información y los de las
personas reportadas, es necesario anotar que el informe de situaciones discutidas y
no suficientemente esclarecidas expone al afectado a sufrir todas las limitaciones y
consecuencias negativas de tales reportes (…)”

“(…) la Corte determinó que frente al principio de veracidad, el dato informado al

operador[444] debe corresponder a la situación objetiva del deudor, de tal forma que
exista certeza sobre la existencia y las condiciones del crédito. En consecuencia, no
basta con que las entidades tengan los registros contables que soporten la
obligación, sino que además deben contar con los documentos que prueben la
existencia de la obligación. De lo anterior, se infiere que es obligación del acreedor
comprobar la existencia de la deuda y que ésta sea imputable al acreedor.[455] Esto,
al ser la fuente de la información quien tiene el deber de “garantizar que la
información que se suministre a los operadores de los bancos de datos o a los
usuarios sea (…) comprobable”[466].

4 “De acuerdo con la Ley 1266 de 2008, el operador de información se entiende como: “(…) la persona, entidad u
organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en
conocimiento de los usuarios bajo los parámetros de la presente ley. Por tanto el operador, en cuanto tiene acceso a
información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la
protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no
tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean
suministrados por la fuente;”
5 Corte Constitucional, Sentencia T-129 de 2010
6 Ley 1266 de 2008, artículo 8° numeral 1.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 8

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

De igual manera, al resolver el problema jurídico ¿Se vulneran los derechos fundamentales
del debido proceso, libertad, buen nombre, habeas data, y a la honra, de quien alega no
ser el autor de un delito por el cual fue condenado en un proceso penal, al ser víctima de
un caso de suplantación?, determinó en la Sentencia T-653/14 que:

“Como quiera que excede la competencia del juez constitucional determinar si existe
un error administrativo o un caso de falsa identidad, ante las evidencias de la
suplantación, debe tomar decisiones que le permitan al accionante esclarecer la
compleja situación y buscar recuperar su buen nombre, honra, la eliminación de los
reportes negativos y la recuperación de sus derechos políticos”

En vista de las referencias expuestas, y en atención a las circunstancias particulares del

caso en cuestión, además como no le corresponde a la sociedad Compañía de Créditos
Rápidos S.A.S. determinar la ocurrencia o no del delito de suplantación de identidad, y
tampoco le compete decidir si los documentos que aportó al expediente, determinan y
comprueban sin lugar a error la obligación a cargo de la señora Carolina Bonilla Alzate, este
Despacho considera que no es posible acceder a lo pretendido por la recurrente. En la
medida que, como ya se dijo, la situación que dio lugar a la presente actuación
administrativa está siendo investigada por parte de la autoridad competente para ello, lo
que lleva a concluir que hay duda respecto de la titularidad del crédito adquirido.

Por lo anterior, y como es evidente que a la fecha la información no es comprobable,

resulta apenas lógico que se ordenara la eliminación de manera preventiva de los reportes
realizados a nombre del quejoso.

Ahora, en cuanto al argumento, “RapiCredit, dentro del marco del debido proceso, ha
podido dar veracidad a los hechos invocados, según los cuales, la eliminación del reporte
exigido, se aleja de la ley, y por el contrario, al no existir un pronunciamiento expreso de la
Fiscalía General de la nación, -que es el órgano encargado de restablecer el derecho del
denunciante-, no puede responsabilizarse a RapiCredit, por no eliminar el reporte
simplemente con la existencia de una prueba sumaria, que no le obliga en dicha situación,
por expreso mandato legal”, este despacho destaca que al tratarse de un derecho
fundamental como el que está en peligro no tiene sentido ni es posible esperar el fallo que
acredite la suplantación de identidad. Debe recordarse que estamos en presencia de un
derecho requiere protección inmediata.

No debe olvidarse que el artículo 29 de la Constitución Política Nacional ordena que “toda
persona se presume inocente mientras no se la haya declarado judicialmente culpable“.
Mantener un reporte negativo sin fundamento probatorio de su veracidad es un acto
contrario al precitado mandato constitucional.

