Sanción a Inversiones CMR S.A.S., al no conservar prueba de la aceptación de los términos y condiciones y de la política de privacidad.

Diferencias entre transmisión y transferencia de datos personales
30 diciembre, 2017
Es posible que terceros tengan acceso al contenido de la Historia Clínica: SuperSalud
17 enero, 2018

Sanción a Inversiones CMR S.A.S., al no conservar prueba de la aceptación de los términos y condiciones y de la política de privacidad.

Nota aclaratoria: Esta sanción aún no se encuentra en firme, debido a que Inversiones CMR S.A.S., interpuso recurso de apelación

“En el caso bajo análisis, el denunciante manifestó que como consecuencia del indebido tratamiento de sus datos personales y la exposición errónea de su información personal recolectada en la plataforma “Domicilios.com”, término involucrado en un escándalo en el que vio comprometidos su derechos fundamentales de hábeas data y al buen nombre por lo que solicitó a la Superintendencia que se adelantara una investigación sobre el particular.” Fuente: Superintendencia de Industria y Comercio”

Para ninguno de nosotros es una novedad que para dar inicio a un negocio cualquiera que se trate, uno de los primeros pasos es la creación de una página web. Por lo que esta sanción impuesta a Inversiones CMR S.A.S., persona jurídica la cual administra el portal web mencionado anteriormente, puede pasarle a cualquier empresa o persona. Antes de empezar con el relato de la sanción, quiero iniciar con las lecciones aprendidas de este caso:

Primero: Tener un texto de términos y condiciones y una política de tratamiento de datos en la página web, no significa que está cumpliendo al 100% la legislación, toda vez que el consentimiento o aceptación que la persona da en la página de dichos términos y políticas deben ser probadas, o consultadas posteriormente (Le puede interesar: Video. Recomendaciones para adaptar su sitio web a la ley de protección de datos personales)

Segundo: No sirve el famoso argumento en el cual, si la persona no da clic en la casilla de aceptar términos, el formulario no permite ser enviado. Si bien, es importante que la casilla no se encuentre premarcada, no es criterio suficiente para probar la autorización por parte del titular.

Tercero: Es importante que se genere un campo dentro del esquema de la base de datos que evidencie el registro de la aceptación de los términos y condiciones y política de tratamiento de datos personales, y en lo posible, dirección IP.

HECHOS:

  • El señor AA presentó una queja ante Inversiones CMR S.A.S., debido a que le fue enviado al correo electrónico de la señora BB, la confirmación de un pedido que él, había realizado en la página web.
  • Esto generó que la señora BB a quien erróneamente le llegó el correo electrónico se desplazará a la casa del señor AA, puesto que consideraba que el señor AA tenía su celular que se lo habían hurtado tiempo atrás, y que, a través de dicho dispositivo, había realizado el pedido.
  • Posteriormente el señor AA solicitó una serie de información a Inversiones CMR S.A.S., como: copia de la autorización para el tratamiento de datos personales, política de protección de datos personales, entre otros. Sin embargo, según la Superintendencia, la respuesta a la petición del señor AA fue incompleta toda vez que no le suministraron toda información que el señor había solicitado.

 

OBLIGACIONES INCUMPLIDAS

A partir de lo anterior la Superintendencia de Industria y Comercio inicia investigación contra Inversiones CMR S.A.S., por incumplimiento de algunas disposiciones de la Ley 1581 de 2012, que a continuación se enuncian:

1. Respecto a solicitar y conservar copia de la autorización previa e informar al titular de las finalidades de la recolección.

 En este caso, la Superintendencia de Industria y Comercio recuerda que la autorización es un elemento esencial para el tratamiento de los datos personales, por lo anterior, recalca que el titular antes de dar la autorización debe conocer las finalidades para las cuales serán tratados sus datos.

Por otro lado, la Superintendencia recalca que no basta solamente con solicitar la autorización, sino conservar la autorización, es decir, no basta con tener una casilla en la cual la persona acepte los términos y condiciones sino adicional la prueba de dicha autorización, por lo que manifiesta a renglón seguido, que no sirve un log que sólo registra la fecha de creación del usuario, y no se encuentra el campo de validación del check.

En palabras de la SIC “… se evidenció que en el esquema de la base de datos (tipología de la base) de Inversiones CMR S.A.S., no tiene un campo destinado para el registro de la aceptación de los términos y condiciones y política de tratamiento de datos personales

2. Respecto del deber de conservar la información bajo las condiciones de seguridad necesarias para impedir el acceso no autorizado.

El Laboratorio de Informática Forense de la Superintendencia de Industria y Comercio, encontró una serie de hallazgos cuando realizó la verificación técnica del proceso de migración de bases de datos, “en las cuales se unificaron las bases de datos de titulares registrados desde Cali, Medellín y Bogotá, así como la base de datos de HelloFood (…) Dentro de los hallazgos relevantes al estudio, se evidencia que en el proceso de migración se presentó una falla que generó el envío errado de datos personales en las confirmaciones de pedidos a usuarios que no lo habían realizado”

Para la Superintendencia, Inversiones CMR S.A.S., no adoptó las medidas necesarias para evitar que el sucediera el riesgo asociado al tratamiento, y que las medidas correctivas no se adoptaron a tiempo, con el propósito de evitar que el acceso no autorizado de los datos personales se siguiera generando.

3. Respecto del deber de tramitar las peticiones y reclamos presentadas por los titulares.

La Superintendencia recuerda que no se trata solo de dar respuesta a la solicitud realizada por parte del titular, sino de dar respuesta de fondo a la solicitud, es decir no puede evadir el objeto de la petición. Debe ser de forma completa y clara se respondan a los interrogantes planteados por el solicitante. En este caso, para la Superintendencia Inversiones CMR S.A.S., no dio respuesta de fondo a las solicitudes planteadas por el titular de la información.

4. Respecto del deber de informar a la Superintendencia violaciones a los códigos de seguridad y existencia de riesgos de administración de la información personal.

La Superintendencia de Industria y Comercio, expresa que, a través de la Circular 002 de 2015amplió el espectro de interpretación de los incidentes de seguridad, estableciendo que los responsables y encargados deben reportar ante el RNBD, “la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado a sus bases de datos dentro de los quince días hábiles siguientes posteriores al momento en que fueron detectados. Para la Superintendencia, Inversiones CMR S.A.S., incumplió con este deber, toda vez que no le informó, sobre el incidente de seguridad.

MULTA 

La multa que impuso la Superintendencia, a Inversiones CMR S.A.S., fue por un valor de 290 SMLMV, es decir, $213.937.930. Es importante aclarar, que esta sanción, puede ser apelada, 10 días siguientes de su notificación, por lo que posiblemente no se encuentre en firme, no obstante, no es posible corroborarlo en la página web de la Superintendencia.

 

Consulte la Sanción en: Resolución 78899 de 2017

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *