31 de julio de 2024
ÚLTIMAS NOVEDADES SOBRE LA IMPLEMENTACIÓN DE LA LEY 2300 DE 2023 (LEY “DEJEN DE FREGAR”).
Por: Mónica Andrea Ramírez Hinestroza*
Poco más de un año ha transcurrido desde la expedición de la Ley 2300 de 2023[1], popularmente conocida como la ley “dejen de fregar”, que generó importantes discusiones y reacciones tanto desde el sector de la gestión de cobranzas como en el ámbito comercial. En este periodo, sin embargo, se han presentado algunas novedades que permiten tener hoy un mayor grado de claridad sobre la implementación de la norma.
Para empezar, debemos recordar que, de acuerdo con lo previsto en su artículo 1, la Ley 2300 de 2023 tiene por objeto la protección del derecho a la intimidad de los consumidores. Para el efecto, la norma dispuso cuáles son los canales, el horario y la periodicidad en los que los consumidores pueden ser contactados por las entidades vigiladas por la Superintendencia Financiera y por todas las personas naturales o jurídicas que realicen gestiones de cobranza, así como por quienes envíen mensajes publicitarios (a través de mensajes cortos de texto, de aplicaciones o web, correos electrónicos) o realicen llamadas telefónicas de carácter comercial o publicitario.
En relación con los canales a través de los cuales podrá contactarse a los consumidores, de acuerdo con la ley, solo podrán utilizarse aquéllos que hayan sido autorizados expresamente por el consumidor.
En lo que tiene que ver con los horarios, se estableció que los consumidores sólo podrán ser contactados de lunes a viernes, entre a las 7:00 a.m. y las 7:00 p.m. y los días sábados de 8:00 a.m. a 3:00 p.m., al paso que se prohibe cualquier tipo de contacto con el consumidor los domingos y los días festivos.
Sobre la periodicidad, indicó la norma que una vez logrado un contacto directo con el consumidor, este no podrá ser contactado mediante varios canales dentro de una misma semana, ni más de una vez en el mismo día.
Otra prohibición importante que estableció la ley, tiene que ver con la restricción impuesta a las entidades vigiladas por la Superintendencia Financiera y a todas las entidades que adelanten gestiones de cobranza, de contactar a las personas que han sido relacionadas como referencias personales o de otra índole del consumidor (deudor). Ahora bien, se aclara que quien funge como avalista, codeudor o deudor solidario sí podrá ser contactado, pero siguiendo las mismas reglas anteriores sobre canales, horario y periodicidad.
Como se puede observar, estas reglas evidentemente apuntan a asegurar el respeto a la intimidad y a la privacidad de los consumidores, al restringir, no solo los contactos no autorizados para gestiones de cobranza y para el envío de mensajes y llamadas comerciales y publicitarios, sino también al evitar que al realizar esos contactos se importune al consumidor, al vulnerar sus espacios intimos, familiares o personales.
Este objetivo, precisamente, fue el que originó serios cuestionamientos en torno a la exequibilidad de la ley. En efecto, muchas voces se alzaron advirtiendo que la ley regula de manera íntegra los derechos fundamentales a la intimidad y al hábeas data, y que, en consecuencia, el proyecto debió tramitarse como una ley estatutaria, según lo previsto en el literal a) del artículo 152 de la Constitución Política, y no haber seguido el trámite de ley ordinaria.
Estos cuestionamientos, de hecho, fueron planteados en una acción de inconstitucionalidad presentada contra la Ley 2300 de 2023, la cual fue resuelta recientemente por la Corte Constitucional a través de la Sentencia C-278/24 de 11 de julio de 2024, M.P. José Fernando Reyes Cuartas.
La providencia mencionada no ha sido publicada a la fecha de elaboración de estas líneas, sin embargo, según se indica en el Comunicado 29 emitido por la alta corporación, la Sala Plena de la Corte Constitucional, declaró exequible la ley con base en los siguientes argumentos:
Primero. La Ley 2300 de 2023 regula un asunto que se vincula con diferentes materias constitucionalmente relevantes: la protección del consumidor (art. 78), las actividades económicas (arts. 333, 334 y 335) y los derechos fundamentales a la intimidad, al habeas data y al buen nombre. Segundo. La existencia de un vínculo temático con normas de derecho fundamental exige establecer si la materia de la que se ocupa la ley está o no comprendida por la reserva estatutaria prevista para los derechos fundamentales en el artículo 152.a. Tercero. La jurisprudencia ha establecido que para definir si una ley -o una de sus disposiciones- se encuentra cubierta por esa reserva es indispensable realizar un escrutinio de dos pasos. Inicialmente establecer si, en efecto, la legislación se encuentra vinculada con el ámbito de protección de derechos de esa naturaleza y, a continuación, definir si el tipo de relación existente constituye la regulación de un derecho fundamental en el sentido del artículo 152.a de la Constitución. Cuarto. Las reglas relativas a las formas y condiciones en que los gestores de cobranza, proveedores y fabricantes se comunican con los consumidores es relevante desde la perspectiva de los derechos fundamentales. Sin embargo, la legislación acusada no se ocupa de regular total o parcialmente los elementos definitorios o estructurales de uno de tales derechos y, por ello, en este caso no se activa la reserva de ley estatutaria[2]. (negrila fuera del texto original).