3. SOBRE LA MARCACIÓN “RECLAMO EN TRÁMITE”

La recurrente aduce en el escrito bajo estudio: “Pretende el Director de Investigación de

Protección de Datos Personales, que el responsable [sic] de la información, elimine la
información negativa y/o positiva del titular [sic] de la información, sin embargo, no existe
un fallo emitido por una autoridad competente, tal y como lo ha establecido la
Superintendencia Financiera de Colombia, y no puede inferirse, que sin el fallo, el titular
[sic] /cliente reclamante, se encuentre habilitado, para solicitar la desvinculación total de las
centrales de riesgo, máxime, cuando existe un tipo de marcación en las centrales de riesgo,
que contempla el manejo de un reporte en discusión, - que es la figura a la que en la
actualidad está recurriendo RAPICREDIT- que contiene la situación de aclaración eventual
ordenada por esta Superintendencia [sic]. Y es necesario recordar, que estas medidas,
solamente están contempladas en el proyecto de Ley [sic], denominado “Ley de borrón y
cuenta nueva”, y que dicho proyecto aún no es Ley [sic] de la República.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 9

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

Al respecto, a pesar de lo que asegura la investigada quedó demostrado que tampoco realizó
el registró de la leyenda “reclamo en trámite” en el historial creditico del quejoso de la manera
correcta:

Hoja 11 Resolución No. 69725 de 30 de octubre de 2020

RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 10

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

Así, en gracia de discusión, si la recurrente hubiera adelantado la marcación aclarando que

se trataba de un incumplimiento en virtud de una suplantación de identidad, es necesario
relievar que, mantener los reportes de vectores de comportamiento negativo y positivos,
representan para el Titular de la información una serie de gravosas consecuencias. Pues, al
figurar información negativa en su historial crediticio, le es imposible acceder a créditos y
adquirir productos y/o servicios. Además, se reporta información que no es veraz, toda vez
que, la información reportada por la Compañía de Créditos Rápidos S.A.S., no es exacta ni
comprobable, ya que los documentos sobre los cuales versa el reporte son objeto de
discusión ante la autoridad competente con respecto a su autenticidad.
De esta manera, el anterior argumento tampoco está llamado a prosperar, puesto que
teniendo en cuenta las circunstancias de hecho que dieron origen a la presente actuación
administrativa, este Despacho confirmara la decisión contenida en la Resolución No. 56021
de 15 de septiembre de 2020.
Ahora, del examen realizado por la Dirección de Investigación de Datos Personales al
recurso interpuesto, esta delegatura luego de realizar el análisis pertinente sobre los
argumentos presentados por la recurrente, y los documentos que reposan en el expediente,
se sujeta a lo allí decidido en lo relacionado con las afirmaciones sobre: i) el proyecto de ley
“borrón y cuenta nueva”; y, ii) su condición de víctima frente al fraude.

Por lo expuesto, los argumentos señalados no serán acogidos en esta instancia.

4. DECISIONES DE LA ADMINISTRACIÓN

Sobre este particular, es necesario resaltar lo siguiente:

En primer lugar, la orden impuesta a la investigada, es el resultado del análisis del daño y/o
puesta en peligro de los intereses jurídicos tutelados en el trámite de la primera instancia
de esta actuación administrativa.

En segundo lugar, y sin perjuicio de lo anterior, es claro que la Resolución No. 56021 de 15
de septiembre de 2020 fue proferida con la debida observancia de los principios que rigen
las actuaciones administrativas. Los cuales están contemplados en el artículo 3 del Código
de Procedimiento Administrativo y de lo Contencioso Administrativo, “debido proceso,
igualdad, imparcialidad, buena fe, moralidad, participación, responsabilidad, transparencia,
publicidad, coordinación, eficacia, economía y celeridad”. De ahí que, la decisión emitida
se ajuste a derecho, pues fue producto de la aplicación del mandato legal y constitucional
(artículo 209). Asimismo, también fue el resultado de la valoración fáctica y probatoria de la
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 11

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

primera instancia que llevó a concluir y comprobar la vulneración al derecho de habeas data
del Titular.

En tercer lugar, es pertinente precisar que las órdenes y/o sanciones que se imponen dentro
de esta clase de procesos, no derivan de los daños o perjuicios causados a los Titulares por
el uso ilegal de su información. Es decir, las normas que protegen el derecho de habeas data
no se refieren a la responsabilidad civil de los Encargados o Responsables del Tratamiento
de Datos.

