LEY ESTATUTARIA 1266 DE 2008 [1]

(diciembre 31)Diario Oficial No. 47.219 de 31 de diciembre de 2008CONGRESO DE LA REPÚBLICAPor la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.

EL CONGRESO DE LA REPÚBLICADECRETA:ARTÍCULO 1o. OBJETO. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.

ARTÍCULO 2o. AMBITO DE APLICACIÓN. La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada.Esta ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información registrada en bancos de datos de naturaleza pública, para fines estadísticos, de investigación o sanción de delitos o para garantizar el orden público.Se exceptúan de esta ley las bases de datos que tienen por finalidad producir la Inteligencia de Estado por parte del Departamento Administrativo de Seguridad, DAS, y de la Fuerza Pública para garantizar la seguridad nacional interna y externa.Los registros públicos a cargo de las cámaras de comercio se regirán exclusivamente por las normas y principios consagrados en las normas especiales que las regulan.Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales.

ARTÍCULO 3o. DEFINICIONES. Para los efectos de la presente ley, se entiende por:a) Titular de la información. Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley;b) Fuente de información. Es la persona, entidad u organización que recibe o conoce datos personales de los titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del

titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario final. Si la fuente entrega la información directamente a los usuarios y no, a través de un operador, aquella tendrá la doble condición de fuente y operador y asumirá los deberes y responsabilidades de ambos. La fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos;c) Operador de información. <Literal CONDICIONALMENTE exequible> Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. Por tanto el operador, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente;

d) Usuario. El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos en la presente ley, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de usuario y fuente, y asumirá los deberes y responsabilidades de ambos;e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados;f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.h) Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.i) Agencia de Información Comercial. Es toda empresa legalmente constituida que tenga como actividad principal la recolección, validación y procesamiento de

información comercial sobre las empresas y comerciantes específicamente solicitadas por sus clientes, entendiéndose por información comercial aquella información histórica y actual relativa a la situación financiera, patrimonial, de mercado, administrativa, operativa, sobre el cumplimiento de obligaciones y demás información relevante para analizar la situación integral de una empresa. Para los efectos de la presente ley, las agencias de información comercial son operadores de información y fuentes de información.PARÁGRAFO: A las agencias de información comercial, así como a sus fuentes o usuarios, según sea el caso, no se aplicarán las siguientes disposiciones de la presente ley: numerales 2 y 6 del artículo 8o, artículo 12, y artículo 14.j) Información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.Para todos los efectos de la presente ley se entenderá por información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen.

ARTÍCULO 4o. PRINCIPIOS DE LA ADMINISTRACIÓN DE DATOS. En el desarrollo, interpretación y aplicación de la presente ley, se tendrán en cuenta, de manera armónica e integral, los principios que a continuación se establecen:a) Principio de veracidad o calidad de los registros o datos. La información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error;b) Principio de finalidad. La administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto;c) Principio de circulación restringida. La administración de datos personales se sujeta a los límites que se derivan de la naturaleza de los datos, de las disposiciones de la presente ley y de los principios de la administración de datos personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos.Los datos personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o los usuarios autorizados conforme a la presente ley;d) Principio de temporalidad de la información. La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos;e) Principio de interpretación integral de derechos constitucionales. La presente ley se interpretará en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables;

f) Principio de seguridad. La información que conforma los registros individuales constitutivos de los bancos de datos a que se refiere la ley, así como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, pérdida, consulta o uso no autorizado;g) Principio de confidencialidad. Todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan la naturaleza de públicos están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

ARTÍCULO 5o. CIRCULACIÓN DE INFORMACIÓN. La información personal recolectada o suministrada de conformidad con lo dispuesto en la ley a los operadores que haga parte del banco de datos que administra, podrá ser entregada de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes términos:a) A los titulares, a las personas debidamente autorizadas por estos y a sus causahabientes mediante el procedimiento de consulta previsto en la presente ley.b) A los usuarios de la información, dentro de los parámetros de la presente ley.c) A cualquier autoridad judicial, previa orden judicial.d) <Literal CONDICIONALMENTE exequible> A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.

e) A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.f) A otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos. Si el receptor de la información fuere un banco de datos extranjero, la entrega sin autorización del titular sólo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular.g) A otras personas autorizadas por la ley.

TITULO II. DERECHOS DE LOS TITULARES DE LA INFORMACION. ARTÍCULO 6o. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN. Los titulares tendrán los siguientes derechos:1. Frente a los operadores de los bancos de datos:

1.1 Ejercer el derecho fundamental al hábeas data en los términos de la presente ley, mediante la utilización de los procedimientos de consultas o reclamos, sin perjuicio de los demás mecanismos constitucionales y legales.1.2 Solicitar el respeto y la protección de los demás derechos constitucionales o legales, así como de las demás disposiciones de la presente ley, mediante la utilización del procedimiento de reclamos y peticiones.1.3 Solicitar prueba de la certificación de la existencia de la autorización expedida por la fuente o por el usuario.1.4 Solicitar información acerca de los usuarios autorizados para obtener información.PARÁGRAFO. La administración de información pública no requiere autorización del titular de los datos, pero se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.La administración de datos semiprivados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero, crediticio, comercial, de servicios y el proveniente de terceros países el cual no requiere autorización del titular. En todo caso, la administración de datos semiprivados y privados se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.2. Frente a las fuentes de la información:2.1 <Numeral CONDICIONALMENTE exequible> Ejercer los derechos fundamentales al hábeas data y de petición, cuyo cumplimiento se podrá realizar a través de los operadores, conforme lo previsto en los procedimientos de consultas y reclamos de esta ley, sin perjuicio de los demás mecanismos constitucionales o legales.

2.2 Solicitar información o pedir la actualización o rectificación de los datos contenidos en la base de datos, lo cual realizará el operador, con base en la información aportada por la fuente, conforme se establece en el procedimiento para consultas, reclamos y peticiones.2.3 Solicitar prueba de la autorización, cuando dicha autorización sea requerida conforme lo previsto en la presente ley.3. Frente a los usuarios:3.1 Solicitar información sobre la utilización que el usuario le está dando a la información, cuando dicha información no hubiere sido suministrada por el operador.3.2 Solicitar prueba de la autorización, cuando ella sea requerida conforme lo previsto en la presente ley.PARÁGRAFO. Los titulares de información financiera y crediticia tendrán adicionalmente los siguientes derechos:Podrán acudir ante la autoridad de vigilancia para presentar quejas contra las fuentes, operadores o usuarios por violación de las normas sobre administración de la información financiera y crediticia.Así mismo, pueden acudir ante la autoridad de vigilancia para pretender que se ordene a un operador o fuente la corrección o actualización de sus datos personales, cuando ello sea procedente conforme lo establecido en la presente ley.

