Superintendencia de Industria y Comercio

Top bar

logo presidencia

Logo SIC y Gobierno de Colombia

Se encuentra usted aquí

Tramites y servicios menu secundario

Decisiones de Apelación 2022

Septiembre


Resolución Nº 67740 del 29 de septiembre de 2022

Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió, ni le exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para dar inicio a una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado".


Resolución Nº 67732 del 29 de septiembre de 2022

La vulneración del derecho de habeas data no solo afecta al Titular, también pone en riesgo los derechos de toda la sociedad. Por esto, las sanciones no pueden ni deben tratarse como una cuestión insignificante o de poca cuantía, ni mucho menos como si las incidencias del proceso lo convirtieran en uno de indemnización de daños y perjuicios.


Resolución Nº 65419 del 22 de septiembre de 2022.

Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las empresas deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución Política Nacional.

Resolución 61199 de 7 de septiembre de 2022 (BAGUER S.A.S)

La Ley Estatutaria 1266 de 2008 es clara en señalar que esta entidad puede iniciar las actuaciones administrativas que considere pertinentes. Ello significa que no todo debe tomar el camino del proceso administrativo sancionatorio porque ello dependerá de las particularidades de cada caso. En otras palabras, la decisión de iniciar un proceso sancionatorio hace parte de la facultad discrecional de esta entidad.


Resolución 60446 de 5 de septiembre de 2022 (BANINCA S.A.S)

Las órdenes son medidas necesarias para, entre otras, hacer efectivo el derecho de habeas data y que los Responsables y Encargados del Tratamiento cumplan correctamente lo previsto en regulación sobre Datos Personales. Lo anterior con el fin de garantizar el debido Tratamiento de esa información y el respeto de los derechos de los Titulares de los datos.

Agosto



Resolución 58608 de 30 de agosto de 2022 (Comunicación Celular S.A.-Comcel S.A.)

La sociedad investigada vulneró el derecho de Habeas Data de los ciudadanos al utilizoar la Base de Datos de portabilidad numérica, que contiene Datos personales privados, y contactar a los Titulares de esa Base de Datos sin contar con la Autorización previa, expresa e informada para ese nuevo Tratamiento (diferente al de la portabilidad numérica). A su vez, tampoco le informó a los Titulares la finalidad del Tratamiento y desconoció la finalidad original, única y restrictiva destinada por la ley para esa Base de Datos.


Resolución 58605 de 30 de agosto de 2022 (Rappi S.A.S)

Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución Política Nacional


Resolución 56166 de 23 de agosto de 2022 (Publicar Editores S.A.S)

La Superintendencia de Industria y Comercio solo puede hacer lo que le permite la ley. No es competencia de esta Delegatura declarar la prescripción de un derecho. Esa potestad recae únicamente en la jurisdicción ordinaria.


Resolución 56120 de 23 de agosto de 2022 (Negocios Estratégicos)

Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió, ni le exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para iniciar una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado"


Resolución 56114 de 23 de agosto de 2022 (Garantías Comunitarias Grupo S.A.)

La Superintendencia de Industria y Comercio solo puede hacer lo que le permite la ley. No es competencia de esta Delegatura declarar la prescripción de un derecho. Esa potestad recae únicamente en la jurisdicción ordinaria.


Resolución 54869 de 17 de agosto de 2022 (Marketing Personal S.A.)

La eliminación de la información negativa reportada ante las centrales de riesgo no significa que hayan desaparecido las eventuales irregularidades en que incurrió la investigada, como tampoco la exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para dar inicio a una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado".


Resolución 54902 de 17 de agosto de 2022 (Corredor Empresarial S.A.)

Cuando alguien suministre información personal de otro Titular a un tercero (en este caso la entidad financiera), esta debe ser lo suficientemente diligente para obtener la Autorización por parte del Titular de la información (en este caso la “referencia personal”), pues, de no adelantar esta labor se estaría realizando una actividad ilegal en razón a que no cumple con los requisitos legales para ejercer ese Tratamiento.


Resolución 53783 de 11 de agosto de 2022 (Credijamar S.A.)

El numeral 1 del artículo 9 de la Ley 1266 de 2008 establece que, los usuarios de la información deberán: “1. Guardar reserva sobre la información que les sea suministrada por los operadores de los bancos de datos, por las fuentes o los titulares de la información y utilizar la información únicamente para los fines para los que le fue entregada (...)”. En este caso, la investigada no aportó documento idóneo que demostrara que contaba con la Autorización del Titular para el Tratamiento de su información. En su lugar, allegó un formato de Autorización y consulta en centrales de riesgo sin diligenciar y sin la firma del Titular.


Resolución 53786 de 11 de agosto de 2022 (Distribuidora Cristalería la Mejor)

Las órdenes no son sanciones sino medidas PREVENTIVAS necesarias para, entre otras, hacer efectivo el derecho Habeas Data o para que los Responsables del Tratamiento y Encargados del Tratamiento cumplan correctamente los previsto en regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los Titulares de los datos. De otro lado, sin seguridad no hay debido Tratamiento de Datos personales. Así las cosas, los Responsables del Tratamiento deben ser responsables, diligentes y muy profesionales con el Tratamiento seguro de los mismos.


