El derecho a la información en el Sistema de Gestión de Riesgos

El Sistema de Gestión de Riesgos (SGR) de la Dian, es un mecanismo regulado por el Decreto 1165 de 2019, que tiene por finalidad identificar perfiles y comportamientos atípicos, analizar y valorar datos, crear mecanismos de control y alertas respecto de los posibles incumplimientos en los trámites y obligaciones tributarias, aduaneras y cambiarias

El SGR clasifica a los usuarios en bajo, medio y alto riesgo, según su historial tributario, sanciones anteriores, reportes de terceros y otros factores relevantes.

La clasificación determina el tipo de control que se aplica a los usuarios de comercio exterior y permite asignar un tratamiento, en función del nivel del riesgo detectado, lo que puede significar inspecciones más estrictas o la posibilidad de acceder a beneficios y tratamientos preferenciales.

Sin embargo, este sistema ha sido poco transparente, por cuanto la autoridad aduanera no proporciona información detallada al usuario sobre los motivos que han determinado su clasificación.

Tradicionalmente, la Dian ha considerado que se trata de información reservada y que los parámetros del sistema de gestión del riesgo no pueden ser publicitados, en tanto constituyen criterios de acción institucional de carácter preventivo y para evitar perjuicios a la entidad, a los titulares de la información, y a la seguridad nacional.

La falta de transparencia y el acceso restringido a los datos que sustentan las calificaciones han generado diversos litigios, en los que se ha alegado la vulneración del derecho de defensa.

El Consejo de Estado solucionó definitivamente el problema, en la sentencia 27067 del 13 de marzo de 2025, que resolvió la acción instaurada por los ciudadanos Andrea Ospina García y Pedro Enrique Sarmiento Pérez, quienes adujeron que ese sistema impedía a los usuarios ejercer su derecho al debido proceso.

El fallo expresó que era perentorio asegurar que los contribuyentes tuvieran acceso a la información necesaria para ejercer su derecho de contradicción y que esa garantía no implicaba, necesariamente, la divulgación de los criterios internos o la base de datos del sistema de gestión de riesgos.

Manifestó también que, aunque el sistema no debe hacer públicas sus metodologías o bases de datos, es indispensable que se informe a los usuarios el nivel de riesgo en el que han sido clasificados con el fin de asegurar el respeto a los principios ya mencionados y a las normas de habeas data.

Además, la sentencia advirtió que, aunque este mecanismo tiene carácter reservado, para proteger la seguridad nacional y la eficacia administrativa, el derecho a la información y a la contradicción de los datos personales debe prevalecer.

En consecuencia, el Consejo de Estado declaró la legalidad, de las normas demandadas, pero condicionada a que la autoridad comunique al interesado cuál es su calificación y le suministre la información en la que sustenta su decisión.

Lo anterior, toda vez que esa calificación va a afectar al usuario por cuanto determinan, no sólo, el grado de control al que va a ser sometido sino también los beneficios en materia tributaria, aduanera y cambiaria a los que podrá acceder, en razón de sus antecedentes.

La relevancia de este fallo trasciende el ámbito aduanero y merece ser considerado en todas aquellas situaciones en las que el Estado posee información que puede afectar a una persona particular. Es el caso, por ejemplo, de las indagaciones preliminares que adelanta la SIC, en los procedimientos sobre prácticas anticompetitivas, en donde la información es completamente reservada, incluso para los sujetos que pueden resultar investigados.