En cuarto lugar, es relevante tener presente que Compañía de Créditos Rápidos S.A.S.
trata Datos de más ocho mil trescientos cincuenta (8350) ciudadanos, lo cual la obliga a ser
extremadamente diligente y a garantizar la efectividad real (no formal) de los derechos de
los Titulares de los Datos.

Esta es la información que reportó esa sociedad en el Registro Nacional de Bases de Datos:

Número Nombre de Fecha Finalidades Cantidad

Fecha de Fecha de
de la Base de Radicado de
Registro Finalización Tipo Descripción
Radicado Datos Trámites Titulares
Gestión
16- Inversion
Técnica y
263024-- para la
Inversionistas 11/10/2016 11/10/2016 Administrativa 8
000001- operacion
– Desarrollo
000 del negocio
Operativo
Gestión
16-
Técnica y
263068-- Proveedores
Proveedores 11/10/2016 11/10/2016 Administrativa 209
000000- RapiCreditos
– Desarrollo
000
Operativo
Empleados
16- con
Información
258415-- vinculacion
Empleados 11/10/2016 11/10/2016 de 13
000001- laboral de la
Empleados
000 Compañia
RapiCredit
Gestión
16-
Técnica y
263032-- Clientes
Clientes 11/10/2016 11/10/2016 Administrativa 8126
000000- RapiCredit
– Desarrollo
000
Operativo
TOTAL 8356

Razón adicional y suficiente para no acoger la petición de la recurrente, consistente en

revocar la Resolución No. 56021 de 15 de septiembre de 2020.

Resulta entonces que se trata es de una responsabilidad administrativa de la cual, pueden

derivar órdenes, multas y/o sanciones con el fin de promover y garantizar el cumplimiento
del Régimen General de Protección de Datos Personales con el único propósito de amparar
el Derecho Fundamental7 a la Protección de Datos8.

7 El Derecho Fundamental a la Protección de Datos Personales, derecho humano (universal, inalienable, indivisible,
irrenunciable e imprescriptible) que fue positivizado por el Constituyente Primario en el artículo 15 de la Constitución de
1991, y que en muchas ocasiones es conexo a otros derechos fundamentales de gran relevancia constitucional como la
dignidad humana, el buen nombre, la intimidad, etc.
8 Las sanciones impuestas en función del derecho administrativo sancionatorio pretenden asegurar el orden público y el

correcto funcionamiento de la administración. Al respecto ver: Corte Constitucional, Sala Plena, C-703 de 2010, Magistrado
Ponente Gabriel Eduardo Mendoza, Considerando 5; Corte Constitucional, Sala Plena, C-010-03, Magistrada Ponente Clara
Inés Vargas.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 12

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

Finalmente, la vulneración del Derecho Fundamental de Habeas Data no solo afecta al

Titular, también pone en riesgo los derechos de toda la sociedad. Por esto, las sanciones
mencionadas no pueden ni deben tratarse como una cuestión insignificante o de poca
cuantía.

Esto, en razón a que existe de por medio una trasgresión flagrante a los derechos humanos
de un ciudadano. Lo cual, es suficiente para entender la gravedad de la conducta, sin
necesidad de acudir a forzosos razonamientos o teorías complicadas, a fin de desentender
o negar una verdad inconcusa, cual es la del quebrantamiento de derechos constitucionales.

Recuérdese que, según la Declaración Universal de los Derechos Humanos, “el

desconocimiento y el menosprecio de los derechos humanos han originado actos de
barbarie ultrajantes para la conciencia de la humanidad”9. Por eso, según dicho documento,
se considera “esencial que los derechos humanos sean protegidos por un régimen de
Derecho”. No debe olvidarse que el respeto de los Derechos Humanos es un elemento
esencial de la democracia10. Así las cosas, recalcamos, la violación de Derechos Humanos
es una conducta gravísima que no solo atenta contra los intereses de un individuo en
particular sino de la sociedad en general.

Con apoyo en estos argumentos, no se acogerán las consideraciones de la recurrente.