Resolución 53415 de 10 de agosto de 2022 (Distribuidora Los Coches la Sabana S.A.S.)

Sin seguridad no hay debido Tratamiento de Datos Personales. La seguridad genera confianza, si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata, profesional e inteligente. En este caso, la investigada realizó divulgación no autorizada del número de teléfono del denunciante y a su vez, este recibió a su correo electrónico Datos no autorizados de los clientes de la investigada;


Resolución 53150 de 9 de agosto de 2022 (Inversiones Jalbor S.A.S.)

Para realizar actividades de gestión del cobro se debe contar con la Autorización del Titular de la que trata la Ley 1581 de 2012 -no la Ley 1266 de 2008-. Es importante recordar que los deberes de solicitar la Autorización previa al tratamiento de los datos y el de informar la finalidad para la cual son recolectados, se encuentran estrechamente relacionados, en la medida que el titular autoriza el tratamiento de su información de acuerdo con la finalidad que se le vaya a dar a la misma. Al mismo tiempo deberá informársele al Titular respecto de los derechos que le asisten.

Julio



Resolución 48663 de 27 de julio de 2022 (Empresa de Telecomunicaciones de Bogotá S.A. E.S.P)

La suplantación de identidad consiste en hacerse pasar por otra persona para diversos propósitos: engañar a terceros, obtener bienes y servicios con cargo a la persona suplantada, incurrir en fraudes, etc. Aunque una situación de suplantación afecta a la persona suplantada de diferentes maneras, desde la perspectiva de datos personales la SIC solo puede actuar si la información no es veraz ni comprobable -17 y 18 de la Ley Estatutaria 1266 de 2008-, caso en el cual la Fuente debe abstenerse de realizar el reporte.


Resolución 48693 de 27 de julio de 2022 (Acevedo y Abogados Asociados S.A.S.)

La potestad sancionatoria de la administración no es perpetua, sino que debe ejercerse dentro de los términos previstos en la ley. Al respecto, el artículo 52 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, establece que: "Salvo lo dispuesto en leyes especiales, la facultad que tienen las autoridades para imponer sanciones caducas a los tres (3) años de ocurrido el hecho, la conducta u omisión que pudiere ocasionarlas, término dentro del cual el acto administrativo que impone la sanción debe haber sido expedido y notificado. (...)"


Resolución 48694 de 27 de julio de 2022 (Instituto Colombiano de Crédito Educativo y Estudios en el Exterior -Icetex)

La veracidad de los datos es una exigencia mínima para que los sistemas de información sean confiables y para que no afecten los derechos de las personas. No es útil para la sociedad acceder a información que no sea de calidad, ni mucho menos es consistente con los postulados constitucionales que se circulen datos erróneos, incompletos, inexactos, desactualizados o falsos sobre las personas. Por su parte, la suplantación de identidad afecta de manera significativa el principio de veracidad, en la medida que para reportar información negativa ante los operadores de información es indispensable determinar la existencia de la obligación y que se encuentre en cabeza de la persona sobre la cual se realiza dicho reporte.


Resolución 48699 de 27 de julio de 2022 (Área Metropolitana del Centro de Occidente)

Las órdenes no son sanciones sino son medidas necesarias para, entre otras, hacer efectivo el derecho Habeas Data o para que los Responsables del Tratamiento y Encargados del Tratamiento cumplan correctamente los previsto en regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los Titulares de los datos. Además, esta Superintendencia tiene competencia para impartir órdenes tanto a entidades públicas como a entidades privadas.


Resolución 48700 de 27 de julio de 2022 (Grupo Consultor Andino)

El comprador de la cartera debe realizar un proceso de investigación (DUE DILIGENCE) con miras a establecer la situación legal y real de lo que desea adquirir con el objetivo de determinar, evaluar y cuantificar las posibles contingencias de una eventual negociación. En materia de datos personales, por ejemplo, un DUE DILIGENCE debe establecer, entre otras, lo siguiente: (i) La veracidad de la información teniendo en cuenta que esta debe ser comprobable. (ii) La legitimación sobre el tratamiento de datos para determinar si quien los posee los adquirió lícitamente y qué puede hacer con los mismos. (iii) Verificar que quien trata los datos está facultado para transferirlos a terceros. (iv) Determinar, en caso de reportes negativos a centrales de información financiera, que quien vende la cartera realizó de manera correcta la notificación previa a que se refiere el artículo 12 de la Ley Estatutaria 1266 de 2008.


Resolución 48702 de 27 de julio de 2022 (Activos y Finanzas S.A.)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si bien es obligación de los deudores pagar oportunamente sus obligaciones dinerarias, al mismo tiempo quien realiza un reporte negativo debe observar el debido proceso señalado en el nombrado artículo. En este caso, la investigada incumplió con este deber, en la medida que no allegó a la presente actuación administrativa copia de la comunicación previa al reporte realizado frente a la obligación reportada a nombre del Titular.