TITULO III.

DEBERES DE LOS OPERADORES, LAS FUENTES Y LOS USUARIOS DE INFORMACION. ARTÍCULO 7o. DEBERES DE LOS OPERADORES DE LOS BANCOS DE DATOS. Sin perjuicio del cumplimiento de las demás disposiciones contenidas en la presente ley y otras que rijan su actividad, los operadores de los bancos de datos están obligados a:1. Garantizar, en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho de hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, y solicitar la actualización o corrección de datos, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos, conforme lo previsto en la presente ley.2. Garantizar, que en la recolección, tratamiento y circulación de datos, se respetarán los demás derechos consagrados en la ley.3. Permitir el acceso a la información únicamente a las personas que, de conformidad con lo previsto en esta ley, pueden tener acceso a ella.4. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los titulares.5. Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular, cuando dicha autorización sea necesaria, conforme lo previsto en la presente ley.6. Conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.7. Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes, en los términos de la presente ley.8. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la información, en los términos señalados en la presente ley.9. Indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma y no haya finalizado dicho trámite, en la forma en que se regula en la presente ley.10. Circular la información a los usuarios dentro de los parámetros de la presente ley.11. Cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta en relación con el cumplimiento de la presente ley.12. Los demás que se deriven de la Constitución o de la presente ley.

ARTÍCULO 8o. DEBERES DE LAS FUENTES DE LA INFORMACIÓN. Las fuentes de la información deberán cumplir las siguientes obligaciones, sin perjuicio del cumplimiento de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:1. Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable.2. Reportar, de forma periódica y oportuna al operador, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.3. Rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores.

4. Diseñar e implementar mecanismos eficaces para reportar oportunamente la información al operador.5. Solicitar, cuando sea del caso, y conservar copia o evidencia de la respectiva autorización otorgada por los titulares de la información, y asegurarse de no suministrar a los operadores ningún dato cuyo suministro no esté previamente autorizado, cuando dicha autorización sea necesaria, de conformidad con lo previsto en la presente ley.6. Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente ley.7. Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente ley.8. Informar al operador que determinada información se encuentra en discusión por parte de su titular, cuando se haya presentado la solicitud de rectificación o actualización de la misma, con el fin de que el operador incluya en el banco de datos una mención en ese sentido hasta que se haya finalizado dicho trámite.9. Cumplir con las instrucciones que imparta la autoridad de control en relación con el cumplimiento de la presente ley.10. Los demás que se deriven de la Constitución o de la presente ley.

ARTÍCULO 9o. DEBERES DE LOS USUARIOS. Sin perjuicio del cumplimiento de las disposiciones contenidas en la presente ley y demás que rijan su actividad, los usuarios de la información deberán:1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada, en los términos de la presente ley.2. Informar a los titulares, a su solicitud, sobre la utilización que le está dando a la información.3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.4. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la presente ley.5. Los demás que se deriven de la Constitución o de la presente ley.

TITULO IV. DE LOS BANCOS DE DATOS DE INFORMACION FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAISES. ARTÍCULO 10. PRINCIPIO DE FAVORECIMIENTO A UNA ACTIVIDAD DE INTERÉS PÚBLICO. La actividad de administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, la protección de la confianza pública en el sistema financiero y la estabilidad del mismo, y genera otros beneficios para la economía nacional y en especial para la actividad financiera, crediticia, comercial y de servicios del país.

PARÁGRAFO 1o. La administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, por parte de fuentes, usuarios y operadores deberá realizarse de forma que permita favorecer los fines de expansión y democratización del crédito. Los usuarios de este tipo de información deberán valorar este tipo de información en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no podrán basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores para adoptar decisiones frente a solicitudes de crédito.La Superintendencia Financiera de Colombia podrá imponer las sanciones previstas en la presente ley a los usuarios de la información que nieguen una solicitud de crédito basados exclusivamente en el reporte de información negativa del solicitante.PARÁGRAFO 2o. La consulta de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países por parte del titular, será gratuita al menos una (1) vez cada mes calendario.

ARTÍCULO 11. REQUISITOS ESPECIALES PARA LOS OPERADORES. Los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países que funcionen como entes independientes a las fuentes de la información, deberán cumplir con los siguientes requisitos especiales de funcionamiento:1. Deberán constituirse como sociedades comerciales, entidades sin ánimo de lucro, o entidades cooperativas.2. Deberán contar con un área de servicio al titular de la información, para la atención de peticiones, consultas y reclamos.3. Deberán contar con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.4. Deberán actualizar la información reportada por las fuentes con una periodicidad no superior a diez (10) días calendario contados a partir del recibo de la misma.

ARTÍCULO 12. REQUISITOS ESPECIALES PARA FUENTES. Las fuentes deberán actualizar mensualmente la información suministrada al operador, sin perjuicio de lo dispuesto en el Título III de la presente ley.El reporte de información negativa sobre incumplimiento de obligaciones de cualquier naturaleza, que hagan las fuentes de información a los operadores de bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, sólo procederá previa comunicación al titular de la información, con el fin de que este pueda demostrar o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad. Dicha comunicación podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes.En todo caso, las fuentes de información podrán efectuar el reporte de la información transcurridos veinte (20) días calendario siguientes a la fecha de envío de la comunicación en la última dirección de domicilio del afectado que se encuentre

registrada en los archivos de la fuente de la información y sin perjuicio, si es del caso, de dar cumplimiento a la obligación de informar al operador, que la información se encuentra en discusión por parte de su titular, cuando se haya presentado solicitud de rectificación o actualización y esta aún no haya sido resuelta.

ARTÍCULO 13. PERMANENCIA DE LA INFORMACIÓN. <Artículo CONDICIONALMENTE exequible> La información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información.Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cuatro (4) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida.