5. RESPONSABILIDAD DE LOS ADMINISTRADORES EN MATERIA DE TRATAMIENTO DE DATOS

PERSONALES

Según el artículo 22 de la Ley 222 de 199511 la expresión administradores comprende al

“representante legal, el liquidador, el factor, los miembros de juntas o consejos directivos y
quienes de acuerdo con los estatutos ejerzan o detenten esas funciones”. Cualquiera de ellos
tiene la obligación legal de garantizar los derechos de los titulares de los datos y de cumplir
la Ley 1266 de 2008 y cualquier otra norma concordante. Por esto, el numeral segundo del
artículo 23 de la Ley 222 de 1995 determina que los administradores deben “obrar de buena
fe, con lealtad y con la diligencia de un buen hombre de negocios”, y además, en el ejercicio
de sus funciones deben “velar por el estricto cumplimiento de las disposiciones legales
o estatutarias” (énfasis añadido).

En vista de esto, la regulación no exige cualquier tipo de cumplimiento de la ley, sino uno
calificado. Es decir, ajustado o con exactitud a lo establecido en la norma. Velar por el estricto
cumplimiento de la ley exige que los administradores actúen de manera muy profesional,
diligente y proactiva para que en su organización la regulación se cumpla de manera real y
no formal, con la efectividad y rigurosidad esperada.

Por eso, los administradores deben cuidar al detalle y con perfecta seguridad este aspecto.
No basta solo con ser guardianes, deben ser promotores de la correcta y precisa aplicación
de la ley. Esto, desde luego, los obliga a verificar permanentemente si la ley se está o no
cumpliendo en todas las actividades que realiza su empresa u organización.

El artículo 2412 de la Ley 222 de 1995, presume la culpa del administrador “en los casos de
incumplimiento o extralimitación de sus funciones, violación de la ley o de los estatutos”. Esta

9 Organización de las Naciones Unidas (1948). Declaración Universal de los Derechos Humanos.
10 Artículo 3 de la Carta Democrática Interamericana la cual se puede consultar en:
http://www.oas.org/OASpage/esp/Documentos/Carta_Democratica.htm
11 Ley 222 de 1995 “Por la cual se modifica el Libro II del Código de Comercio, se expide un nuevo régimen de procesos

concursales y se dictan otras disposiciones”

12 Artículo 24, Ley 222 de 1995 “Responsabilidad de los administradores. El artículo 200 del Código de Comercio quedará

así: Artículo 200. Los administradores responderán solidaria e ilimitadamente de los perjuicios que por dolo o culpa
ocasionen a la sociedad, a los socios o a terceros.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 13

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

presunción de responsabilidad, exige que los administradores estén en capacidad de probar

que han obrado con lealtad y la diligencia de un experto. Es decir, como un “buen hombre
de negocios”, tal y como lo señala su artículo 23. Adicionalmente, no debe perderse de vista
que los administradores responden “solidaria e ilimitadamente de los perjuicios que por dolo
o culpa ocasionen a la sociedad, a los socios o a terceros”13

Los artículos mencionados, prevén unos elementos de juicio ciertos, i) el alto nivel de
responsabilidad jurídica y económica en cabeza de los administradores, y ii) el enorme
profesionalismo y diligencia que debe rodear su gestión en el Tratamiento de Datos
personales.

6. RESPONSABILIDAD DEMOSTRADA (ACCOUNTABILITY) Y “COMPLIANCE” EN EL

TRATAMIENTO DE DATOS PERSONALES

La regulación colombiana le impone al Responsable o al Encargado del Tratamiento, la

responsabilidad de garantizar la eficacia de los derechos del Titular del Dato, la cual no puede
ser simbólica, ni limitarse únicamente a la formalidad. Por el contrario, debe ser real y
demostrable. Al respecto, nuestra jurisprudencia ha determinado que “existe un deber
constitucional de administrar correctamente y de proteger los archivos y bases de datos que
contengan información personal o socialmente relevante”14.

Adicionalmente, es importante resaltar que quienes poseen Datos, no se convierten en

dueños de los mismos como consecuencia del almacenamiento en sus Bases o archivos. En
efecto, al ejercer únicamente la mera tenencia de la información, solo tienen a su cargo el
deber de administrarla de manera correcta, apropiada y acertada. Por consiguiente, si los
sujetos mencionados actúan con negligencia o dolo, el resultado directo sería la afectación
de los derechos humanos y fundamentales de los Titulares de los Datos.