Estas consideraciones, respaldan lo establecido en la exposición de motivos de la ley en comento, en el sentido que:
Se trata de la protección de apenas un aspecto del derecho fundamental a la intimidad, y no de una regulación integral del mismo, por lo que no se hace necesario tramitarla como Ley Estatutaria, sino que es propia del trámite ordinario. Por su materia, corresponde el primer debate en cada Cámara, a las Comisiones Primeras Constitucionales.
Asi las cosas, con la expedicion de la Sentencia C-278/24 de 11 de julio de 2024, la Corte Constitucional cerró la discusión sobre la exequibilidad de la Ley 2300 de 2023.
Otro aspecto en el que se han logrado avances para la implementación de la Ley, es el relacionado con el Registro de Números Excluidos.
Al respecto, encontramos que la Ley 2300 de 2023, en su artículo 5, estableció que el Ministerio de las Tecnologías de la Información y las Comunicaciones debía coordinar con la Comisión de Regulación de Comunicaciones (CRC) la implementación de las medidas técnicas necesarias para adaptar el Registro de Números Excluidos (RNE) conforme lo indicado en esta ley.
Cabe recordar que el RNE se estableció a partir de la Resolución CRC 5050 de 2016. De acuerdo con el alcance de esta regulación, los usuarios podían inscribir su línea celular en el RNE para evitar la recepción de mensajes cortos de texto (SMS) con fines publicitarios o comerciales.
Dado que la Ley 2300 amplió los canales de contacto que pueden ser excluídos por los consumidores, se hizo necesaria una actualización del RNE. Para el efecto, la CRC, emitió la Resolución CRC 7356 del 2024 y los cambios a la plataforma fueron implementados desde el día 10 de abril de 2024.
De acuerdo con el balance que la Entidad presentó luego de dos semanas del inicio de la operación, más de 47 mil usuarios se habían inscrito en el RNE con el propósito de excluir sus canales de contacto[3], cifra que da cuenta de la aceptación y del interés que tiene esta herramienta para los consumidores.
No obstante, también informó la CRC, que muchos de los usuarios que se incribieron, no culminaron exitosamente el registro de los canales que desean excluir. En este sentido, la Entidad recordó que:
La sola inscripción en el RNE no garantiza que el ciudadano quede excluido de recibir contenidos comerciales y publicitarios. Después de completar su proceso de validación, el usuario deberá acceder a la plataforma y registrar los canales de contacto que desea excluir —como su número de teléfono fijo, móvil y/o correo electrónico— especificando si desea o no recibir contenidos comerciales y publicitarios. Es necesario que el ciudadano confirme las exclusiones registradas.
Finalmente, otro tema que generó amplias discusiones cuando se expidió la Ley 2300 de 2023, y sobre el cual se presentan avances recientes, fue el de la competencia para sancionar el incumplimento de las medidas de protección establecidas en esta norma.
Cabe recordar que, sobre este asunto, el artículo 9 de la ley 2300, estableció que:
El incumplimiento de las medidas de protección de que trata la presente ley, se sancionará por la Superintendencia Financiera de Colombia y la Superintendencia de Industria y Comercio, de acuerdo con el marco de competencias previsto en la Ley Estatutaria 1266 de 2008 o las normas que la modifiquen, adicionen o sustituyan.
Así las cosas, se plantearon desde diversos sectores involucrados, inquietudes no menores sobre el alcance real de las competencias sancionatorias de las dos autoridades administrativas para conocer de infracciones a las medidas planteadas en la Ley 2300. Esto por cuanto, como se mencionó al inicio de estas líneas, la ley plantea una serie de medidas orientadas a la protección del derecho fundamental a la intimidad de los consumidores, algunas de las cuales escapan a la órbita de las competencias funcionales de las entidades mencionadas, sobretodo si se toma en consideración, la remisión que el mismo artículo hace a la Ley estatutaria 1266 de 2008 “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”.
El artículo 17 de la mencionada Ley 1266 de 2008, estableció lo siguiente en cuanto a la vigilancia de esta norma:
Artículo 17. FUNCIÓN DE VIGILANCIA. La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley.
En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas pertinentes y las establecidas en la presente ley. (…). (Negrilla fuera del texto original).
En buena hora, la Superintendencia de Industria y Comercio, expidió el pasado 26 de junio de 2024, la Circular Externa No. 001, a través de la cual emite instrucciones a los titulares de la información y entidades sujetas a vigilancia de la SIC en su rol de autoridad de protección de datos personales, sobre las competencias de la Delegatura para la Protección de Datos Personales frente a la vigilancia del cumplimiento de las medidas establecidas en la Ley 2300 de 2023[4].
Al respecto, aclara la SIC, que la Delegatura para la Protección de Datos Personales será competente para conocer las denuncias relacionadas con el incumplimiento de la Ley 2300, en los siguientes casos, pero siempre para garantizar el derecho fundamental de habeas data:
- En relación con los canales autorizados, cuando en la denuncia, el titular de los datos personales ponga de presente que, en el marco de gestiones de cobranza realizadas por una entidad vigilada por la SIC:
- Se le contactó por un canal no autorizado o por más de un canal, en su calidad de deudor principal, o de avalista, codeudor o deudor solidario.