ARTÍCULO 14. CONTENIDO DE LA INFORMACIÓN. El Gobierno Nacional establecerá la forma en la cual los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deberán presentar la información de los titulares de la información. Para tal efecto, deberá señalar un formato que permita identificar, entre otros aspectos, el nombre completo del deudor, la condición en que actúa, esto es, como deudor principal, deudor solidario, avalista o fiador, el monto de la obligación o cuota vencida, el tiempo de mora y la fecha del pago, si es del caso.El Gobierno Nacional al ejercer la facultad prevista en el inciso anterior deberá tener en cuenta que en el formato de reporte deberá establecer que:a) <Literal CONDICIONALMENTE exequible> Se presenta reporte negativo cuando la(s) persona(s) naturales o jurídicas efectivamente se encuentran en mora en sus cuotas u obligaciones.

b) <Literal CONDICIONALMENTE exequible> Se presenta reporte positivo cuando la(s) persona(s) naturales y jurídicas están al día en sus obligaciones.

El incumplimiento de la obligación aquí prevista dará lugar a la imposición de las máximas sanciones previstas en la presente ley.PARÁGRAFO 1o. Para los efectos de la presente ley se entiende que una obligación ha sido voluntariamente pagada, cuando su pago se ha producido sin que medie sentencia judicial que así lo ordene.PARÁGRAFO 2o. Las consecuencias previstas en el presente artículo para el pago voluntario de las obligaciones vencidas, será predicable para cualquier otro modo de extinción de las obligaciones, que no sea resultado de una sentencia judicial.

PARÁGRAFO 3o. Cuando un usuario consulte el estado de un titular en las bases de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, estas tendrán que dar información exacta sobre su estado actual, es decir, dar un reporte positivo de los usuarios que en el momento de la consulta están al día en sus obligaciones y uno negativo de los que al momento de la consulta se encuentren en mora en una cuota u obligaciones.El resto de la información contenida en las bases de datos financieros, crediticios, comercial, de servicios y la proveniente de terceros países hará parte del historial crediticio de cada usuario, el cual podrá ser consultado por el usuario, siempre y cuando hubiere sido informado sobre el estado actual.PARÁGRAFO 4o. Se prohíbe la administración de datos personales con información exclusivamente desfavorable.

ARTÍCULO 15. ACCESO A LA INFORMACIÓN POR PARTE DE LOS USUARIOS. La información contenida en bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países podrá ser accedida por los usuarios únicamente con las siguientes finalidades: Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así como para la evaluación de los riesgos derivados de una relación contractual vigente.Como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.Para el adelantamiento de cualquier trámite ante una autoridad pública o una persona privada, respecto del cual dicha información resulte pertinente.Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del titular de la información.

TITULO V. PETICIONES DE CONSULTAS Y RECLAMOS. ARTÍCULO 16. PETICIONES, CONSULTAS Y RECLAMOS.I. Trámite de consultas. Los titulares de la información o sus causahabientes podrán consultar la información personal del titular, que repose en cualquier banco de datos, sea este del sector público o privado. El operador deberá suministrar a estos, debidamente identificados, toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.La petición, consulta de información se formulará verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos.La petición o consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.PARÁGRAFO. La petición o consulta se deberá atender de fondo, suministrando integralmente toda la información solicitada.

II. Trámite de reclamos. Los titulares de la información o sus causahabientes que consideren que la información contenida en su registro individual en un banco de datos debe ser objeto de corrección o actualización podrán presentar un reclamo ante el operador, el cual será tramitado bajo las siguientes reglas:1. La petición o reclamo se formulará mediante escrito dirigido al operador del banco de datos, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y si fuere el caso, acompañando los documentos de soporte que se quieran hacer valer. En caso de que el escrito resulte incompleto, se deberá oficiar al interesado para que subsane las fallas. Transcurrido un mes desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la reclamación o petición.2. Una vez recibido la petición o reclamo completo el operador incluirá en el registro individual en un término no mayor a dos (2) días hábiles una leyenda que diga “reclamo en trámite” y la naturaleza del mismo. Dicha información deberá mantenerse hasta que el reclamo sea decidido y deberá incluirse en la información que se suministra a los usuarios.3. El término máximo para atender la petición o reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la petición dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.4. En los casos en que exista una fuente de información independiente del operador, este último deberá dar traslado del reclamo a la fuente en un término máximo de dos (2) días hábiles, la cual deberá resolver e informar la respuesta al operador en un plazo máximo de diez (10) días hábiles. En todo caso, la respuesta deberá darse al titular por el operador en el término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de presentación de la reclamación, prorrogables por ocho (8) días hábiles más, según lo indicado en el numeral anterior. Si el reclamo es presentado ante la fuente, esta procederá a resolver directamente el reclamo, pero deberá informar al operador sobre la recepción del reclamo dentro de los dos (2) días hábiles siguientes a su recibo, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga “reclamo en trámite” y la naturaleza del mismo dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) días hábiles siguientes a haber recibido la información de la fuente.5. Para dar respuesta a la petición o reclamo, el operador o la fuente, según sea el caso, deberá realizar una verificación completa de las observaciones o planteamientos del titular, asegurándose de revisar toda la información pertinente para poder dar una respuesta completa al titular.6. Sin perjuicio del ejercicio de la acción de tutela para amparar el derecho fundamental del hábeas data, en caso que el titular no se encuentre satisfecho con la respuesta a la petición, podrá recurrir al proceso judicial correspondiente dentro de los términos legales pertinentes para debatir lo relacionado con la obligación reportada como incumplida. La demanda deberá ser interpuesta contra la fuente de la información la cual, una vez notificada de la misma, procederá a informar al operador dentro de los dos (2) días hábiles siguientes, de forma que se pueda dar cumplimiento a la obligación de incluir la leyenda que diga “información en discusión judicial” y la naturaleza de la misma dentro del registro individual, lo cual deberá hacer el operador dentro de los dos (2) días hábiles siguientes a haber recibido la información de la fuente y por todo el tiempo que tome obtener un fallo en firme. Igual procedimiento

deberá seguirse en caso que la fuente inicie un proceso judicial contra el titular de la información, referente a la obligación reportada como incumplida, y este proponga excepciones de mérito.