Resolución 48714 de 27 de julio de 2022 (Aerovías de Integración Regional S.A. Aires S.A. y/o Latam Airlines Colombia S.A.)

No responder de manera respetuosa, completa y de fondo, dentro del término legal establecido, un reclamo o consulta hecho por un Titular de información, vulnera su derecho fundamental de Habeas Data, impidiendo que conozca, actualice o rectifique la información que sobre él se tenga en una base de datos o archivo. Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. De ninguna manera se debe tolerar como un comportamiento “normal” el incumplimiento de las normas, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los datos personales.


Resolución 48716 de 27 de julio de 2022 (Q10 Soluciones S.A.S.)

Sin seguridad no hay debido Tratamiento de los Datos Personales. En este caso, la investigada no contaba con un manual de políticas de seguridad de la información que describiera las medidas técnicas, humanas y administrativas a fin de evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información administrada, conforme con el tipo de Bases de Datos que trata en calidad de Responsable del Tratamiento y no adoptó medidas eficientes con el fin de conservar la información bajo sólidas medidas de seguridad.


Resolución 48717 de 27 de julio de 2022 (Credivalores Crediservicios S.A.)

Es imperativo -no facultativo- que las Fuentes de Información garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución Política.


Resolución No. 48664 de 27 de julio de 2022 (RF Encore S.A.S.)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y se incurre en un tratamiento ilícito de datos personales.


Resolución 46657 de 22 de julio de 2022 (Refinancia S.A.S.)

La vulneración del Derecho Fundamental de Habeas Data no solo afecta al Titular, también pone en riesgo los derechos de toda la sociedad. Por esto, las sanciones mencionadas no pueden ni deben tratarse como una cuestión insignificante o de poca cuantía, ni mucho menos como si las incidencias del proceso lo convirtieran en uno de indemnización de daños y perjuicios.


Resolución 46658 de 22 de julio de 2022 (Autopistas Eraba S.A.S.)

Sin seguridad no existe debido tratamiento de datos personales -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. Así́ las cosas, las entidades públicas y privadas deben ser muy responsables, diligentes y muy profesionales con el Tratamiento seguro de los mismos.


Resolución 46659 de 22 de julio de 2022 (Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior- Icetex)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin. En el caso concreto, la investigada no acreditó el cumplimiento del artículo 12 de la Ley 1266 de 2008 frente a los reportes negativos realizados, con esto, vulnerando al derecho fundamental de Habeas Data de la Titular.


Resolución 46660 de 22 de julio de 2022 (Estrios S.A.S)

Sin seguridad no existe debido tratamiento de datos personales -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. La confianza es un factor crucial para el crecimiento y consolidación de cualquier actividad que involucre el Tratamiento de Datos personales. La seguridad genera confianza, si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata, profesional e inteligente. En este caso, se comprobó que la investigada no tenía un nivel aceptable de seguridad para el flujo de información del cliente al servidor y en sitio web, lo anterior, a pesar de que en dicho sitio web existen varios formularios que recolectan Datos personales.


Resolución 46661 de 22 de julio de 2022 (Comunicación Celular S.A. Comcel S.A.)

La investigada no aportó la prueba que permitiera, demostrar sin lugar a dudas que contaba con la Autorización legal exigida por parte de la Titular, para tratar sus Datos personales, con esto, vulnerando el literal e) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de esa misma norma.


Resolución 46662 de 22 de julio de 2022 (Comunicación Celular S.A. Comcel S.A.)

En el numeral 7 del artículo 8 de la Ley 1266 de 2008, en concordancia con el numeral 3 del literal II del artículo 16 de la misma ley se establece como deber de la Fuente de información, “Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente ley”. En el caso concreto, la investigada no contestó de manera completa y de fondo la petición presentada por el ciudadano el 29 de octubre de 2018; simplemente se limitó a enunciar unos hechos que llevaron al reporte negativo de información del Titular. Sin embargo, no se pronunció́ frente a lo solicitado por el ciudadano.


Resolución 46663 de 22 de julio de 2022 (Comunicación Celular S.A. Comcel S.A.)

La vulneración del Derecho Fundamental de Habeas Data no solo afecta al Titular, también pone en riesgo los derechos de toda la sociedad. Por esto, las sanciones mencionadas no pueden ni deben tratarse como una cuestión insignificante o de poca cuantía, ni mucho menos como si las incidencias del proceso lo convirtieran en uno de indemnización de daños y perjuicios.


Resolución 46665 de 22 de julio de 2022 (Credivalores Crediservicios S.A.)

La investigada no remitió en el transcurso de la investigación administrativa los documentos idóneos que demostraran la existencia de la obligación objeto de reporte y, en ese sentido, incumplió el deber de garantizar que la información suministrada a los operadores de información financiera fuera veraz completa, exacta, actualizada y comprobable -numeral 1 del artículo 8 de la Ley 1266 de 2008 en concordancia con el Literal a) del artículo 4 de la misma norma-


Resolución 46666 de 22 de julio de 2022 (Almacenes Éxito S.A.)

