Presentamos la tercera entrega de las sanciones que durante este 2019 ha impartido la Superintendencia de Industria y Comercio por el incumplimiento al Régimen de Protección de Datos Personales.

También le puede interesar:

Sanciones por violación del Régimen de Protección de Datos Personales 2019 (2da entrega)

1. SOCIALATOM COLOMBIA S.A.S: En el presente asunto la Superintendencia de Industria y Comercio al conocer sobre una presunta vulneración a las normas de Protección de Datos personales, decidió oficiosamente realizar visita de inspección, en la cual se evidenció (i) que la sociedad no contaba con una política de tratamiento de datos, (ii) no contaba con un aviso de privacidad, (iii) no tenía implementado un manual de políticas y procedimientos, y por último, (iv) no cumplía con el deber de informar a sus empleados sobre la finalidad del tratamiento de sus datos. La sanción fue por un valor de CINCUENTA Y CUATRO MILLONES QUINIENTOS CUARENTA Y SEIS MIL TRESCIENTOS OCHENTA PESOS M/CTE ($54.546.380). Impartió órdenes administrativas tendientes a: 1º solicitar y conservar copia de la respectiva autorización otorgada por los titulares, 2º a eliminar la información que se haya obtenido sin la autorización del titular y 3º a informar a los titulares acerca de las finalidades del tratamiento.

Resolución 5477 de 2019 en trámite.

GALVIS ARQUITECTOS EU: La Superintendencia de Industria y Comercio decidió iniciar investigación administrativa al conocer del reporte de un incidente de seguridad, en el cual la Sociedad dio a conocer el hurto de algunos de sus computadores y discos externos en donde se almacenaba información de sus clientes, proveedores, socios, empleados y terceros. Al conocer lo anterior, la Superintendencia solicitó lo siguiente: (i) información acerca de las bases de datos que fueron objeto del incidente, (ii) información respecto de cuántas personas fueron afectadas, (iii) información acerca de las medidas de seguridad que se tenían implementadas, (iv) información acerca de las medidas que se adoptaron para minimizar el impacto, y por último, (v) información acerca de las medidas correctivas implementadas  para que el incidente no se vuelva a presentar. Agotada la etapa anterior, la entidad evidenció, que en efecto la investigada no contaba con medidas y procedimientos de seguridad que garantizaran la adecuada protección de los datos personales, adicionalmente se encontró probado, el actuar negligente respecto de dar respuesta oportuna a los requerimientos de la Superintendencia, razón por la cual se exhorto al representante legal la aplicación del principio de responsabilidad demostrada, con miras a que se garantice, el derecho a conocer, actualizar y rectificar los datos. La sanción fue CINCO MILLONES SETECIENTOS NOVENTA Y DOS MIL OCHOCIENTOS DOCE PESOS ($ 5.792.812)

Resolución 6960 de 2019 en trámite  

CENTRO EDUCATIVO SUPERIOR: La Superintendencia de Industria y Comercio dio apertura a una investigación administrativa, la cual surgió por queja presentada por un titular de la información, el cual indica que la institución educativa, no contaba los controles señalados en la ley, como son: la política de tratamiento de datos, el manual de procedimientos y cláusulas de confidencialidad para el tratamiento de datos suscritos entre empleados y docentes.Por lo anterior, la Superintendencia solicitó a la investigada que se pronunciara respecto de: (i) la autorización para el tratamiento de datos personales sensibles de los estudiantes, (ii) la adopción de las políticas de tratamiento de datos, (iii) la adopción de un manual de atención de peticiones quejas – reclamos, y por último, (iv) las políticas internas de seguridad. Agotado lo anterior, y al no obtener respuesta clara sobre lo solicitado,  La Superintendencia  pudo establecer que al momento del requerimiento de la información, la institución educativa, no contaba con una política de tratamiento de información, vulnerando el derecho fundamental del habeas data de sus titulares, asimismo se evidenció que el centro educativo, incumplió con su deber especial del tratamiento de información personal de niños, niñas y adolescente en cuanto al deber de informar al momento de la recolección, el carácter facultativo de las respuestas sobre datos sensibles. La sanción fue por un valor de UN MILLON DOSCIENTOS CINCUENTA Y SEIS MIL DOSCIENTOS TREINTA PESOS ($1.256.230), exhortando a la investigada a definir las finalidades del tratamiento de datos y  a modificar el modelo de autorización implementado.

Resolución 5848 de 2019 en trámite

UBER COLOMBIA S.A.S: Para el presente asunto la Superintendencia de Industria y Comercio impartió orden administrativa en contra de Uber Colombia, lo anterior de acuerdo a la información dada a conocer por parte del Director Ejecutivo de Uber, en la que se señala acerca de un incidente de seguridad del año 2016, el cual afecto alrededor de 57 millones de usuarios, de los cuales 267.000 eran personas residentes en Colombia, razones suficientes, para ordenar a las Sociedad a la implementación de una serie de medidas y procedimientos, que consisten, en: (i) Mejorar las medidas de seguridad de la información (ii) El desarrollo de un programa integral de seguridad de la información, (iii) La implementación de un programa de gestión y manejo de incidentes de seguridad, (iv) La implementación de un programa de capacitación y entrenamiento para sus empleados, (v) La puesta en marcha de un sistema de monitoreo para verificar en la práctica que las medidas de seguridad son suficientes, y por último, (vi) La ejecución de una auditoría independiente.

Resolución 21478 de 2019 en trámite