TITULO VI. VIGILANCIA DE LOS DESTINATARIOS DE LA LEY. ARTÍCULO 17. FUNCIÓN DE VIGILANCIA. <Artículo CONDICIONALMENTE exequible> La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley.En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas pertinentes y las establecidas en la presente ley.Para el ejercicio de la función de vigilancia a que se refiere el presente artículo, la Superintendencia de Industria y Comercio y la Superintendencia Financiera de Colombia, según el caso, tendrán en adición a las propias las siguientes facultades:1. Impartir instrucciones y órdenes sobre la manera como deben cumplirse las disposiciones de la presente ley relacionadas con la administración de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países fijar los criterios que faciliten su cumplimiento y señalar procedimientos para su cabal aplicación.2. Velar por el cumplimiento de las disposiciones de la presente ley, de las normas que la reglamenten y de las instrucciones impartidas por la respectiva Superintendencia.3. Velar porque los operadores y fuentes cuenten con un sistema de seguridad y con las demás condiciones técnicas suficientes para garantizar la seguridad y actualización de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la presente ley.4. Ordenar a cargo del operador, la fuente o usuario la realización de auditorías externas de sistemas para verificar el cumplimiento de las disposiciones de la presente ley.5. Ordenar de oficio o a petición de parte la corrección, actualización o retiro de datos personales cuando ello sea procedente, conforme con lo establecido en la presente ley. Cuando sea a petición de parte, se deberá acreditar ante la Superintendencia que se surtió el trámite de un reclamo por los mismos hechos ante el operador o la fuente, y que el mismo no fue atendido o fue atendido desfavorablemente.6. Iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, con el fin de establecer si existe responsabilidad administrativa derivada del incumplimiento de las disposiciones de la presente ley o de las órdenes o instrucciones impartidas por el organismo de vigilancia respectivo, y si es del caso imponer sanciones u ordenar las medidas que resulten pertinentes.

ARTÍCULO 18. SANCIONES. La Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones:Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción, por violación a la presente ley, normas que la reglamenten, así como por la inobservancia de las órdenes e instrucciones impartidas por dicha Superintendencia. Las multas aquí previstas podrán ser sucesivas mientras subsista el incumplimiento que las originó.Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la presente ley, así como por la inobservancia de las órdenes e instrucciones impartidas por las Superintendencias mencionadas para corregir tales violaciones.Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logística, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión. Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.

ARTÍCULO 19. CRITERIOS PARA GRADUAR LAS SANCIONES. Las sanciones por infracciones a que se refiere el artículo anterior se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley.b) El beneficio económico que se hubiere obtenido para el infractor o para terceros, por la comisión de la infracción, o el daño que tal infracción hubiere podido causar.c) La reincidencia en la comisión de la infracción.d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio.e) La renuencia o desacato a cumplir, con las órdenes impartidas por la Superintendencia de Industria y Comercio.f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

ARTÍCULO 20. RÉGIMEN DE TRANSICIÓN PARA LAS ENTIDADES DE CONTROL. La Superintendencia de Industria y Comercio y la Superintendencia Financiera asumirán, seis (6) meses después de la entrada en vigencia de la presente ley, las funciones aquí establecidas. Para tales efectos, dentro de dicho término el Gobierno Nacional adoptará las medidas necesarias para adecuar la estructura de la Superintendencia de Industria, Comercio y Financiera dotándola de la capacidad presupuestal y técnica necesaria para cumplir con dichas funciones.

TITULO VII. DE LAS DISPOSICIONES FINALES. ARTÍCULO 21. RÉGIMEN DE TRANSICIÓN. Para el cumplimiento de las disposiciones contenidas en la presente ley, las personas que, a la fecha de su entrada en vigencia ejerzan alguna de las actividades aquí reguladas, tendrán un plazo de hasta seis (6) meses para adecuar su funcionamiento a las disposiciones de la presente ley.Los titulares de la información que a la entrada en vigencia de esta ley estuvieren al día en sus obligaciones objeto de reporte, y cuya información negativa hubiere permanecido en los bancos de datos por lo menos un año contado a partir de la cancelación de las obligaciones, serán beneficiarios de la caducidad inmediata de la información negativa.A su vez, los titulares de la información que se encuentren al día en sus obligaciones objeto de reporte, pero cuya información negativa no hubiere permanecido en los bancos de datos al menos un año después de canceladas las obligaciones, permanecerán con dicha información negativa por el tiempo que les hiciere falta para cumplir el año, contado a partir de la cancelación de las obligaciones.Los titulares de la información que cancelen sus obligaciones objeto de reporte dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, permanecerán con dicha información negativa en los bancos de datos por el término de un (1) año, contado a partir de la fecha de cancelación de tales obligaciones. Cumplido este plazo de un (1) año, el dato negativo deberá ser retirado automáticamente de los bancos de datos.El beneficio previsto en este artículo se perderá en caso que el titular de la información incurra nuevamente en mora, evento en el cual su reporte reflejará nuevamente la totalidad de los incumplimientos pasados, en los términos previstos en el artículo 13 de esta ley.

ARTÍCULO 22. VIGENCIA Y DEROGATORIAS. Esta ley rige a partir de la fecha de publicación y deroga las disposiciones que le sean contrarias.

El Presidente del honorable Senado de la República,HERNÁN FRANCISCO ANDRADE SERRANO.El Secretario General del honorable Senado de la República,EMILIO RAMÓN OTERO DAJUD.El Presidente de la honorable Cámara de Representantes,GERMÁN VARÓN COTRINO.El Secretario General de la honorable Cámara de Representantes,JESÚS ALFONSO RODRÍGUEZ CAMARGO.REPUBLICA DE COLOMBIA - GOBIERNO NACIONALPublíquese y cúmplase.Dada en Bogotá, D. C., a 31 de diciembre de 2008.ÁLVARO URIBE VÉLEZ

El Director del Departamento Administrativo de la Presidencia de la República, Encargado de las funciones del Despacho del Ministro del Interior y de Justicia,BERNARDO MORENO VILLEGAS.

Unofficial Translation

STATUTORY LAW 1266, 2008 [1] (December 1931) Official Journal No. 47219 of December 31, 2008 CONGRESS OF THE REPUBLIC Which are dictated by the general provisions governing habeas data and managing information in personal databases, especially financial, credit, trade, and services from third countries and other provisions.

THE CONGRESS OF THE REPUBLIC DECREES: Article 1. PURPOSE. This law is aimed at developing the constitutional right of all people to know, update and rectify information gathered about them in databases, and other rights, freedoms and constitutional guarantees relating to the collection, treatment and movement of personal data referred to in Article 15 of the Constitution, and the right to information established in Article 20 of the Constitution, particularly in relation to financial and credit information, commercial, service and from third countries.