La investigada no demostró que atendió de manera oportuna la petición de eliminación del Titular de los Datos, con esto, el deber previsto en literal a) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal e) del artículo 8 de esa misma Ley.


Resolución 46667 de 22 de julio de 2022 (Serrano Orejarena y Compañía S.A.S.)

La configuración de un “hecho superado” no significa que desaparezcan las eventuales irregularidades en que una empresa pudiera haber incurrido en el tratamiento de datos y no eximen de responsabilidad a quien haya cometido dichos errores. Por lo tanto, la SIC podrá iniciar la respectiva investigación administrativa de carácter sancionatorio contra quien, entre otras, alegue un “hecho superado”.


Resolución 46670 de 22 de julio de 2022 (Marketing Personal S.A.)

El numeral 7 del artículo 8 de la Ley 1266 de 2008, en concordancia con el numeral 3 del literal II del artículo 16 de la misma ley, establece como deber de la Fuente de información de: “Resolver los reclamos y peticiones del titular en la forma en que se regula en la presente ley”. En este caso, la investigada no contestó oportunamente la petición presentada por el Titular de la información, pues el ciudadano solo obtuvo respuesta dos (2) meses después de interponer la reclamación. Además, no existe evidencia en el expediente del soporte de envío de la respuesta al Titular de los Datos;


Resolución 46701 de 22 de julio de 2022 (CMS Colombia LTDA)

Las sanciones que se imponen dentro de procesos administrativos sancionatorios no constituyen ninguna cuantificación de perjuicios materiales o morales, es decir no se trata de la estimación de un daño subjetivo, como sucede en el régimen civil de responsabilidad. Por el contrario, la imposición de sanciones por violación de la Ley 1581 de 2012 tiene como fin central proteger y promover el respeto del derecho fundamental a la protección de Datos personales, que fue positivizado por el en el artículo 15 de la Constitución Política Nacional, y que, en muchas ocasiones es conexo a otros derechos fundamentales de gran relevancia constitucional como la dignidad humana; el buen nombre; la intimidad; etc.


Resolución 46702 de 22 de julio de 2022 (Promotora de Inversiones y Cobranza)

El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.

Marzo



Resolución 17116 de 31 de marzo de 2022 (Agencia de Analítica de Datos S.A.S.)

La actividad empresarial no puede realizarse de cualquier manera y en el mundo empresarial no tiene cabida jurídica la afirmación según la cual el “fin justifica los medios”. En efecto, no se trata de una libertad ilimitada, sino de una actividad “restringida” porque no solo debe ser respetuosa del bien común, sino que demanda el cumplimiento de obligaciones constitucionales y legales.


Resolución 17103 de 31 de marzo de 2022 (Fincar Bienes Raíces S.A.S.)

La información negativa, por regla general, no debe mantenerse de manera indefinida. Teniendo en cuenta lo anterior, la Corte Constitucional ha reconocido validez al principio de caducidad o de temporalidad de la información negativa o adversa, lo cual implica que la información personal desfavorable al titular de la misma debe ser retirada de las bases de datos siguiendo criterios de razonabilidad y de oportunidad.


Resolución 17096 de 31 de marzo de 2022 (Mangind LTDA)

Se vulneran los derechos de los Titulares de la información por parte de un Usuario de la información si se accede por este último a la historia de crédito del Titular sin contar con una finalidad clara para el efecto. Al respecto, la Corte Constitucional ha manifestado que es necesario que el Titular del dato autorice al usuario para que pueda acceder a sus datos personales, entre otras, con la finalidad de establecer o mantener una relación contractual y, en ningún caso, el Usuario puede atribuirse esa facultad.


Resolución 17078 de 31 de marzo de 2022 (Calzado Terrano S.A.S.)

Todo Responsable del Tratamiento a quien se le imparta una orden administrativa encaminada a garantizar el debido Tratamiento de los Datos personales debe ser muy diligente con miras a establecer cómo cumplir oportuna y correctamente las órdenes impartidas. La seguridad genera confianza, si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata y profesional.


Resolución 17055 de 31 de marzo de 2022 (Comunicación Celular S.A. Comcel S.A.)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y el reporte es ilegal.


Resolución 17048 de 31 de marzo de 2022 (Comunicación Celular S.A. Comcel S.A.)

El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.


Resolución 17041 de 31 de marzo de 2022 (Comunicación Celular Comcel S.A.)

La suplantación de identidad afecta de manera significativa el principio de veracidad, en la medida que para reportar información negativa ante los operadores de información es indispensable determinar la existencia de la obligación y que se encuentre en cabeza de la persona sobre la cual se realiza dicho reporte.


Resolución 17035 de 31 de marzo de 2022 (Adecco Colombia S.A.)

