Sanciones por violación del Régimen de Protección de Datos Personales 2019 (1ra entrega)

Presentamos la primera entrega de tres, de las sanciones que durante este 2019 ha impartido la Superintendencia de Industria y Comercio por el incumplimiento al Régimen de Protección de Datos Personales.

También le puede interesar:

Sanciones por violación del Régimen de Protección de Datos Personales 2019 (Segunda entrega)

1. FACEBOOK

La Superintendencia de Industria y Comercio para este caso en concreto decidió de oficio impartir orden administrativa a Facebook. Lo anterior, de acuerdo a la información recibida por su homologa “Facebook Ireland Limited” que da cuenta de la falla de seguridad suscitada en el caso de Cambridge Analytica y que afectó la información de 146.697 personas ubicadas en Colombia; La Orden Administrativa busca fortalecer las medidas de seguridad de los usuarios que utilizan dicha red social, en especial las siguientes:

• La implementación de un programa integral de seguridad de la información, que garantice, la seguridad, confidencialidad e integridad de los datos personales, dicho programa debe constar por escrito y debe ser sujeto a pruebas periódicas para evaluar su efectividad;

• La implementación de un programa de gestión y manejo de violaciones de seguridad en datos personales que contemple procedimientos para informar a la autoridad colombiana y a  los titulares aquellos incidentes que afecten la confidencialidad de los datos;

• La modificación de sus configuraciones de privacidad que le permitan a los usuarios controlar la información que desean compartir con sus aplicaciones, conocer las aplicaciones con las cual es comparte información y acceder a sus políticas de Protección de Datos o de privacidad.

• La implementación de medidas que garanticen de manera efectiva la devolución o supresión de los datos personales una vez finalizado el tratamiento de los mismos por parte de los terceros cómo son aliados comerciales o desarrolladores de aplicaciones.

• La realización de una auditoría independiente que certifique que cuenta con las medidas técnicas, humanas , administrativas, contractuales y de cualquier otra naturaleza que sean necesarias para otorgar seguridad a los datos personales. Esta deberá realizarse dentro de los cuatros meses siguientes a la ejecutoria del acto administrativo y durante los próximos 5 años.

Resolución 1321 de 2019 en trámite.

2. ABASTECIMIENTO, ASESORÍAS Y ACOMPAÑAMIENTO GAS NATURAL S.A.S

La Superintendencia de Industria y Comercio inició investigación administrativa, la cual surgió a través de una denuncia presentada por un titular, que aducía que esta compañía se comunicó en varias oportunidades con el fin de realizar la revisión y mantenimiento de los equipos de gas, a pesar de que previamente se había comunicado con el proveedor del servicio GAS NATURAL FENOSA, quien le indicó que la revisión obligatoria ya se había realizado, motivo por el cual no se había autorizado efectuar nuevamente;  para este caso la Superintendencia, a través de las pruebas practicadas evidenció que: (i) la compañía realizaba tratamiento de datos personales de empleados y clientes sin contar con la debida autorización y (ii) que no informaba las finalidades del tratamiento de los datos personales, por lo tanto, la entidad impartió las siguientes medidas administrativas: (i) le ordenó a la Sociedad solicitar y conservar la autorización otorgada por los titulares (ii) le ordenó realizar una auditoría certificada por el Revisor Fiscal o quien haga sus veces para verificar si la base de datos de clientes cuenta con la autorización en términos legales (iii) ordenó la eliminación de toda la información que se haya obtenido sin la autorización del titular y (iv) ordenó informar a los titulares de manera previa las finalidades respecto del tratamiento de sus Datos Personales.

Resolución 2908 de 2019 en trámite.

3. BANCOLOMBIA S.A

En este caso La Superintendencia inició investigación administrativa en contra de Bancolombia, al conocer de una denuncia instaurada por un usuario, quien manifestó que presentó un reclamo con el fin de que no fuera contactado por la entidad para el ofrecimiento de productos relacionados con su tarjeta de crédito. A pesar de recibir respuesta positiva por parte de la entidad, más adelante volvió a recibir llamadas. En este caso, el ente regulador pudo evidenciar que no se garantizó el derecho de habeas data relacionado con la supresión o disposición final del dato, por lo que procedió a sancionar a la entidad bancaria a pagar la suma de OCHENTA Y DOS MILLONES OCHOCIENTOS ONCE MIL SEISCIENTOS PESOS ($82.811.600) equivalente a cien SMLMV, así mismo exhortó a los representantes legales a que adopten medidas verificables y pertinentes para que no se repitan hechos como el denunciado, respetar los derechos de los titulares y aplicar el principio de responsabilidad demostrada.

Resolución 4082 de 2019 en trámite.