Article 2. SCOPE. This law applies to all personal information data registered in a database, whether managed by public entities or private nature. This law shall apply without prejudice to special rules providing for the confidentiality and confidentiality of certain data or information stored in databases are public, for statistical purposes of investigation or punishment of crimes or to ensure public order. Exceptions to this law, the databases that are intended to produce the State Intelligence by the Administrative Security Department, DAS, and the security forces to ensure national security and external. Public records by chambers of commerce shall be governed solely by the rules and principles enshrined in the special rules that regulate them. Also excluded from the application of this law that data held in an exclusively personal or household use and those who move internally, this is not supplied to other natural or legal persons.

ITEM 3o. DEFINITIONS. For purposes of this Act, the term: a) Holder of the information. Is the natural person or legal entity referred to information that is based on a database and subject to the right of habeas data and other rights and guarantees referred to herein; b) Source of information. The person, entity or organization that receives personal data or know the owners of the information under a business or service or any other kind, and that, because of legal authority or the owner, provided such data an operator

of information, which in turn will deliver the end user. If the source delivers information directly to users and not through an operator, that will have the dual source and operator and assume the duties and responsibilities of both. The source of the information behind the quality of data provided to the operator which, in terms of access and provide personal information to third parties, subject to compliance with the duties and responsibilities provided to ensure the protection of the rights holder data; c) Operator Information. CONDITIONALLY <Literal exequible> information operator is called the person, entity or organization receiving the personal data on various sources of information owners, managers and informs the users within the parameters of this law. Therefore, the operator, as has access to personal information of third parties, subject to compliance with the duties and responsibilities provided for ensuring the protection of the rights of the owner of the data. Unless the operator is the same source of information, it has no commercial relationship or service with the owner and therefore is not responsible for the quality of data supplied to it by the source;

d) User. The user is the natural or legal person in the terms and conditions set out in this law, can access personal information of one or more holders of the information provided by the operator or by the source, or directly by the holder information. The user, in terms of access to personal information of third parties, subject to compliance with the duties and responsibilities provided for ensuring the protection of the rights of the owner of the data. In the event that the user in turn deliver the information directly to an operator, that will have the dual status of user and source, and assume the duties and responsibilities of both; e) Personal Data. Is any piece of information linked to one or more specific persons or specific or associated with a natural or legal person. The non-personal information is not subject to data protection regime of this law. Where this Act refers to a figure, it is presumed that this is personal. Personal data can be public, semi-private or private; f) Dato public. Is the information classified as such by the mandates of the law or the Constitution and all those other than semiprivate or private, in accordance with this law. Are public, among others, the data contained in public documents, duly executed judgments which are not subject to reserve and those relating to civil status of persons; g) Dato semi. Is semi-private data that does not have the intimate nature aside or whose disclosure and public disclosure may involve not only the owner but to a certain sector or group of persons or society in general, as the financial and credit information of business or services covered by Title IV of this Act. h) Private Data. Is the fact that intimate or confidential nature is relevant only to the owner. i) Trade Information Agency. Is any legally constituted company which has as main activity the collection, validation and processing of business information on companies and traders specifically requested by their clients, understanding business information that current and historical information concerning the financial condition, assets, market administrative, operational, on the fulfillment of obligations and other relevant information to analyze the overall situation of a company. For purposes of this Act, agencies are operators of commercial information and sources of information. CLAUSE: A commercial information agencies, as well as their sources and users, as

applicable, shall not apply to the following provisions of this Act: sections 2 and 6 of article 8, Article 12 and Article 14. j) Financial information, credit, trade, and services from third countries. For all purposes of this Act shall mean financial, credit, trade, and services from third countries, that referred to birth, execution and termination of monetary obligations, irrespective of the nature of the contract that gives them origin.

ARTICLE 4. PRINCIPLES OF DATA MANAGEMENT. In the development, interpretation and application of this Act, be taken into account, so harmonious and integrated, the principles set out below: a) Principle of accuracy or quality of the records or data. The information contained in databases must be accurate, complete, accurate, current, verifiable and understandable. Prohibiting the registration and disclosure partial, incomplete, split or misleading; b) The principle of finality. The management of personal data must obey a lawful purpose in accordance with the Constitution and the law. The aim should be informed to the holder of the prior information or concurrently with the granting of approval if it is necessary or in general if the holder requests information; c) Principle of restricted circulation. The personal data management is subject to limitations arising from the nature of the data, the provisions of this Act and the principles of personal data management especially the early timing of the information and purpose of database. Personal data, except public information shall not be accessible by Internet or other means of disclosure or mass communication, unless access is controlled to provide technical knowledge restricted only to holders or authorized users under this law ; d) Principle of temporary information. Holder information will not be provided to users or third parties when it ceases to serve the purpose of the database; e) Principle of integrated interpretation of constitutional rights. This law is interpreted properly taking advantage of constitutional rights such as habeas data, the right to good name, the right to privacy, the right to privacy and the right to information. The rights of the holders shall be construed in harmony and balance in a plane with the right to information under Article 20 of the Constitution and other applicable constitutional rights; f) Principle of security. The information that makes up the individual records constituting the data banks referred to the law as well as the result of queries that users make it, should be handled with technical measures necessary to ensure safety records to avoid their alteration, loss or unauthorized use query; g) The principle of confidentiality. All natural or legal persons involved in the administration of personal data that are not public nature are required at all times to ensure the confidentiality of the information, even after the end of their relationship with some of the work including the management data and can only perform data communication supply or when this is the development of the activities authorized under this Act and the terms thereof.

ARTICLE 5th. CIRCULATION OF INFORMATION. The personal information collected or provided in accordance with the provisions of the law to the operators that is part of the database it manages, may be delivered orally, in writing, or making available of the following persons and in the following terms:

a) For recipients, persons duly authorized by them and their successors through the consultation procedure provided for in this law. b) Users of the information within the parameters of this law. c) In any judicial authority, a court order. d) CONDITIONALLY <Literal exequible> A public agencies of the executive, when knowledge of this information corresponds directly to fulfill any of its functions.

e) A supervisory bodies and other disciplinary research units, fiscal, or administrative, where the information is necessary for the development of an ongoing investigation. f) Other data operators when it has the authorization of the owner, or without the authorization of the owner the destination database has the same purpose or a purpose that includes the one with the operator that delivers the data. If the recipient of the information he is an alien database, delivery without the authorization may only be leaving a written record of delivery of information and upon verification by the operator of the respective country's laws provide guarantees or receiver sufficient to protect the rights of the holder. g) Other persons authorized by law.