El numeral 11 del artículo 7 indica que las fuentes de la información tienen, entre otras, el deber de: “cumplir las instrucciones y requerimientos que la autoridad de vigilancia imparta”, para este caso, la Superintendencia de Industria y Comercio. En este caso, la recurrente no allegó las pruebas idóneas, conducentes, pertinentes, útiles ni ténicas que lograran acreditar que estaba en incapacidad de cumplir la orden impartida mediante la Resolución No. 46310 de 26 de julio de 2021, es decir de suprimir la información de contacto de la quejosa en su teléfono móvil.


Resolución 17031 de 31 de marzo de 2022 (Comunicación Celular Comcel S.A.)

La Delegatura para la Protección de Datos Personal no está autorizada por la ley para declarar la existencia de obligaciones ni para decretar el pago de perjuicios, toda vez que las mismas deben ser resueltas por la jurisdicción ordinaria. De otro lado, no es procedente impartir una orden encaminada a eliminar la información negativa y/o positiva reportada ante los operadores de información dada la carencia de objeto por la inexistencia actual de información negativa en los bancos de datos de los operadores.


Resolución 17029 de 31 de marzo de 2022 (Comunicación Celular S.A. Comcel S.A.)

La potestad sancionatoria de la administración no es perpetua, sino que debe ejercerse dentro de los términos previstos en la ley. En línea con lo anterior, el artículo 52 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo establece que “(…) la facultad que tienen las autoridades para imponer sanciones caducas a los tres (3) años de ocurrido el hecho, la conducta u omisión que pudiere ocasionarlas, término dentro del cual el acto administrativo que impone la sanción debe haber sido expedido y notificado”.


Resolución 17027 de 31I de marzo de 2022 (Caja de Compensación Familiar del Huila)

Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió, ni le exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para dar inicio a una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado".


Resolución 17023 de 31 de marzo de 2022 (Comunicación Celular S.A. Comcel S.A.)

El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.


Resolución 17021 de 31 de marzo de 2022 (Comunicación Celular S.A. Comcel S.A.)

De acuerdo con lo que establece el artículo 15 de la Constitución Política y la Ley Estatutaria 1266 de 2008, la veracidad de los datos es una exigencia mínima para que los sistemas de información sean confiables y para que no afecten los derechos de las personas. No es útil acceder a información que no sea de calidad, tampoco es consistente con los postulados constitucionales que circulen datos erróneos, incompletos, inexactos, desactualizados o falsos sobre las personas. Además, un dato veraz debe ser necesariamente comprobable. En tal sentido, la Fuente de información debe demostrar su calidad de acreedor y la existencia y el monto exacto de la obligación.


Resolución 17020 de 31 de marzo de 2022 (Avon Colombia S.A.S)

Aunque una situación de suplantación afecta a la persona suplantada de diferentes maneras, desde la perspectiva de datos personales esta entidad solo puede actuar si la información no es veraz ni comprobable -17 y 18 de la Ley Estatutaria 1266 de 2008-. Por tanto, la regulación sobre tratamiento de datos personales no autoriza a esta Superintendencia para, entre otras: establecer si existió el delito de falsedad personal; ordenar el pago de indemnización de perjuicios; solicitar que se emitan excusas a la persona afectada, o; decidir sobre el presunto delito de falsedad en documento privado o público -artículos 289, 286 y 287 del Código Penal (Ley 599 de 2000)-.


Resolución 17017 de 31 de marzo de 2022 (Reestructura S.A.S)

El endoso, por sí solo, no transfiere los derechos sobre los datos personales de los deudores, ni reemplaza la autorización necesaria para realizar reportes a centrales de información financiera. Es decir, aquel acto cambiario no legitima a una Fuente de Información para reportar ante los operadores de información. Por tanto, el endosatario de un título valor que fuese a ejercer actos de gestión, administración y reporte ante los operadores de información está en la obligación de acreditar dicha legitimación.


Resolución 17012 de 31 de marzo de 2022 (Publicar Publicidad Multimedia S.A.S.)

La Ley Estatutaria 1266 de 2008, que aplica en el caso, tiene un campo de aplicación específico y reducido que se concreta en datos relativos a la existencia y extinción de obligaciones dinerarias que son utilizados para establecer el nivel de riesgo crediticio de una persona. Por su parte, la Ley Estatutaria 1581 de 2012 es aplicable al tratamiento de datos utilizado para fines diferentes a los anteriormente señalados. En suma, el ámbito de aplicación de la Ley Estatutaria 1266 de 2008 se determina por el tipo de dato que se trata y los fines para que se utilizan, y no por la naturaleza del sujeto que usa esa información.


Resolución 15969 de 29 de marzo de 2022 (AECSA S.A.)

