Establece medidas para proteger a las personas frente a reportes negativos y cobros derivados de la suplantación de identidad

La ley adopta medidas para proteger a las personas que han sido víctimas de suplantación de identidad frente a reportes negativos en centrales de riesgo y el cobro de obligaciones, imponiendo deberes a operadores de telecomunicaciones, entidades financieras/crediticias y otros establecimientos comerciales. Asimismo, fortalece el régimen de hábeas data y define procedimientos para la suspensión de cobros y corrección de información. Aplica a: Operadores de telecomunicaciones, entidades financieras o crediticias y demás establecimientos comerciales que otorguen bienes o servicios, así como a los operadores de información (centrales de riesgo).  

Algunas de las obligaciones:

Los operadores de telecomunicaciones, entidades financieras/crediticias y establecimientos comerciales deberán:

• Adoptar medidas de seguridad digital suficientes para validar la identidad de los usuarios y la autenticidad de los documentos.
• Implementar mecanismos de validación de la información suministrada por los clientes bajo el principio de buena fe.
• Tramitar solicitudes y quejas de personas suplantadas dentro de los 10 días hábiles siguientes a su radicación.
• Suspender de forma inmediata la prestación del servicio o el cobro de obligaciones cuando se informe una suplantación.
• Reportar a las centrales de riesgo marcando el caso como “víctima de falsedad personal”, sin afectar el score crediticio.
• Entregar a la presunta víctima copia de los documentos utilizados para adquirir el producto o servicio.
• Reportar a la DIAN cuando la suplantación pueda generar perjuicios tributarios y adelantar investigaciones internas en caso de posibles irregularidades.

 

Algunos aspectos de interés:

• Se consagran principios reforzados de protección de datos personales (Ley 1266 de 2008 y Ley 1581 de 2012), incluyendo seguridad, veracidad y carga dinámica de la prueba, trasladando a las entidades la obligación de probar cuando estén en mejor posición.
• La suplantación incluye tanto modalidades físicas como digitales (ingeniería social, uso de datos sin autorización, perfiles falsos, uso indebido de tarjetas, entre otros).
• La fuente debe corregir la información negativa en centrales de riesgo dentro de 10 días hábiles e incluir la leyenda “Víctima de Falsedad Personal”, la cual no podrá afectar la calificación crediticia.
• Se establece la suspensión inmediata del cobro (capital, intereses y gastos) cuando la persona acredite la posible suplantación, mientras se define el caso.
• Si la autoridad judicial confirma la suplantación, la persona será exonerada de cualquier obligación y reporte negativo; si no se confirma, se reanudan los cobros.
• Se prevé silencio administrativo positivo en reclamaciones si no se responden oportunamente.
• La SIC y la Superintendencia Financiera deberán reglamentar protocolos de atención de estos casos dentro de los 6 meses siguientes.
• Se ordena crear una ruta pública de atención a víctimas y promover cultura de seguridad digital.

Fechas y plazos

• Reglamentación de protocolos por parte de autoridades: dentro de los 6 meses siguientes a la expedición de la ley.
• Respuesta de solicitudes de la víctima:

• 10 días hábiles para verificación y corrección por la fuente.
• 15 días hábiles (prorrogables por 8) para resolver peticiones, bajo régimen de silencio administrativo.

• La persona suplantada deberá presentar denuncia dentro de los 20 días hábiles siguientes a la suspensión del cobro para mantener el beneficio.

 

Vigencia: La ley entra en vigor dentro de los seis (6) meses siguientes a su promulgación (salvo algunos parágrafos del artículo 5 que rigen de inmediato).