PART II. RIGHTS OF THE HOLDERS OF THE INFORMATION. ARTICLE 6. RIGHTS OF THE HOLDERS OF THE INFORMATION. Operators have the following rights: 1. From the operators of databases: 1.1 To exercise the fundamental right to habeas data in terms of this law, through the use of inquiries or complaints procedures, without prejudice to any other constitutional and legal mechanisms. 1.2 Request the respect and protection of other constitutional or statutory rights, as well as other provisions of this Act, using the procedure of complaints and petitions. 1.3 To ask the certification test for the existence of the authorization issued by the source or by the user. 1.4 To request information about authorized users for information. PARAGRAPH. Public Information Administration does not require permission of the owner of the data, but is subject to compliance with the principles of personal data management and other provisions of this law. Data management and private semi requires prior express consent of the owner of the data, except in the case of financial data, credit, trade, and services from third countries which do not require authorization from the owner. In any case, semi-government and private data is subject to compliance with the principles of personal data management and other provisions of this law. 2. Address the sources of information: Exercise 2.1 exequible> <Numeral CONDITIONALLY fundamental rights to habeas data and petition, with which compliance can be made by operators, as provided in inquiries and complaints procedures of the Act, subject to constitutional or other mechanisms Legal.

2.2 To request information or to request updating or correction of data in the database, which held the operator, based on information provided by the source, as set forth in

the procedure for inquiries, complaints and petitions. 2.3 calls proof of authorization, when such authorization is required under the provisions of this Act. 3. Compared to users: 3.1 To request information about using the user is giving the information, where that information has been provided by the operator. 3.2 To request proof of authorization, when she is required under the provisions of this Act. PARAGRAPH. The owners of financial and credit information will further the following rights: May turn to the monitoring authority for complaints against the sources, operators or users for violation of the rules on the administration of financial and credit information. Likewise, they can turn to the monitoring authority to seek an order requiring an operator or source correction or update your personal information where this is coming under the provisions of this Act.

PART III. DUTIES OF THE OPERATOR, THE SOURCES AND USERS OF INFORMATION. ARTICLE 7th. DUTIES OF OPERATORS OF DATABASES. Subject to compliance with other provisions of this law and other governing their activities, operators of the databases are required to: 1. Ensure at all time, the holder of the information, the full and effective exercise of the right of habeas data and petition, ie, the ability to know information about him or sit there in the database, and require the update or correction of data, all of which will be implemented through consultative mechanisms or claims, as provided in this Act. 2. Ensure that the collection, processing and data flow will respect the other rights enshrined in law. 3. Allow access to information only to persons who, in accordance with the provisions of this law may have access to it. 4. Adopt an internal manual of policies and procedures to ensure proper enforcement of this Act and, in particular for answering inquiries and complaints from the owners. 5. Apply for certification to the source of the existence of the authorization granted by the owner, where such authorization is necessary, as provided in this Act. 6. Keep with the required assurance records stored to prevent spoilage, loss, alteration, unauthorized or fraudulent. 7. Conduct regular and timely updating and correction of data, every time you report news sources under the terms of this law. 8. Dealing with requests, inquiries and complaints made by the holders of information, under the terms stated in this law. 9. Indicate in the respective individual record certain information that is being discussed by the owner, when submitting the application for correction or update of the same and not yet completed this process, as is regulated in this Law . 10. Circulate the information to users within the parameters of this law. 11. Comply with the instructions and requirements that the monitoring authority delivered in connection with the implementation of this law. 12. Others arising from the Constitution or this Act.

ARTICLE 8th. DUTIES OF THE SOURCES OF INFORMATION. Sources of information must meet the following requirements, subject to compliance with other provisions of this Act and other governing their activity: 1. Ensure that the information provided to operators of databases or users is accurate, complete, accurate, current and verifiable. 2. Report of a regular and timely to the operator, all the news in the data previously supplied him and take other measures to ensure that the information provided to this kept up to date. 3. Rectify the information as incorrect and report as appropriate to the operators. 4. Design and implement effective mechanisms for timely reporting of information to the operator. 5. Request, when appropriate, and keep copies or evidence of authorization by the respective owners of the information, and to ensure operators do not provide any information whose supply was not previously authorized, when such authorization is required, in accordance with the provisions of this Act. 6. Certify biannually to the operator that the information provided has been authorized in accordance with the provisions of this Act. 7. Resolving claims and requests of the owner in the way it regulates in this Act. 8. Inform the operator that some information is being discussed by the owner, when submitting the request to correct or update it, to the operator includes in the database mention in this regard until this process is complete. 9. Comply with instructions given by the supervisory authority in relation to compliance with this law. 10. Others arising from the Constitution or this Act.

ARTICLE 9th. OBLIGATIONS OF USERS. Without prejudice to compliance with the provisions of this law and other governing their activities, users of the information must: 1. Maintain confidentiality on information supplied to them by operators of data banks, by sources or holders of the information and use the information solely for the purposes for which it was delivered under the terms of this law. 2. Inform the holders, upon request, of the use is giving the information. 3. Keep with the required assurance to the information received to prevent damage, loss, alteration, unauthorized or fraudulent. 4. Comply with instructions issued by the authority, in relation to compliance with this law. 5. Others arising from the Constitution or this Act.

PART IV. DATA BANK FINANCIAL INFORMATION, CREDIT, COMMERCIAL, AND SERVICES FROM THIRD COUNTRIES. ARTICLE 10. A principle of favoring public interest activities. The activity of financial information management, credit, trade, and services from third countries is directly related and promotes an activity of interest groups, such as financial activity itself, since aid to the democratization of credit, promotes development of credit activity, the protection of public confidence in the financial system and its stability, and generates other benefits to the national economy and especially for financial

activities, credit, trade and services in the country. PARAGRAPH 1st. The financial information management, credit, trade, services and from third countries, by sources, users and operators should be made so as to favor allowing for expansion and democratization of credit. Users of this type of information should value this kind of information concurrently with other factors or evidence that technically fall within the study of risk and credit analysis and can not rely exclusively on information provided to the breach of obligations by operators to take decisions against credit applications. The Superintendencia Financiera de Colombia may impose the penalties provided in this Act to the users of information to deny an application based solely on credit report negative information from the applicant. PARAGRAPH 2nd. The consultation of financial information, credit, trade, and services from third countries by the owner, will be free at least one (1) time each calendar month.