El término “accountability”15 a pesar de tener diferentes significados, ha sido entendido en el

campo de la protección de datos como el modo en que una organización debe cumplir (en la
práctica) las regulaciones sobre el tema, y la manera en que debe demostrar que lo puesto
en marcha es útil, pertinente y eficiente.

El Principio de Responsabilidad Demostrada –accountability- demanda implementar

acciones de diversa naturaleza16 para garantizar el correcto cumplimiento de los deberes que
imponen las regulaciones sobre tratamiento de datos personales. El mismo, exige que los
Responsables y Encargados del Tratamiento implementen medidas apropiadas, efectivas y
verificables que le permitan evidenciar la observancia de las normas sobre la materia. Dichas
acciones o medidas, deben ser objeto de revisión y evaluación permanente para medir su
nivel de eficacia y el grado de protección de los datos personales.

No estarán sujetos a dicha responsabilidad, quienes no hayan tenido conocimiento de la acción u omisión o hayan votado
en contra, siempre y cuando no la ejecuten.
En los casos de incumplimiento o extralimitación de sus funciones, violación de la ley o de los estatutos, se presumirá la
culpa del administrador.
De igual manera se presumirá la culpa cuando los administradores hayan propuesto o ejecutado la decisión sobre
distribución de utilidades en contravención a lo prescrito en el artículo 151 del Código de Comercio y demás normas sobre
la materia. En estos casos el administrador responderá por las sumas dejadas de repartir o distribuidas en exceso y por los
perjuicios a que haya lugar.
Si el administrador es persona jurídica, la responsabilidad respectiva será de ella y de quien actúe como su representante
legal.
Se tendrán por no escritas las cláusulas del contrato socia1 que tiendan a absolver a los administradores de las
responsabilidades antedichas o a limitarlas al importe de las cauciones que hayan prestado para ejercer sus cargos.”
13 Cfr. Parte inicial del artículo 24 de la Ley 222 de 1995.
14 Cfr. Corte Constitucional, sentencia T-227 de 2003.
15 Cfr. Grupo de trabajo de protección de datos del artículo 29. Dictamen 3/2010 sobre el principio de responsabilidad, pág.

8.
16 Estas medidas pueden ser de naturaleza administrativa, organizacional, estratégica, tecnológica, humana y de gestión.

Asimismo involucran procesos y procedimientos con características propias en atención al objetivo que persiguen.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 14

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

El Principio de Responsabilidad Demostrada precisa menos retórica y más acción en el

cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos
personales. Requiere implementar acciones concretas por parte de las organizaciones para
garantizar el debido tratamiento de los datos personales. El éxito del mismo, dependerá del
compromiso real de todos los miembros de una organización. Especialmente, de los
directivos de las organizaciones, pues, sin su apoyo sincero y decidido, cualquier esfuerzo
será insuficiente para diseñar, implementar, revisar, actualizar y/o evaluar los programas de
gestión de datos.

Adicionalmente, el reto de las organizaciones frente al Principio de Responsabilidad

Demostrada va mucho más allá de la mera expedición de documentos o redacción de
políticas. Como se ha manifestado, exige que se demuestre el cumplimiento real y efectivo
en la práctica de sus funciones.

En este sentido, desde el año 2006 la Red Iberoamericana de Protección de Datos (RIPD)
ha puesto de presente que, “la autorregulación sólo [sic] redundará en beneficio real de las
personas en la medida que sea bien concebida, aplicada y cuente con mecanismos que
garanticen su cumplimiento de manera que no se constituyan en meras declaraciones
simbólicas de buenas intenciones sin que produzcan efectos concretos en la persona
cuyos derechos y libertades pueden ser lesionados o amenazados por el tratamiento
indebido de sus datos personales” 17 (énfasis añadido)

El Principio de Responsabilidad Demostrada, busca que los mandatos constitucionales y

legales sobre Tratamiento de Datos personales sean una realidad verificable y redunden en
beneficio de la protección de los derechos de las personas. Por eso, es crucial que los
administradores de las organizaciones sean proactivos respecto del Tratamiento de la
información. De manera que, por iniciativa propia, adopten medidas estratégicas, idóneas y
suficientes, que permitan garantizar: i) los derechos de los titulares de los datos personales
y ii) una gestión respetuosa de los derechos humanos.