- Se contactó a sus referencias personales.
- Se le contactó, en calidad de referencia personal del deudor.
- Cuando en la denuncia, el titular de los datos personales ponga de presente que, fue contactado (por llamada telefónica o mensajes) con fines publicitarios, y:
- Se le contactó por un canal no autorizado o por más de un canal.
- Como titular pretenda que se suprima su información para dejar de recibir publicidad.
- No ha dado autorización para recibir promociones para alimentar bases de datos.
- Se le esta imponiendo la obligación de recibir publicidad por algún canal.
- Está siendo condicionado para ingresar o ser retirado de listas que le permiten acceder a bienes y servicios.
Como se puede advertir, todas las conductas relacionadas atrás conllevan infracciones al derecho fundamental de hábeas data o al régimen de protección de datos personales, lo cual explica que sí se enmarquen en la competencia de la Delegatura para la Protección de Datos Personales.
En el mismo sentido, entonces, se aclaró que habrá situaciones que constituyen una vulneración de las medidas planteadas en la Ley 2300 de 2023 (directamente encaminadas a la protección del derecho fundamental de intimidad), pero que no afectan el derecho de habeas data, ni corresponden a un indebido tratamiento de datos personales, y por ende, escapan de la órbita de competencias funcionales de la Delegatura. En este supuesto se encuadran conductas tales como no respetar los horarios ni la periodicidad establecidos en la Ley 2300 de 2023 o violar la prohibición de consultar al consumidor financiero sobre el motivo del incumplimiento de la obligación.
Al respecto precisó la SIC que:
En orden de lo expuesto y en el marco de la Ley 2300 de 2023 —asi como el principio de interpretacién integral de derechos constitucionales previsto en el literal e) del articulo 4 de Estatutaria 1266 de 2008—, la Delegatura para la Proteccion de Datos Personales puede conocer de situaciones donde se afecte el derecho fundamental a la intimidad, cuando el caso en concreto conlleve, ademas, la vulneracion al derecho de habeas data, de acuerdo con las instrucciones dictadas en acápites precedentes.
No obstante, de acuerdo con las facultades establecidas en la referida Ley Estatutaria 1266 de 2008 —como se ha dicho, régimen juridico aplicable para la protección de la Ley 2300 de 2023, según dispone su articulo 9— la Delegatura para la Protección de Datos Personales carece de facultades, acciones o mecanismos legales suficientes para garantizar el derecho fundamental autónomo a la intimidad. (Negrilla corresponde al texto original).
Finalmente, la SIC, en orden a garantizar la protección de los datos personales, resaltó la obligación a cargo de los productores y proveedores de bienes y servicios de consultar el RNE, en orden a verificar si los consumidores están inscritos y cuáles son los canales que tienen restringidos, y en consecuencia, el deber de abstenerse de enviar contenidos publicitarios o comerciales a los consumidores en contravía de lo que conste en el RNE.
Sobre este punto, aporta mucha claridad la instrucción de la SIC, en el sentido de que se entenderán revocadas las autorizaciones que hayan sido otorgadas por los titulares antes de hacer la inscripción en el RNE de los canales que quieren restringir. En el mismo sentido, las autorizaciones que otorguen los titulares para el envío de contenidos publicitarios o comerciales, con posterioridad a haber inscrito canales restringidos en el RNE, le permitirá a los responsables y a los encargados del tratamiento de datos personales el envío de dichos contenidos, bajo las reglas indicadas en la Ley 2300 de 2023.
Así las cosas, superada la discusión sobre la exequibilidad de la Ley 2300 de 2023 y habiendo logrado importantes avances regulatorios desde la CRC y a título de instrucciones desde la SIC en el último año, solo nos resta hacer seguimiento a la adecuada y efectiva implementación de las medidas establecidas en la Ley, para ver si a los consumidores, efectivamente, nos “dejan de fregar”.
[1] LEY No. 2300 DE 10 DE JULIO DE 2023, “POR MEDIO DE LA CUAL SE ESTABLECEN MEDIDAS QUE PROTEJAN EL DERECHO A LA INTIMIDAD DE LOS CONSUMIDORES”.
[2] Recuperado de: https://www.corteconstitucional.gov.co/comunicados/Comunicado%2029%20-%20Julio%2011%20de%202024.pdf
[3] Recuperado de: https://www.crcom.gov.co/es/noticias/comunicado-prensa/crc-entrega-un-balance-y-recomendaciones-sobre-nuevo-registro-numeros
[4] Recuperado de: https://sedeelectronica.sic.gov.co/sites/default/files/normativa/Circular%20No.001%20Poteccio%CC%81n%20Datos%20Personales_260724.pdf
*Abogada de la Universidad Externado de Colombia, con Especialización en Derecho Comercial de la misma Universidad y Maestría en Propiedad Intelectual de la Universidad Carlos III de Madrid.