Las sanciones de la SIC en materia de protección de datos personales, sin duda alguna, deben servir a las organizaciones para que identifiquen los potenciales riesgos de ser sancionados, evalúen sus procedimientos internos y revisen que estan haciendo bien o mal. En este caso en cuestión, tener un programa integral de protección de datos personales, incorporando presuntamente el principio de responsabilidad demostrada, no garantiza en absoluto que se esté cumpliendo con  la legislación en protección de datos personales, si las políticas no son eficientes ni efectivas.

Algo que a veces olvidan las organizaciones, en el momento del cumplimiento de la norma, es que al final del día, la SIC validará que la Organización no esté en un posible incumplimiento de los deberes establecidos  en el artículo 17 y 18 de la Ley 1581 de 2012. Permítanme esta mirada tan reduccionista, pero es que muchas organizaciones adoptan políticas, acuerdos, contratos, etc, autorizaciones, o se enfocan en otras cuestiones, sin garantizar lo básico, y son los deberes establecidos en los artículos mencionados anteriormente, y debido a esto, dos de los principales motivos de sanción desde el 2014 que la SIC inició imponiendo sanciones, a hoy 2020, sigue siendo los mismos: no solicitar autorización para el tratamiento de datos personales o no conservar evidencia de la autorización y no garantizar el pleno y efectivo ejercicio del derecho de hábeas data, que en la mayoría de las sanciones impuestas, se traduce en no suprimir datos personales cuando así lo solicita el titular, o no contestar en los tiempos de ley las consultas y reclamos formulados por el titular.

En el presente caso, los deberes que incumplió la entidad financiera, fueron los siguientes:

1. Deber de solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización para el tratamiento de datos personales.

  • La entidad financiera enviaba información sobre prospección comercial a un número de celular, cuyo titular no había suministrado la autorización para que Colpatria tratara sus datos personales.
  • Colpatria manifestó que la autorización si existía, y que tenía  (tiene) un convenio comercial suscrito con ETB donde podía ofrecer estos servicios a los clientes de ETB, y que dicho titular suministro la autorización donde autorizaba la transferencia de sus datos personales a los aliados comerciales.
  • No obstante, al validar la autorización que suministró el titular a ETB, se pudo constatar que había marcado la casilla NO autorizo el tratamiento de los datos personales.
  • En este caso, la SIC manifiesta que COLPATRIA, debió hacer las verificaciones correspondientes a efectos de asegurarse de contar con la autorización del titular, para que pudiera demostrar su deber diligente en relación con la información que administra.
  • La SIC le ordena a la entidad financiera implemente un procedimiento interno con el fin de verificar, previo al tratamiento de los datos personales administrados, si los datos personales compartidos por terceros han sido autorizados por sus respectivos titulares de manera libre, previa y expresa e informada, y que se encuentre evidencia de dicha autorización.
  • La SIC a través del grupo de trabajo de investigaciones para determinar si hay merito para iniciar una investigación administrativa de caracter sancionatorio contra ETB.

2. Deber de garantizar al titular en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. 

  • El titular envió una comunicación a Banco Colpatria en la cual solicitó la constancia o prueba de la autorización para el tratamiento de datos personales que presuntamente el banco debería tener para poder tratar sus datos personales.
  • Sin embargo, el Banco continuó enviando comunicaciones a su celular del titular.
  • El banco aclara que pese a que se eliminó los datos del aplicativo administrador de los datos personales, el dato personal se encontraba dentro de un conjunto de registros de una base  para cargue masivo de sms, lo que generó que se volviera a enviar información al titular, aunque posteriormente se actualizó eliminando dicha información.
  • La SIC manifestó que había una contradicción entre lo que el Banco declaraba, y lo que demostraba, toda vez que, había manifestado que eliminó la información del titular, sin embargo, la declaración de eliminación, no concuerda con el log o prueba técnica que evidencia la fecha en que realmente se eliminó la información, sino, que el banco la eliminó hasta el momento que la SIC a través de una orden administrativa impartida.

Aplicación del Principio de Responsabilidad Demostrada

La entidad financiera aporta una serie de de documentos que dan cuenta del cumplimiento del principio de responsabilidad demostrada. No obstante, la SIC rechaza esta afirmación debido a que con su actuar «negligente» se evidencia que no ha cumplido con algunas de las obligaciones establecidas en la ley.

La SIC es enfática en afirmar que no es suficiente demostrar que el Banco tiene medidas «robustas» conforme a su tamaño empresarial, sino que adicionalmente se requiere que se materialice en la adopción,  de esas medidas de mitigación de los riesgos asociados a un indebido tratamiento de los datos, relacionados con el objeto de investigación, debido a que no permitieron que se realizará un tratamiento  no autorizado de los datos personales.

Sanción 

  • La sanción es de $356.070.000 de pesos colombianos.
  • La SIC le ordena a la entidad financiera implemente un procedimiento interno con el fin de verificar, previo al tratamiento de los datos personales administrados, si los datos personales compartidos por terceros han sido autorizados por sus respectivos titulares de manera libre, previa y expresa e informada, y que se encuentre evidencia de dicha autorización.
  • Realizar una auditoría externa a efectos de establecer si esta última cuenta con autorización previa expresa e informada de los titulares de la información que fue entregada a la entidad financiera.

 

Lecciones de esta sanción

  • Un convenio o acuerdo comercial no es suficiente. Se requiere además de un contrato de transmisión de datos personales, establecer procedimientos internos tendientes a validar que en efecto las autorizaciones que se presumen existentes, en efecto existan, además que en sus finalidades quede expresamente señaladas las finalidades del tratamiento de la información, y también los casos de transmisión.
  • Tener incorporado el principio de responsabilidad demostrada no es suficiente si la organización no tiene adoptado herramientas, procedimientos y mecanismos que permitan validar que las políticas adoptadas estan siendo efectivas para los propósitos perseguidos. Ej: De nada me sirve tener un procedimiento de consultas y reclamos, si alguien solicita darse de baja de una base de datos, le contesto que sí, pero  internamente no estoy haciendo el procedimiento para dicho fin, o en algunos casos, no hay comunicación entre las áreas respectivas; el área jurídica puede responder que sí, pero nunca se le notificó al área de tecnología que debía suprimir ese dato.
  • Debe pensarse en un gobierno de datos personales. En este caso, se eliminó de una de las bases de datos como manifiesta la entidad financiera, pero no de la base de datos donde se enviaban mensajes de texto. En este caso, es importante por tal razón  tener un mapping data flow, o por lo menos tener claro todo el ciclo de tratamiento de los datos personales y donde se encuentran almacenados. Debe existir una comunicación o por lo menos articulación de las bases de datos. Debido a que, si nos llega una solicitud de supresión del dato, deberé tener mi inventario de bases de datos e identificar en cuáles de esas bases de datos esta el dato que esta solicitando la supresión.
  • De todas formas, desde mi criterio personal, la SIC impuso una carga desproporcionada a Colpatria, y en este caso, el Responsable es el que tenía la carga de contar y validar con la autorización para el tratamiento de datos personales, una de las funciones del contrato de transmisión de datos personales, precisamente es distribuir las responsabilidades que tienen las partes en el marco del tratamiento de datos personales.

 

Link de la Resolución No 107020 de 2020