También se ha afirmado que, “compliance es un término relacionado con la gestión de las

organizaciones conforme a las obligaciones que le vienen impuestas (requisitos regulatorios)
o que se ha autoimpuesto (éticas)” 18. Adicionalmente se precisa que “ya no vale solo intentar
cumplir la ley”, sino que las organizaciones “deben asegurarse que se cumple y deben
generar evidencias de sus esfuerzos por cumplir y hacer cumplir a sus miembros, bajo la
amenaza de sanciones si no son capaces de ello. Esta exigencia de sistemas más eficaces
impone la creación de funciones específicas y metodologías de compliance”19.

Por tanto, las organizaciones deben “implementar el compliance” en su estructura

empresarial con miras a acatar las normas que inciden en su actividad y demostrar su
compromiso con la legalidad. Lo mismo sucede con “accountability” respecto del tratamiento
de datos personales.

7. SUPLANTACIÓN DE IDENTIDAD Y TRATAMIENTO DE DATOS PERSONALES

17 Cfr. Red Iberoamericana de Protección de Datos. Grupo de trabajo temporal sobre autorregulación y protección de datos
personales. Mayo de 5 de 2006. En aquel entonces, la RIPD expidió un documento sobre autorregulación y protección de
datos personales que guarda cercana relación con “accountability” en la medida que la materialización del mismo depende,
en gran parte, de lo que internamente realicen las organizaciones y definan en sus políticas o regulaciones internas.
18 Cfr. Bonatti, Francisco. Va siendo hora que se hable correctamente de compliance (III). Entrevista del 5 de noviembre de

2018 publicada en Canal Compliance: http://www.canal-compliance.com/2018/11/05/va-siendo-hora-que-se-hable-

correctamente-de-compliance-iii/
19 Idem.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 15

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

En la respuesta a la solicitud de explicaciones enviada por esta Delegatura, la Compañía de

Créditos Rápidos S.A.S. no se refiere a la existencia de medidas de seguridad de carácter
especial en relación con las situaciones o riesgos de suplantación de identidad.

Asimismo, al verificar los anexos enviados con dicha contestación y los demás documentos
que hacen parte del expediente, no se evidencia pronunciamiento alguno respecto de este
tipo de contingencia.

Suplantar significa, entre otras cosas: “Quitar a una persona su sitio, de manera fraudulenta,
ocupando su cargo o posición, o asumiendo sus funciones”20.

La suplantación de identidad consiste en hacerse pasar por otra persona para diversos
propósitos, generalmente negativos, como por ejemplo: engañar a terceros, obtener bienes
y servicios con cargo a la persona suplantada, incurrir en fraudes, entre otras conductas
ilícitas.

Mediante la suplantación de identidad los impostores obtienen créditos y adquieren

productos o servicios en nombre de la persona suplantada. La cual, resulta ser la mayor
afectada. Pues, sin preverlo, termina por asumir el pago de obligaciones que en realidad no
adquirió. Con esto, desde la perspectiva del tratamiento de datos personales se observa que
se vulneran, por lo menos y según el caso, los principios de veracidad y seguridad.

Se infringe el principio de veracidad porque la información tratada, difundida o reportada

sobre una deuda adquirida por un suplantador, no es veraz respecto de la persona
suplantada, se presenta un yerro en la titularidad material de la obligación. Esos datos
inducen a error porque faltan a la realidad y presentan como obligada o morosa a una
persona respecto de una deuda que no conoce. Recuérdese que el tratamiento de este tipo
de datos está prohibido por nuestra regulación. Tanto la Ley 1266 de 2008 como la Ley 1581
de 2012 expresamente prohíben “el registro y divulgación de datos (…) que induzcan a
error”21 o el “tratamiento de datos (…) que induzcan a error”22

Igualmente, se desconoce el principio de seguridad porque el suplantador puede incurrir en

“consulta, uso o acceso no autorizado o fraudulento”23 a los datos personales de la persona
suplantada, que será la titular del dato. En línea con esto, también se quebranta el principio
de circulación restringida porque el suplantador accede a datos personales del titular
suplantado sin estar autorizado para ello24. En ese sentido, el literal f) del artículo 4 de la Ley
1581 de 2012 (principio de acceso y circulación restringida) señala que, “Los datos
personales, salvo la información pública, no podrán estar disponibles en Internet u otros
medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente
controlable para brindar un conocimiento restringido sólo [sic] a los Titulares o terceros
autorizados conforme a la presente ley”.