El deber de comunicación previa al reporte negativo -artículo 12 Ley 1581 de 2012- realizada por el vendedor de la cartera es válida siempre y cuando se haya realizado correctamente. No puede aceptarse que el proceso de venta de cartera sea un mecanismo de purga de las eventuales irregularidades del pasado, y que por arte de magia desaparezcan o se subsanen los vicios prexistentes. Por eso, quien adquiere la cartera debe ser muy diligente con miras a establecer si quien le vende la misma cumplió correctamente sus deberes respecto de la regulación de tratamiento de datos personales. En otras palabras, el comprador de la cartera debe realizar un proceso de investigación -DUE DILIGENCE- con miras a establecer la situación legal y real de lo que desea adquirir. Esta tarea demanda una labor profesional, diligente y exhaustiva que comprende la revisión de todos los documentos para evitar adquirir problemas jurídicos u obligaciones con irregularidades.


Resolución 15961 de 29 de marzo de 2022 (Inversiones Financieras Bolívar S.A.S.)

El Responsable del Tratamiento no es solo aquel que recolecta los datos, sino quien los almacena, usa o realiza cualquier actividad con los mismos. Así las cosas, utilizar los datos personales de los Titulares para realizar el registro de Cámara de Comercio es una actividad que se encuentra regulada por la Ley Estatutaria 1581 de 2012 y en la que se deben observar, por parte de dichos Responsables, los deberes y principios exigidos por esa Ley y sus normas reglamentarias.


Resolución 15960 de 29 de marzoz de 2022 (Cámara de Comercio de Montería)

La conducta desplegada por la investigada vulneró las normas de protección del derecho de habeas data relacionadas con los deberes de solicitar la autorización e informar sobre la finalidad de la recolección de la información a los Titulares de la misma -literales b) y c) del artículo 17, Ley 1581 de 2012-. Asimismo, dicha organización, respecto de lo investigado por esta Autoridad, no está exceptuada del deber de solicitar Autorización previa, expresa e informada para el Tratamiento de los datos personales de los Titulares -artículo 10 de la Ley 1581 de 2012-.


Resolución 15958 de 29 de marzo de 2022 (Colombia Telecomunicaciones S.A. E.S.P.)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar un reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y dicho reporte es ilegal. En este caso, la investigada incumplió con el precitado deber, pues no logró demostrar que el Titular hubiera autorizado el envío de tal comunicación por medios alternos al físico -mensaje de datos- Literal b) numeral 1.3.6, Capítulo Primero, Título V, de la Circular Única de la SIC-.


Resolución 15957 de 29 de marzo de 2022 (Banco Davivienda S.A.)

La investigada en varias ocasiones ha remitido información de carácter personal a un tercero no autorizado. Por ende, incumplió el deber de seguridad previsto en la Ley Estatutaria 1581 de 2012 -literal g, artículo 4-, porque permitió que un tercero no autorizado conociera información de otra persona. La seguridad genera confianza. Si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata y profesional.


Resolución 15956 de 29 de marzo de 2022 (Bimbo de Colombia S.A.)

Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Las organizaciones deben obrar de manera profesional, diligente y efectiva dando estricto cumplimiento a lo establecido en el artículo 15 de la Constitución Política Nacional, la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias. En este caso, la investigada no respondió oportunamente -dentro de los 15 días hábiles siguientes a la fecha de su recibo- la petición de dos (2) titulares, sobrepasando ese tiempo en casi doce (12) meses.


Resolución 15954 de 29 de marzo de 2022 (Cámara de Comercio de Villavicencio)

Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece con la adopción de medidas y políticas que resultan ineficaces para lograr el cumplimiento de las normas de protección de Datos personales. No debe perderse de vista que “Los responsables [sic] del tratamiento [sic] de datos [sic] personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 (...)” -artículo 26 Decreto 1377 de 2013-.


Resolución 15953 de 29 de marzo de 2022 (Medinuclear S.A.S.)

La investigada, a partir de la entrada en vigencia de la Ley Estatutaria 1581 de 2012 -17 de abril de 2013-, tenía la obligación de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de dicha Ley, en especial, para la atención de consultas y reclamos – literal k), artículo 17 Ley 1581 de 2012- y, a pesar de esto, se demoró siete (7) años, siete (7) meses y veintiún (21) días en poner en marcha esos procedimientos. Esto es muy grave, pues el cumplimiento de la Ley es obligatorio -no facultativo-. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución Política Nacional.


Resolución 15342 de 28 marzo de 2022 (WhatsApp LLC)

WHATSAPP LLC recolecta y trata Datos personales en el territorio de la República de Colombia, entre otros, mediante el uso de "cookies" y el aplicativo móvil de WhatsApp. Es hecho notorio que el aplicativo WhatsApp está instalado en millones de equipos de ciudadanos domiciliados en el territorio colombiano. Mediante dicho aplicativo se recolectan datos en la República de Colombia durante la instalación o posterior a ella. Para recolectar y tratar datos en Colombia no es necesario estar domiciliado en este país. Avances y herramientas tecnológicas permiten que empresas u organizaciones recolecten datos en Colombia sin hacer presencia física en nuestro territorio. Estas organizaciones realizan “presencia tecnológica” en nuestro territorio mediante el uso de las citadas herramientas o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc) ubicadas en el territorio colombiano.