4. BANCOLOMBIA S.A.

En el presente asunto la Superintendencia dio apertura a una investigación administrativa en contra de BANCOLOMBIA S.A y BRM S.A cuyo punto de partida es una resolución remitida por el Grupo de Habeas Data, la cual señala que una persona recibió una llamada a pesar de haber solicitado la supresión de sus datos a la entidad bancaria. En su pronunciamiento de descargos, BRM S.A manifestó que ellos procedieron a bloquear de los sistemas de información, el número telefónico del titular y que no les consta que recibiera llamada posteriormente por parte de ellos. BANCOLOMBIA por su parte adujo que han desarrollado una serie de actuaciones tendientes no solo al cumplimiento del régimen jurídico, sino al principio de responsabilidad demostrada en materia de protección de datos, teniendo procedimientos para informar al encargado acerca de la supresión de los datos de los titulares y que los riesgos derivados del nuevo contacto con el titular, no ostenta una criticidad tomando las medidas para subsanar la falta. La Superintendencia evidenció que el banco, vulnera el derecho al habeas data del titular al no proceder a eliminar el número telefónico de sus bases de datos y al no informar al encargado del tratamiento, así mismo, señaló que en el caso BRM al no tener elementos que infieran que el contacto telefónico surgió por parte de esta entidad, decidió absolver del cargo formulado. En el presente asunto no fue tenido en cuenta el principio de responsabilidad demostrada para la atenuación y graduación de la conducta, ya que para la fecha de los hechos no se acreditó los procedimientos al interior de la entidad. La Superintendencia sancionó pecuniariamente a la entidad bancaria, con una suma de CIENTO SESENTA Y CINCO MILLONES SEISCIENTOS VEINTITRÉS MIL DOSCIENTOS ($ 165.623.200)  y la exhortó a la aplicación del principio de responsabilidad demostrada.

Resolución 4086 de 2019 en trámite.

5. BANCO FALABELLA

En este caso la Superintendencia inició investigación en contra de Falabella, al conocer de una denuncia presentada por un titular, el cual señala que presentó una serie de solicitudes de corrección de su información personal y señaló que era su voluntad no seguir recibiendo información de prospección comercial, a pesar de lo anterior el titular no recibió respuesta alguna, para el efecto el ente regulador pudo evidenciar que existieron más de 8 requerimientos relacionados con la supresión de los datos que realizó el titular, así mismo que transcurrió un año y cinco meses para que la sociedad procediera a eliminar los datos, por lo que se vulnero el pleno y efectivo ejercicio del derecho de Habeas Data al titular, frente a los criterios de graduación, se señalo que resulta grave que el titular debió insistir en más de ocho (8) oportunidades y que solamente se procedió a la eliminación de su dato con la orden emitida por la Superintendencia, en este caso la sanción pecuniaria fue de CUATROCIENTOS NOVENTA Y SEIS MILLONES OCHOCIENTOS NOVENTA Y NUEVE MIL SEISCIENTOS PESOS ($ 496.899.600) equivalente a 650 SMLMV, así mismo impartió orden administrativa para la adopción de políticas internas que permitan suprimir de manera definitiva la información, se responda de manera oportuna las consultas y reclamos de los titulares y por último, poner a disposición de los titulares mecanismos para presentar solicitudes de eliminación de la información o revocatoria de la autorización, lo anterior deberá ser acreditado a través de una certificación emitida por un tercero imparcial, así mismo ordenó que realizara una auditoría externa para verificar que se diera cumplimiento a lo ordenado.

Resolución 9766 de 2019 en trámite.

6. RAPPI S.A.S

 En el presente caso, la Superintendencia conoció de una denuncia interpuesta por una persona, en donde aduce que presentó petición ante la entidad con el fin de que se suprimieran sus datos personales y así evitar el envió de mensajes de texto a su teléfono celular y correo electrónico, así mismo se evidenció de acuerdo a previas actuaciones adelantadas por el grupo de Habeas Data, que la entidad no contaba con la respectiva autorización para el tratamiento de datos personales, por lo que el responsable del tratamiento, desatendiendo en forma clara y suficiente el ejercicio del derecho de revocatoria, frente a la autorización para el tratamiento de datos personales. La entidad sancionatoria afirmó que no puede deducirse que los titulares, aunque de forma voluntaria entreguen sus datos personales, hayan sido informados de todo lo que ordena el artículo 12 de la ley 1581 de 2012. Para el caso objeto de examen, no existió prueba en donde el titular no solamente haya aceptado los términos y condiciones sino que también haya otorgado su autorización. Frente a los criterios de graduación se pudo evidenciar que en efecto la entidad no atendió efectivamente la solicitud de supresión de los datos personales. La Superintendencia impuso una sanción pecuniaria por un valor de DOSCIENTOS NOVENTA Y OCHO MILLONES CIENTO VEINTIÚN MIL SETECIENTOS SESENTA PESOS ($ 298.121.760) e impartió orden administrativa para que en el término de 3 meses se adopten políticas internas efectivas tendientes a que se abstengan de enviar mensajes de texto correos electrónicos o comunicaciones por cualquier tipo, se establezca la identidad plena de las personas visitantes a su página web,  se haga conservación de la prueba de la autorización, se supriman los datos de los titulares cuya información es recolectada, se ponga a disposición de los titulares mecanismos gratuitos para presentar solicitudes y adicional a lo anterior se deberá implementar un mecanismo de monitoreo de lo anteriormente señalado, esto se deberá acreditar mediante certificación de cumplimiento, emitida por una persona nacional o extranjera, imparcial y especializada en los temas que les involucra, por último señala que debe realizar una auditoría externa enfocada a la verificación de la aplicación de las medidas.

Resolución 9800 de 2019 en trámite.