ARTICLE 11. SPECIAL REQUIREMENTS FOR OPERATORS. Operators databases of financial information, credit, trade, services and from third countries operating as separate entities to the sources of information, must meet the following special operating requirements: 1. Must be established as commercial companies, nonprofit organizations or cooperative entities. 2. Must have a service area to the owner of the information to the attention of requests, inquiries and complaints. 3. They must have a security system and other technical conditions sufficient to ensure the safety and updating of records to avoid their alteration, loss or unauthorized use query as provided under this Act. 4. Must update the information reported by sources at intervals not exceeding ten (10) calendar days from receipt thereof.

ARTICLE 12. SPECIAL REQUIREMENTS FOR SOURCES. The sources should be updated monthly information provided to the operator, without prejudice to the provisions of Title III of this law. The reporting of negative information about a violation of obligations of any nature, incurred by the sources of information to the operators of databases of financial information, credit, trade, and services from third countries, only proceed after notifying the owner information, so that this can prove or make payment of the obligation, and controversial aspects such as the amount of the obligation or fee and the due date. This communication may be included in periodic statements that the sources of information sent to its customers. In any case, the sources of information may make the reporting of information within twenty (20) calendar days from the date of communication in the last mailing address of the person concerned who is registered in the files of the source information and without prejudice, if applicable, to comply with the obligation to inform the operator that the information is being discussed by the proprietor, has been made in order to correct or update and this has not yet been resolved.

ARTICLE 13. LEAVING THE INFORMATION. CONDITIONALLY <Article

exequible> positive character information will remain indefinitely in the data banks of information operators. The reference data content at the time of default, recovery rate, state of the portfolio, and in general, any data regarding non-compliance of obligations are governed by a maximum period of stay, after which must be removed data bank by the operator, so that users can not access or view this information. The term retention of this information shall be four (4) years from the date payment is due or fees required to be paid up.

ARTICLE 14. CONTENT OF THE INFORMATION. The Government shall determine the manner in which the databases of financial information, credit, trade, and services from third countries, must present the information of the owners of the information. To this end, shall identify a format for identifying, among other things, the debtor's full name, the condition in which it operates, that is, as principal debtor, obligor, surety or guarantor, the amount of the obligation or installment due The default time and date of payment, if applicable. The National Government to exercise the option under the preceding paragraph shall take into account that the reporting format should provide that: a) <Literal CONDITIONALLY exequible> negative report is presented as the (s) of person (s) or companies actually are in arrears in their dues or obligations.

b) CONDITIONALLY <Literal exequible> positive report is presented as the (s) of person (s) and companies are current on their obligations.

The breach of the duty herein provided will result in the imposition of the maximum penalties provided for in this law. PARAGRAPH 1st. For purposes of this Act means that an obligation has been voluntarily paid when your payment has been produced without judicial sentence so orders. PARAGRAPH 2nd. The consequences provided for in this article for voluntary payment of past dues, will be predicated to any other mode of extinguishing obligations, which do not result in a court of law. PARAGRAPH 3o. When a user see the status of a holder in the databases of financial information, credit, trade, and services from third countries, these will have to give accurate information about its current state, ie, give a positive report users at the time of the consultation are current on their obligations and a negative of that at the time of the consultation are in arrears in dues or assessments. The rest of the information contained in financial databases, credit, trade, and services from third countries will be part of the credit history of each user, which may be consulted by the user, as long as has been reported current status. PARAGRAPH 4th. It prohibits the use of personal data for information only unfavorable.

ARTICLE 15. ACCESS TO INFORMATION BY THE USERS. The information contained in databases of financial information, credit, trade, and services from third countries can be accessed by users only for the following purposes: As an element of

analysis to establish and maintain a contractual relationship, regardless nature, as well as for assessing the risks of an existing contractual relationship. As an element of analysis for market research or commercial research or statistics. For the advancement of any proceeding before a public authority or a private person, for which such information is relevant. For any other purpose other than the above, for which and in general or for each particular case has received authorization from the owner of the information.PART V. REQUESTS FOR CONSULTATIONS AND COMPLAINTS. ARTICLE 16. REQUESTS, QUESTIONS AND COMPLAINTS. I. Consultation process. The information holders or their beneficiaries may consult the holder's personal information, it lies on any database, be it public or private sector. The operator must supply these, properly identified, all information contained in the individual registration or in connection with the identification of the holder. The petition refers to information shall be made orally, in writing, or through any communication channel, as long as they keep evidence of consultation by technical means. The request or inquiry will be answered within a maximum of ten (10) working days from the date of receipt thereof. When it is not possible to comply with the request or query within that term, inform the person concerned, stating the reasons for the delay and indicating the date that your request will be met, which in no case exceed five (5) working days following the expiration of the first term. PARAGRAPH. The request or inquiry should address the background, providing all requested information fully. II. Processing of claims. The owners of the information or their successors who consider that the information contained in their individual record in a database should be corrected or updated may file a complaint with the operator, which will be transacted under the following rules: 1. The petition or complaint shall be made in writing to the operator of the database, identifying the owner, the description of the events giving rise to the claim, address, and if applicable, accompanied by supporting documentation that want enforce. If the document is incomplete, it will officiate the relevant person to remedy the faults. One month after the date of application without the applicant submits the required information, shall be deemed to have withdrawn the complaint or petition. 2. After receiving the completed claim request or operator shall register individually in a period not exceeding two (2) working days a legend that says "pending claim" and its nature. This information must be kept until the claim is decided and should be included in the information provided to users. 3. The maximum term to address the petition or complaint shall be fifteen (15) working days from the day following the date of receipt. When it is not possible to serve the petition within such time, shall be informed, stating the reasons for the delay and indicating the date that your request will be met, which in no case exceed eight (8) working days first term expires. 4. In cases where there is an information source independent of the operator, the latter shall divulge the source claims to a maximum of two (2) working days, which shall decide and inform the operator response within a maximum ten (10) days. In any case, the answer must be given to the holder by the operator within a maximum of fifteen (15) working days from the day following the date of filing of the complaint, extended for eight (8) days more, depending as indicated in the preceding paragraph. If the claim is presented to the source, this shall settle the claim directly, but must

inform the operator upon receiving the complaint within two (2) working days of receipt, so that it can comply with obligation to include the legend that says "pending claim" and the nature of the individual within the record, which should make the operator within two (2) business days after receipt of information from the source. 5. To respond to the petition or complaint, the operator or the source, as applicable, shall conduct a comprehensive audit of the views or approaches of the holder, making sure to review all relevant information in order to provide a complete answer to the holder. 6. Without prejudice to the exercise of supervisory action to protect the fundamental right of habeas data, if the owner is not satisfied with the response to the request, may seek appropriate judicial process within the legal terms relevant to discuss matters related reported as the obligation breached. The application must be filed against the source of information which, once notified of it, shall inform the operator within two (2) working days, so that it can comply with the requirement to include caption that says "information in judicial discussion" and the nature of the individual within the record, which should make the operator within two (2) working days of receiving the information from the source and all the time take to get a firm ruling. The same procedure should be followed in the event that the power to initiate a lawsuit against the owner of the information concerning the reported obligation and breached, and this proposed modification of merit.