Resolución 15346 de 28 de marzo de 2022 (QNT S.A.S)

El endoso, por sí solo, no transfiere los derechos sobre los datos personales de los deudores, ni reemplaza la autorización necesaria para realizar reportes a centrales de información financiera. QNT S.A.S realizó el reporte de información negativa a nombre propio sin que informara que lo hacía en calidad de representante, mandatario u otra similar.


Resolución 15344 de 28 marzo de 2022 (MEFÍA S.A.S)

Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió, ni le exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para dar inicio a una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado".


Resolución 15345 de 28 de marzo de 2022 (Directv Colombia Ltda.)

La configuración de un hecho superado no le impide a esta Superintendencia evaluar e iniciar una actuación de carácter sancionatorio de conformidad con el procedimiento establecido en el artículo 47 y siguientes del Código de Procedimiento Administrativo y de lo Contencioso Administrativo -CPACA-.


Resolución 14881 de 25 de marzo de 2022 (Caja Compensación Huila)

Las Fuentes de información podrán reportar información negativa únicamente cuando se haya enviado la comunicación previa al Titular de la que trata el artículo 12 de la Ley Estatutaria 1581 de 2012. Lo anterior con el fin de que este pueda ejercer el derecho de contradicción, realizar el pago de la obligación o refutar su monto, cuota o la fecha de exigibilidad, o, inclusive, la existencia de esta. Esa comunicación hace parte del debido proceso para poder reportar información negativa sobre incumplimiento de obligaciones ante las centrales de información financiera.


Resolución 14882 de 25 de marzo de 2022 (Comcel S.A.)

El ciudadano que considere que se ha vulnerado su Derecho Fundamental de Habeas Data podrá optar por una de las siguientes dos opciones: (i) presentar una acción de tutela ante la jurisdicción ordinaria -numeral 6 del artículo 16 de la Ley 1266 de 2008-, o (ii) iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio de Non Bis In Ídem y, por ende, el Derecho al Debido Proceso contenido en el artículo 29 de la Constitución Política.


Resolución 15022 de 25 marzo de 2022 (Invercor D y M S.A.S.)

Una sociedad en proceso de intervención que realice Tratamiento de datos personales tiene la obligación de cumplir con los deberes establecidos en la Ley Estatutaria 1581 de 2012 y sus decretos reglamentarios. No debe perderse de vista que una sociedad en intervención aún está viva jurídicamente y su personería jurídica no ha desaparecido, por tanto, no está exenta de dar estricto cumplimiento a la regulación sobre tratamiento de datos personales y a las órdenes emitidas por esta Superintendencia.


Resolución 14677 de 24 de marzo de 2022 (Ocupar Temporales S.A.)

Las personas tienen derecho a “solicitar prueba de la autorización otorgada al Responsable del Tratamiento”. Los Responsables, por su parte, están obligados a “solicitar y conservar, en las condiciones previstas en la (Ley Estatutaria 1581 de 2012), copia de la respectiva autorización otorgada”. Por tanto, al margen de la alternativa que utilice el Responsable para obtener la Autorización del Titular para el Tratamiento de sus datos personales, este debe estar en capacidad de demostrar que obtuvo dicha Autorización de manera previa, expresa e informada.


Resolución 14672 de 24 de marzo de 2022 (Marketing Personal)

Aunque una situación de suplantación afecta a la persona suplantada de diferentes maneras, desde la perspectiva de datos personales esta entidad solo puede actuar si la información que se reporta ante las centrales de información financiera no es comprobable -numeral 1 del artículo 8 de la Ley Estatutaria 1266 de 2008-, pues en dichos casos la Fuente de la información debe abstenerse de realizar el reporte. Quienes conceden créditos, venden bienes o prestan servicios deben adoptar todas las medidas necesarias para establecer la verdadera identidad de sus clientes. Si no lo hacen: (i) ganan los delincuentes suplantadores, y (ii) pierden las empresas.


Resolución 14679 de 24 de marzo de 2022 (Condival S.A.S)

Sin seguridad no existe debido Tratamiento de datos personales. El principio y el deber de seguridad tiene un criterio eminentemente preventivo, lo cual obliga a los Responsables a adoptar medidas apropiadas y efectivas para evitar afectaciones a la seguridad de la información sobre las personas. Por su parte, las órdenes no son sanciones sino son medidas necesarias para, entre otras, que los Responsables y Encargados del Tratamiento cumplan correctamente los previsto en regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los Titulares de los datos.


Resolución 14680 de 24 marzo de 2022 (Avantel S.A.S)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y el reporte es ilegal. A su vez, para que las comunicaciones electrónicas puedan utilizarse con miras a dar cumplimiento al artículo 12 de la Ley 1266 de 2008, el artículo 2.2.2.28.2. del Decreto 1074 de 2015 exige que exista un pacto especial. En este caso, la investigada no acreditó haber acordado con el Titular el envió de la comunicación mediante el uso de mensajes de datos -correo electrónico-, por lo que la comunicación previa realizada por esa vía no es válida para el cumplimiento del citado artículo 12.


