Sancionado Gimnasio por solicitar huella dactilar para el acceso a sus instalaciones sin contar con todos los requisitos de ley
octubre 8, 2018De las sanciones que se han impartido este año por violación de datos personales, el 50% han sido por malas prácticas de mercadeo
octubre 14, 2018En lo que va corrido del año, la Superintendencia de Industria y Comercio, ha sancionado a dos propiedades horizontales, por recolectar datos personales, sin contar con el consentimiento de los titulares, así mismo, por no cumplir con todos los requisitos exigidos en la Ley de Protección de Datos Personales referentes a adoptar controles internos como contar con un aviso de privacidad.
La Dirección de Investigación de Protección de Datos Personales a través de la Resolución Número 43530 de 2018 impuso una multa de $124.998.720 a una propiedad horizontal.
Los motivos de incumplimiento de la ley, por los cuales la Superintendencia sancionó a esta Propiedad Horizontal, son:
-
Deber de solicitar la respectiva
autorización
Se puedo evidenciar que la propiedad, tenía implementado un sistema de lector de scanner y que realizaba tratamiento de datos personales sensibles como la huella, lo anterior, sin cumplir con la autorización de su titular.
-
Deber de informar al titular sobre la finalidad de la recolección de los datos así como el derecho que le asiste a los titulares
Para este aspecto la Superintendencia determinó que en el momento de la visita de inspección, no se evidenciaba que existiera mecanismo alguno que informará a los titulares sobre la finalidad ,así como los derechos que le asisten, aún cuando se realizaba tratamiento de datos sensibles.
-
Conservar la información bajo las condiciones de seguridad necesarias para evitar el uso y el acceso de personas no autorizadas.
La Superintendencia en la visita que realizó a la Propiedad Horizontal, pudo evidenciar que contaban con un software al cual tenían acceso las recepcionistas, mantenía con sesión abierta, y cuyas claves eran las mismas para cada uno de los operadores.
En la Resolución de Sanción, la Superintendencia recuerda que conforme al principio de legalidad se debe adoptar una serie de controles para efectuar un debido tratamiento de los datos personales, por lo que ordenó a la Propiedad Horizontal, a realizar la implementación de los controles señalados en la ley, implementación aviso de privacidad, aviso de videovigilancia y un manual de tratamiento de datos personales.
La segunda sanción, fue por un valor de $62.499.360, a través de la Resolución 29407 de 2018. En esta ocasión, otra Propiedad Horizontal fue sancionada por hechos similares al caso anterior. Estos aspectos son:
-
Deber de solicitar la respectiva
autorización
Frente a este ítem señaló la SIC, que el Edificio tenía implementado un sistema de lector de huellas digitales y de scanner de código de barras para controlar el ingreso y salida de visitantes y empleados, lo anterior, sin contar o adelantar gestión alguna para obtener su autorización.
-
Deber de informar a las personas la finalidad por la cual se recolectan sus datos
Para el caso en concreto la Superintendencia determinó que no se informaba a los titulares los motivos por los cuales serían recolectados sus datos personales, señalando que esta información, se debe dar, de manera previa.
- Deber de conservar la información bajo condiciones de seguridad necesarias
En este aspecto, a juicio de la Superintendencia determinó, que al no contar con las respectivas cláusulas de confidencialidad en los contratos de trabajo suscritos con los trabajadores y al no contar con las medidas de seguridad necesarias en los sistemas de información, lo anterior por cuanto el cuarto en donde se alojaba el disco duro que albergaba la información de los visitantes y de las imágenes de los Circuitos Cerrados de Televisión, no tenía un acceso restringido, vulnerando así el deber de conservar la información bajo las condiciones de seguridad necesarias.
-
Deber de contar con políticas de tratamiento de datos
La Superintendencia señaló, que la Propiedad Horizontal al momento de la visita de inspección, no contaba con una Política de tratamiento de datos, así como con la adopción de un manual interno. Al respecto, también señaló que no se evidencia en algún momento la publicación de un aviso de privacidad. Asimismo, el aviso de videovigilancia, no cumplía con los requisitos establecidos en la Ley.
Nuevamente les recordamos que los famosos avisos «usted está siendo vigilado y monitoreado a través de nuestras cámaras de seguridad», no cumple con los requisitos exigidos en la normativa colombiana, ni en la Guía de Videovigilancia generada por la Superintendencia para estos efectos, la cual, puede consultarla aquí.
Finalmente, ambas sanciones suman más de 187 millones de pesos.