PART VI. MONITORING OF RECIPIENTS OF THE LAW. ARTICLE 17. Monitoring functions. CONDITIONALLY <Article exequible> The Superintendency of Industry and Commerce shall act as the monitoring of operators, sources and users of financial information, credit, trade, and services from third countries as regards the activity personal data management is regulated by this law. In cases where the source of information user or operator is an entity supervised by the Superintendencia Financiera de Colombia, it shall exercise supervision and impose appropriate sanctions in accordance with the powers that are proper, as defined in the Statute of the Financial System and other relevant standards and those established in this law. To exercise the monitoring function referred to in this Article, the Superintendency of Industry and Commerce and the Superintendencia Financiera de Colombia, as appropriate, will be in addition to own the power: 1. Give instructions and orders on the way must comply with the provisions of this Act relating to financial information management, credit, trade, and services from third countries to establish the criteria to facilitate compliance and to identify procedures for full application. 2. Ensure compliance with the provisions of this Act, the rules that regulate and the respective instructions of the Superintendency. 3. Ensure that operators and sources have a security system and other technical conditions sufficient to ensure the safety and updating of records to avoid their alteration, loss or unauthorized use query as provided under this Act. 4. Order by the operator, power user or external audits of systems to monitor compliance with the provisions of this law. 5. Of its own motion or upon request correction, updating or removing personal information when it is appropriate, in accordance with the provisions of this Act. When a petition, it must prove to the Superintendent that they had the handling of a

claim for the same facts to the operator or the source, and that it was not served or was treated unfavorably. 6. Start automatically or on request administrative investigations against the operators, sources and users of financial information, credit, trade, and services from third countries, to establish whether there is administrative liability arising from breach of the provisions of this Act or orders or instructions issued by the respective supervisory body, and if appropriate impose sanctions or order the relevant measures.

ARTICLE 18. PENALTIES. The Superintendency of Industry and Commerce and the Financial Supervisory Authority may impose on operators, sources and users of financial information, credit, trade, and services from third countries according to previous explanations of the procedure, the following sanctions: Fines personal and institutional up to the equivalent of 1500 (1,500) monthly minimum wage laws in effect at the time of imposition of penalty for violation of this law, rules that regulate as well as non-compliance with orders and instructions issued by the Superintendency. The fines provided herein may be successive long as there is a breach that resulted. Suspension of the activities of the database, up to a term of six (6) months, in the person was carrying out management of information in violation of its conditions and requirements of this law, and by the failure orders and instructions issued by the Superintendence referred to redress such violations. Close or closing operations of the database when, after the term of suspension, there is no proper technical operation and logistics, and rules and procedures required by law, in accordance with the provisions of the resolution ordering the suspension. Immediate and definitive closure of the operation of databases to manage data prohibited.

ARTICLE 19. CRITERIA FOR GRADUATION SANCTIONS. Sanctions for violations referred to in the preceding article will graduate attending the following criteria as are applicable: a) The extent of the damage or danger to the legal interests protected under this law. b) The economic benefit has been obtained for the offender or others, for the commission of the offense or the harm that such breach has been caused. c) Recidivism in the commission of the offense. d) The resistance, refusal or obstruction to the action research or surveillance of the Superintendency of Industry and Commerce. e) Refusal to comply or comply with orders issued by the Superintendency of Industry and Commerce. f) The recognition or acceptance expressed to do the research on the commission of the offense before the imposition of the sanction as may be appropriate.

ARTICLE 20. TRANSITIONAL ARRANGEMENTS FOR THE CONTROL INSTITUTIONS. The Superintendency of Industry and Commerce and the Financial Supervisory Authority will take six (6) months after the entry into force of this Act, the functions set forth herein. To this end, within that time the National Government shall adopt the necessary measures to bring the structure of the Superintendency of Industry, Trade and Financial giving it budgetary and technical capacity necessary to

meet those responsibilities.

TITLE VII. FINAL PROVISIONS. ARTICLE 21. Transition regime. To fulfill the provisions of this law, people who, at the date of its entry into force engaged in an activity regulated here, have a period of six (6) months to adjust its operation to the provisions of this law. The owners of the information that the entry into force of this Act is in good standing to object to the report, and which has remained in negative information in the databases at least one year from the cancellation of obligations revocation will be immediate beneficiaries of negative information. In turn, the owners of the information that is current on its reporting obligations subject, but whose negative information has not been in the databases at least one year after the cancellation of obligations, such information will remain negative for While I do them needed to meet the year from the date of the cancellation of obligations. The information holders to cancel their obligations subject to report within six (6) months following the entry into force of this Act, shall remain with such negative information in databases over a period of one (1) year counted from the date of termination of such obligations. Once this period of one (1) year, the negative item will be withdrawn automatically from databases. The benefit under this Article shall be forfeited if the holder of information incurred in default again, event in which his report will reflect back all the past defaults under the terms provided for in Article 13 of the Act.

ARTICLE 22. EFFECTIVE DATE AND REPEAL. This law is effective as of the date of publication and repeals the provisions that are contrary.

The honorable President of the Senate, HERNAN FRANCISCO ANDRADE SERRANO. The Secretary General of the honorable Senate of the Republic OTERO RAMON EMILIO Dajuda. The President of the honorable House of Representatives MALE GERMÁN Cotroneo. The Secretary General of the honorable House of Representatives ALFONSO RODRIGUEZ JESUS CAMARGO. REPUBLIC OF COLOMBIA - GOVERNMENT Publication and enforcement. Given in Bogotá, D. C., at December 31, 2008. ALVARO URIBE VELEZ The Director of the Administrative Department of the Presidency of the Republic, in charge of the functions of the Office of the Minister of Interior and Justice, MORENO BERNARDO VILLEGAS.