Conozca las novedades que trae la SIC y la Agencia Nacional de Defensa Jurídica del Estado en materia de protección de datos
septiembre 17, 2019
Sanciones por violación del Régimen de Protección de Datos Personales 2019 (3ra entrega)
septiembre 25, 2019
Presentamos la segunda entrega de tres, de las sanciones que durante este 2019 ha impartido la Superintendencia de Industria y Comercio por el incumplimiento al Régimen de Protección de Datos Personales.
También le puede interesar:
Sanciones por violación del Régimen de Protección de Datos Personales 2019 (1ra entrega)
1.TRAVEL LINK S.A.S
La Superintendencia de Industria y Comercio inició investigación administrativa en contra de TRAVEL LINK, la cual surgió por queja presentada por un titular de la información, la cual indica que fue contactado por la compañía, sin que existiera la autorización para el tratamiento de sus datos personales. Producto de la investigación adelantada por la SIC, se evidenció que los datos fueron obtenidos a través de un tercer producto ofertado por la organización y el cual utiliza de un sistema de referidos. La Entidad pudo concluir que la sociedad investigada no solicitó la autorización del titular y que si bien es cierto aportó prueba de la autorización, ésta no tiene carácter de previa, cómo lo menciona la ley. Por lo anterior, se impartió orden administrativa encaminada a que se implementen los mecanismos que permitan solicitar la autorización de los titulares. Seguidamente, la entidad pudo constatar que no se cumplió con el deber de informar al titular acerca de las finalidades a las que serían sometidos sus datos, ni los derechos que le asisten, por lo que la organización también en cumplimiento de la orden, debe implementar un procedimiento en donde se informe a los titulares el tratamiento de sus datos, el carácter facultativo a preguntas que versen sobre datos personales sensibles, así como los derechos que le asisten. Finalmente, exhortó a los representantes legales a que adopten medidas pertinentes, para que eviten hechos similares, se respeten los derechos de los titulares y se dé cumplimiento a las disposiciones legales dentro de las cuales se encuentra principio de responsabilidad demostrada. En este caso la sanción pecuniaria fue por un valor de DIECISÉIS MILLONES QUINIENTOS SESENTA Y DOS MIL TRESCIENTOS VEINTE PESOS ($16.562.320), frente a las órdenes administrativas se les concedió un término de 3 meses, así como el acreditamiento del cumplimiento de lo ordenado.
Resolución 9804 de 2019 en trámite
2. CONTACTO SOLUTIONS LTDA.
La Superintendencia de Industria y Comercio dio inicio a una investigación administrativa en contra de la Sociedad Contacto Solutions Ltda, lo anterior surge por una denuncia presentada que señalaba una presunta vulneración al régimen de Protección de Datos personales. Dado lo anterior, la Superintendencia requirió a la empresa para qué informará acerca de lo siguiente: (i) indicara cuales eran sus políticas, (ii) remitiera copia de los manuales de atención de quejas y reclamos, (ii) informará sobre si existían encargados de la información y qué datos recolectan, (iv) copia del manual de seguridad de la información y por último, (vi) los controles que permitieran establecer cómo obtuvo la información del titular de los datos. La Superintendencia pudo evidenciar que la investigada no obtiene autorización previa, expresa e informa de los titulares, multándola pecuniariamente por la infracción a las disposiciones contenidas en la ley. Finalmente, la entidad demostró, que la sociedad no tiene implementada una política de tratamiento, no cumplía con los requisitos en su aviso de privacidad y no tenía un manual interno de procedimientos, y tuvo en cuenta como criterio de graduación de la pena, el actuar negligente de la sociedad respecto del deber de conservar la información, bajo condiciones de seguridad necesarias, seguido a su negativa de solicitar la autorización. La sanción fue por un valor de DOSCIENTOS SESENTA Y CUATRO MILLONES NOVECIENTOS NOVENTA Y SIETE MIL CIENTO VEINTE PESOS ($264.997.120). Para concluir, se impartió orden administrativa para que la sociedad obtenga las autorizaciones, adecúen sus procedimientos, desarrolle una política de tratamiento de datos, ajuste el aviso de privacidad e implemente un manual interno.
Resolución 6074 de 2019 en trámite
3. DIRECTV COLOMBIA LTDA
Para el presente caso la Superintendencia de Industria y Comercio inició investigación administrativa en contra de la sociedad, lo anterior surge por una queja presentada por un titular, quien señaló que se acercó a las dependencias de DIRECTV con el fin de informarles que estaba siendo suplantada, pues nunca había adquirido ningún servicio con ellos, así mismo les manifestó que le incomodaba recibir llamadas y recibir correos electrónicos en donde promocionan sus servicios. La Entidad pudo evidenciar que aún después de que la titular de los datos personales, informará sobre qué estaba siendo víctima de suplantación, siguió recibiendo información sobre servicios, por lo que la conducta de la sociedad investigada no estuvo presta a garantizar el derecho del titular de suprimir sus datos y que tardó aproximadamente 3 meses en efectivamente eliminarlos. Para la graduación de la conducta, se tuvo en cuenta la reincidencia en la comisión de la infracción que se había dado en el expediente 14213327, la sanción fue por una suma de CIENTO SESENTA Y CINCO MILLONES SEISCIENTOS VEINTE TRES MIL DOSCIENTOS PESOS ($ 165.623.200),
Resolución 5501 de 2019 en trámite
4. CENTRAL MOTOR AMERICA
La Superintendencia dio apertura a una investigación administrativa, al conocer de una denuncia de un titular, que señala que fue contactado por la sociedad a través de su correo electrónico, enviándole información publicitaria, sin embargo, manifiesta que nunca autorizó el envío de esa información y que en el mensaje enviado no se puede evidenciar de manera clara el procedimiento para suprimir su dirección de correo, así mismo, manifestó en su queja que presentó derecho de petición sin que esté fuera resuelto. Por lo anterior, la Superintendencia solicitó a la sociedad lo siguiente: (i) informar acerca de la información obtenida del titular, (ii) indicar si el titular en efecto radicó derecho de petición, (iii) señalar sí se informó acerca de las finalidades del tratamiento, (iv) comunicar si cuentan con la autorización del titular (v) señalar sí la información del titular la hacen en calidad de responsables o encargados, (vi) informar acerca del procedimiento y políticas de seguridad así como los controles que eviten el envío de correos masivos, por último (vii) indicar cuáles son las políticas de tratamiento implementadas. Para el efecto, la Superintendencia pudo constatar que la sociedad no acreditó el haber implementado y puesto en conocimiento de sus trabajadores para la fecha del envío del correo electrónico, medidas técnicas humanas y administrativas que sean necesarias para otorgar seguridad a los registros, pues se permitió el acceso de aproximadamente 196 correos electrónicos personales, de los cuales 69 se encontraban junto al nombre del titular. Frente a la autorización para el tratamiento de datos, la sociedad no demostró contar con el soporte correspondiente, ni mucho menos la evidencia del consentimiento requerido para divulgar la información personal de las cuentas de correo electrónico. Por último, no emitió respuesta alguna al derecho de petición instaurado, incumpliendo con su deber de responder de manera clara lo solicitado o reclamado por el titular. Como criterio de graduación se tuvo en cuenta la aceptación de la comisión del a infracción. La sanción impuesta fue por un valor de NOVENTA Y UN MILLONES NOVENTA Y DOS MIL SETECIENTOS SESENTA PESOS ($ 91.092.760).
Resolución 6369 de 2019 en trámite
