La Corte Constitucional dio un nuevo alivio a las personas afectadas por reportes negativos en las centrales de riesgo debido a casos de suplantación de identidad. A través de la sentencia C-413 de 2025, la Sala Plena declaró la constitucionalidad del Proyecto de Ley Estatutaria 190 de 2022 Cámara – 303 de 2023 Senado, una iniciativa que busca reforzar la protección de los ciudadanos frente a las consecuencias derivadas de fraudes cometidos en su nombre.

El alto tribunal determinó que la norma se ajusta a los principios constitucionales del debido proceso, la transparencia y la protección del buen nombre, al tiempo que garantiza el derecho al hábeas data. No obstante, la Corte condicionó la aplicación de algunas expresiones y conceptos incluidos en el texto para asegurar su compatibilidad con la Carta Política.

La Corte resaltó la validez procedimental del trámite legislativo del proyecto, señalando que cumplió con todos los requisitos constitucionales. El fallo enfatiza que la ley materializa la protección del hábeas data y del patrimonio de las personas que han sido víctimas de suplantación de identidad, al establecer mecanismos más eficaces para la corrección de la información reportada en las centrales financieras y crediticias.

El pronunciamiento también refuerza la obligación de las empresas y entidades financieras de garantizar la veracidad de los datos personales y evitar que las víctimas de delitos informáticos o de falsificación de identidad enfrenten consecuencias económicas o reputacionales por hechos que no cometieron.

Datacrédito — Personas suplantadas les tienen que quitar la deuda. Foto: tomada de Freepik

Obligaciones de las empresas ante reportes negativos por suplantación

La sentencia ordena a operadores de telecomunicaciones, entidades financieras y establecimientos comerciales implementar medidas de seguridad digital y verificación de identidad en todos sus procesos de contratación y apertura de productos.

Asimismo, las empresas deberán suspender de manera inmediata los cobros o reportes negativos en las centrales de riesgo cuando exista una denuncia o noticia de suplantación. También estarán obligadas a entregar copia de la documentación utilizada en las operaciones y a coordinar con la Fiscalía General de la Nación o las autoridades competentes las acciones correspondientes para prevenir nuevos casos.

En el parágrafo 2 de la sentencia, la Corte especifica que, si se verifica el incumplimiento de los protocolos de seguridad establecidos por las autoridades y el titular del dato acredita haber sido víctima de suplantación, deberá suspenderse cualquier gestión de cobro y modificarse el reporte negativo en las centrales de información.

El incumplimiento de esta disposición generará la obligación de devolver oportunamente los dineros obtenidos mediante fraude o de eliminar las acreencias asociadas. Además, las entidades no podrán congelar los recursos ni esperar autorización del titular de la cuenta para efectuar el reverso de las transacciones fraudulentas.

La decisión también establece que las solicitudes presentadas por las víctimas deberán resolverse en un plazo máximo de 15 días hábiles, prorrogables por ocho más. Si en ese lapso no se emite una respuesta, se entenderá que la solicitud ha sido resuelta favorablemente. En caso contrario, el afectado podrá acudir ante la Superintendencia de Industria y Comercio o la Superintendencia Financiera de Colombia para solicitar la imposición de sanciones y la garantía del derecho al hábeas data.

Con esta sentencia, la Corte mantiene el propósito de la ley de proteger a las víctimas de suplantación de identidad frente a la creciente sofisticación de los fraudes digitales, al tiempo que delimita aspectos del proyecto que podrían restringir el acceso del titular a su información o vulnerar garantías procesales.