Así las cosas, proteger la información es una condición transcendental del tratamiento de
datos personales. Una vez recolectada debe ser objeto de diversas medidas para evitar
situaciones indeseadas que puedan afectar los derechos de los titulares y de los mismos
responsables y encargados del tratamiento de los datos. El acceso, la consulta y el uso no
autorizado o fraudulento, así como la manipulación y pérdida de la información, son los
principales riesgos naturales y humanos que requieren ser mitigados por medio de acciones
de defensa física, administrativa, técnica y humana.

20 Diccionario del español jurídico. Real Academia de la Lengua Española.

21 Cfr. Parte final del literal a) del artículo 4 de la Ley 1266 de 2008. Principio de veracidad o calidad de los registros o datos.
22 Cfr. Parte final del literal d) del artículo 4 de la Ley 1581 de 2012. Principio de veracidad o calidad.
23 Cfr. Literal g) del artículo 4, de la Ley 1581 de 2012. Principio de seguridad. En este mismo sentido, el literal f) del artículo

4 de la Ley 1266 de 2008, en relación con los datos señala que, “se deberá manejar con las medidas técnicas que sean
necesarias para garantizar la seguridad de los registros evitando su (…) consulta o uso no autorizado”.
24 Cfr. Literal c) del artículo 4 de la Ley 1266 de 2008. Principio de circulación restringida.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 16

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

La seguridad de la información ha sido una preocupación del legislador y la Corte

Constitucional. Esta última concluyó que, “debe reiterarse que el manejo de información no
pública debe hacerse bajo todas las medidas de seguridad necesarias para garantizar que
terceros no autorizados puedan acceder a ella. De lo contrario, tanto el responsable como
el encargado del tratamiento serán los responsables de los perjuicios causados al titular”.25

Lo mismo se concluye de la redacción del principio de seguridad en la Ley 1581 de 2012 y

en la Ley 1266 de 2008. En estas, se evidencia una orientación eminentemente preventiva.

La que en todo caso, obliga a los responsables o encargados a adoptar medidas, estrategias
y/o acciones que impidan las potenciales afectaciones a la seguridad de los Datos.

Atendiendo a lo anterior, se exhortará al Representante Legal de Compañía de Créditos

Rápidos S.A.S. para que, adopte medidas pertinentes, útiles, efectivas y verificables con
miras a evitar eventuales suplantaciones de identidad que se originen con el tratamiento de
datos personales.

8. CONCLUSIONES

Sin perjuicio de lo establecido, no se accederán a las solicitudes de la recurrente por, entre

otras, las siguientes razones:

• No se puede reportar información sobre la cual no exista certeza de su veracidad

porque ello no solo afecta el buen nombre de las personas sino que induce a error a
los usuarios de la información y al público en general.

• La Ley 1266 de 2008 exige que las fuentes de información garanticen que los datos
reportados sean, entre otras, comprobables.

• Quien reporta a una persona debe ser muy profesional y diligente porque su acción u
omisión genera daños a las mismas al comprometer o poner en riesgo su buen
nombre. No se puede jugar con los derechos de las personas, sino que se deben
garantizar. Por eso, si no es comprobable la información que se va a reportar, la fuente
debe abstenerse de realizar el reporte.

• Las personas no deben ser sometidas al escarnio público con reportes negativos
sobre los cuales no existe certeza ni prueba de la veracidad de la información. Su
reputación no puede ser puesta en tela de juicio con ocasión de obligaciones o
situaciones no comprobables. Nótese que ganar un buen nombre no es sencillo,
perderlo es fácil y recuperarlo es muy difícil o, según el caso, imposible.

