Intercambio automático de información vs. protección de datos personales

Contenido

Hace algunos días tuvo lugar el XVI Congreso Regional Latinoamericano de la International Fiscal Association (IFA), en Antigua, Guatemala. Allí, con la participación de Macarena Bevllacqua, Darma Romero, Helena Trentini, Jorge Correa Carlos Coronell y Edy Pérez, se desarrolló un panel interesante sobre el estado actual del mecanismo de intercambio automático de información fiscal a nivel regional. Algo que me llamó poderosamente la atención fue el reclamo formulado por algunos panelistas respecto a la imposibilidad de los contribuyentes a conocer, actualizar, revisar y rectificar los datos que se intercambian entre las instituciones financieras internacionales y las autoridades fiscales locales. Esto, aplicado al caso colombiano, es lo que me motiva a escribir esta columna.

En Colombia contamos con un sistema de protección de datos muy maduro. La ley que regula la materia (Ley 1581 de 2012) tiene carácter de ley estatutaria por regular derechos fundamentales, y la jurisprudencia constitucional se ha unificado (entre otras, mediante Sentencia SU-139 de 2021) para señalar que el dato le pertenece al individuo y no al Estado. Asimismo, siguiendo esta ruta proteccionista, recientemente se han expedido dos normas importantes: el Decreto 0368 de 2026, que crea el modelo de finanzas abiertas, mediante el cual se obliga a la Superintendencia Financiera a compartir los datos de los usuarios con otras plataformas siempre que exista autorización expresa del consumidor financiero; y la Ley 2573 de 2026, que protege a las víctimas de suplantación de identidad y obliga a los bancos y empresas de telecomunicaciones a suspender cobros y a detener reportes negativos hasta tanto no se garantice el debido proceso informativo.

En materia de derechos del contribuyente, desde hace más de 14 años, con la expedición de la Ley 1607 de 2012 (arts. 193, n 2, 6, 7 y 8), se estableció que el contribuyente tiene derecho a “tener acceso a los expedientes que cursen frente a sus actuaciones (…)”, a “obtener en cualquier momento información confiable y clara sobre el estado de su situación tributaria por parte de la autoridad”, a “que se observe el debido proceso en todas las actuaciones de la autoridad” y a “recibir (…) información actualizada sobre las (…) instrucciones de la autoridad”, entre otros.

Surge entonces la gran pregunta: ¿es el sistema de intercambio automático de información (CRS) compatible con el habeas data? El CRS funciona mediante transferencias masivas, automáticas y periódicas de información financiera entre entidades financieras y administraciones tributarias, para lo cual no existe un procedimiento para revisar previamente el dato ni tampoco un sistema que notifique que este ha sido intercambiado. Si el ciudadano (colombiano o extranjero), siendo titular de sus datos, no puede revisarlos, ni rectificarlos, ni autorizar su difusión, y debe aceptar las consecuencias por la transmisión de un dato equivocado … ¿dónde queda entonces el derecho fundamental al habeas data y al debido proceso informativo?

Este sistema, que está siendo aplicado por las entidades financieras que intercambian información con Colombia y por las entidades colombianas que intercambian información con otros países, no solo está creando un estado de cosas inconstitucional, sino que además está haciendo al país cada vez menos atractivo y competitivo para inversionistas internacionales. El Congreso debería ocuparse de expedir una ley mediante la cual se armonicen estas dos necesidades: la de intercambiar eficazmente información fiscal internacional y la de proteger el derecho fundamental al habeas data.