Los referidos y la protección de datos personales: ¿una figura prohibida?
20 de enero de 2024Contenido
El uso de referidos es una estrategia común y habitualmente empleada en el tráfico mercantil, cuyos flujos se han visto regulados por la Ley 1266 de 2008, Ley 1581 de 2012, o incluso, la Ley 2300 de 2023. Dos sectores donde se observa con mayor frecuencia el uso de referidos son el financiero y crediticio. En estos, es común que bancos y fintech soliciten referencias personales para verificar la identidad de los solicitantes y prevenir fraudes.
Asimismo, la estrategia de referidos se utiliza con regularidad en el comercio para otorgar descuentos o servicios a terceros con los cuales no se tenía una relación previa. Sin embargo, el uso de referidos, tanto en estas situaciones como en general, enfrenta problemáticas desde la perspectiva de la protección de datos personales en Colombia.
En efecto, la Superintendencia de Industria y Comercio (SIC) ha adoptado una interpretación restrictiva del uso de esta figura, lo que hace necesario ser muy cuidadoso en su aplicación. Recientemente, en la Resolución 35435 del 27 de junio de 2023, la SIC determinó que ningún titular puede “autorizar el tratamiento de datos de otra persona, es decir, de un tercero”. Esto significa que el referido mismo es el único que podría autorizar ser referenciado como tal.
En este sentido, concluyó la SIC que “la sociedad investigada debía solicitar la autorización tanto del cliente como de la persona referida por este”. Estas conclusiones no son aisladas, ya que la SIC ha manifestado en diversas decisiones su postura sobre el tratamiento de datos personales bajo la figura de los referidos.
Por ejemplo, en la Resolución 27864 del 25 de abril de 2019 la SIC afirmó que “el mecanismo de ‘referidos’ en manera alguna habilita al responsable para realizar el tratamiento de datos personales”. Además, en la Resolución No. 88750 del 15 de diciembre de 2022, la SIC concluyó que no es suficiente trasladar la responsabilidad de obtener la autorización de las referencias personales al solicitante de un crédito ya que “la entidad financiera debe ser diligente y adaptar mecanismos eficientes para recolectar la autorización del referido o abstenerse de hacer el tratamiento de los datos si no logra la obtención del consentimiento del mismo”.
Así, a partir de las decisiones de la SIC, se pueden extraer dos conclusiones. Primero, no es válido desde la perspectiva de datos personales trasladar al titular la obligación de obtener la autorización de los titulares cuyos datos se utilizan como referencia. Segundo, el responsable no puede tratar los datos personales de los referidos sin haber obtenido previamente su autorización.
Estas conclusiones y consideraciones de la SIC no parecen encajar entre sí. Al no ser válido, según la SIC, trasladar al titular la obligación de obtener la autorización de los titulares cuyos datos se utilizan como referencia, el responsable se ve obligado a contactarlos para obtener su autorización. Sin embargo, este primer contacto implica, según la SIC, un tratamiento de datos personales sin autorización. Así, tanto las consideraciones de la SIC como las alternativas que plantea en sus decisiones llevan a la impresión de que los referidos y el tratamiento de datos personales son, bajo la interpretación actual de la SIC, incompatibles.