• El artículo 95 de la Constitución Política Nacional ordena “respetar los derechos

ajenos y no abusar de los propios”. Por eso, es legítimo reportar a una persona como
morosa siempre y cuando se cumplan unos requisitos. Uno de ellos es, precisamente,
exige que la información sea comprobable. Así las cosas, quien realiza el reporte (la
fuente de la información) debe ser extremadamente cuidadoso de contar con plena
prueba de la veracidad de la información. De lo contrario, no estaría respetando el
buen nombre de la persona reportada, causándole daños y perjuicios.

Analizada toda la actuación administrativa, la información y demás documentos que

conforman el expediente, el Superintendente Delegado para la Protección de Datos
personales en atención a las consideraciones precedentes, concluye que no es posible
25 Cfr. Corte Constitucional, Sentencia C-748 de 2011, numeral 2.6.5.2.6.
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 17

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

acceder a las pretensiones del recurso interpuesto, en virtud de que la investigada infringió
lo establecido en el literal a) del artículo 4 y en el numeral 1 del artículo 8 de la Ley 1266 de
2008.

Lo anterior debido a que mantuvo los reportes en las Bases de Datos de los operadores de
información financiera, a pesar de que la señora Carolina Bonilla Alzate había puesto en su
conocimiento y en el de la Fiscalía General de la Nación el presunto delito de falsedad
personal del que había sido víctima.

De esta forma y de acuerdo con lo dispuesto por el artículo 80 del Código de Procedimiento
Administrativo y de lo Contencioso Administrativo, este Despacho confirmará en su totalidad,
la Resolución No. 56021 de 15 de septiembre de 2020.

En mérito de lo expuesto, este Despacho

RESUELVE

PRIMERO. Confirmar en todas sus partes la Resolución No. 56021 de 15 de septiembre de

2020, de conformidad con la parte motiva de la presente resolución.

SEGUNDO. Exhortar al al Representante Legal de Compañía de Créditos Rápidos S.A.S. para

que, adopte medidas pertinentes, útiles, efectivas y verificables con miras a evitar eventuales
suplantaciones de identidad que se originen con el tratamiento de datos personales.

TERCERO. Notificar personalmente el contenido de la presente resolución a la empresa

Compañía de Créditos Rápidos S.A.S., a través de su representante legal para este fin, señor
Daniel Alfredo Materon Osorio, identificado con cédula de ciudadanía No. 71.616.857,
entregándole copia de la misma e informándole que contra el presente acto administrativo
no procede recurso alguno.

CUARTO. Comunicar la presente decisión a la señora Carolina Bonilla Alzate, identificado con
cédula de ciudadanía No. 1.017.201.825.

QUINTO. Informar el contenido de la presente resolución al Director de Investigación de

Protección de Datos Personales y devolverle el expediente para su custodia final.

NOTIFÍQUESE, COMUNÍQUESE Y CÚMPLASE

Dada en Bogotá, D.C., 14 de diciembre de 2020

El Superintendente Delegado para la Protección de Datos Personales

Firmado digitalmente por
NELSON REMOLINA NELSON REMOLINA ANGARITA
ANGARITA Fecha: 2020.12.14 13:37:31
-05'00'

NELSON REMOLINA ANGARITA

CGC
RESOLUCIÓN NÚMERO 79845 DE 2020 HOJA No. 18

VERSIÓN PÚBLICA
Por la cual se resuelve un recurso de apelación

Notificación
Sociedad: Compañía de Créditos Rápidos S.A.S.
Identificación: 900.564.668-4
Representante legal: Daniel Alfredo Materon Osorio
Identificación: C.C. 71.616.857
Dirección: Carrera 16A # 30-37
Ciudad: Bogotá D.C.
Correo electrónico: notificaciones@rapicredit.com
Apoderado: José Fernando Zuluaga Giraldo
Identificación: C.C. 15.909.900
Tarjeta Profesional: 95142 del Consejo Superior de la Judicatura
Dirección: Carrera 43B # 14-51 Oficina 305. Centro de Negocios Alcalá.
Ciudad: Medellín (Antioquia)
Correo electrónico: fz@grupoempresariales.com

Comunicación
Reclamante
Señora: Carolina Bonilla Alzate
Identificación: C.C. 1.017.201.825
Dirección: Carrera 45 No. 16 Sur 154
Ciudad: Medellín (Antioquia)
Correo electrónico: carobonilla04@gmail.com