Resolución 14457 de 23 de marzo de 2022 (Rappi S.A.S)

Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución. En este caso, la recurrente fue negligente al no suprimir el dato del Titular dentro del término máximo establecido por la ley -15 días hábiles desde la presentación del reclamo-, sobrepasando ese tiempo en casi 6 meses.


Resolución 14223 de 23 de marzo de 2022 (Departamento del Huila)

Las entidades estatales están obligadas a garantizar el debido Tratamiento de los datos personales. Ese es un mandato constitucional que se deriva de lo que ordena la Constitución Política de Colombia, a saber: (i) las autoridades de la República están instituidas para proteger a todas las personas residentes en Colombia, en su vida, honra, bienes, creencias, y demás derechos y libertades (Artículo 2); (ii) Es deber de los nacionales y de los extranjeros en Colombia acatar la Constitución y las leyes y respetar y obedecer a las autoridades” (Artículo 4); (iii) Los servidores públicos son responsables por infringir la Constitución y las leyes, y por omisión o extralimitación en el ejercicio de sus funciones. (Artículo 6) y (iv) Los servidores públicos están al servicio del Estado y de la comunidad; ejercerán sus funciones en la forma prevista por la Constitución, la ley y el reglamento (Artículo 123).


Resolución 14242 de 23 de marzo de 2022 (Banco de Bogotá)

Sin seguridad no hay debido Tratamiento de los datos personales, por eso, los Responsables del Tratamiento deben ser diligentes y muy profesionales con el Tratamiento seguro de los mismos. En este caso, la recurrente permitió, al enviar un correo electrónico, que un tercero no autorizado conociera información semiprivada de otra persona. Lo anterior como consecuencia de la negligencia humana y las falencias administrativas para evitar hechos como los que dieron origen a la actuación administrativa. No debe perderse de vista que la seguridad genera confianza. Si falla, es clave que las organizaciones estén preparadas para actuar frente a los incidentes de seguridad de manera inmediata y profesional.


Resolución 13874 de 22 de marzo de 2022 (Raigoza Villegas S.A.S)

La Resolución recurrida fue proferida con la debida observancia de los principios que rigen las actuaciones administrativas como, entre otros, el debido proceso, pues se garantizó el derecho a la defensa y la contradicción a la investigada, así: (i) tuvo la oportunidad de acceder al expediente en varias ocasiones y no lo hizo y (ii) pudo presentar las pruebas que pretendía hacer valer para la presente actuación administrativa y no las allegó al expediente. El hecho de que la investigada no haya hecho uso de estos mecanismos o que no acreditara pruebas del cumplimiento de la ley, no significa que esta entidad hubiese obrado contrario a derecho.


Resolución 13016 de 17 de marzo de 2022 (Belt Star S.A.)

Proteger la información es una condición transcendental del Tratamiento de Datos personales. Una vez recolectada debe ser objeto de diversas medidas para evitar situaciones indeseadas que puedan afectar los derechos de los Titulares. En este caso, la investigada realizó el reporte negativo de la Titular ante los Operadores de Información: (i) teniendo conocimiento de la denuncia presentada ante la Fiscalía General de la Nación por el delito de suplantación de identidad y (ii) sin contar con los soportes que acreditaran la existencia de la obligación, con esto, afectando gravemente el derecho fundamental de habeas data de la Titular e incumpliendo el deber de garantizar que la información suministrada a los operadores sea veraz, completa, exacta, actualizada y comprobable -numeral 1 del artículo 8 de la Ley 1266 de 2008 en concordancia con el Literal a) del artículo 4 de la misma norma-.


Resolución 13023 de 17 de marzo de 2022 (Social, Educational, Environmental and Development Foundation)

La regulación de Datos Personales colombiana le exige a los Responsables del Tratamiento “(...) ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012” -Artículo 26 del decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015)-. Lo anterior configura el principio de responsabilidad Demostrada que “consiste en el deber jurídico del responsable del tratamiento de demostrar ante la autoridad de datos que cuenta con la institucionalidad y los procedimientos para garantizar las distintas garantías del derecho al habeas data (…)” -Corte Constitucional, Sentencia C-32 de 2021-.


Resolución 11923 de 14 marzo de 2022 (Iván Botero Gómez)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa y debe realizarse con mínimo 20 días calendario de anticipación a dicho reporte. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y dicho reporte es ilegal.


Resolución 11926 de 14 de marzo de 2022 (Comcel S.A.)

Las Fuentes de la Obligación deben ser muy diligentes y profesionales para garantizar en la práctica lo que ordena la ley 1266 de 2008 y los artículos 15 y 20 de la Constitución. Por tanto, la comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y dicho reporte es ilegal. COMCEL incumplió con el deber especial contemplado en el artículo 12 de la Ley 1266 de 2008.


Resolución 11930 de 14 marzo de 2022 (UNE EPM)

Los derechos humanos son para respetarlos y garantizarlos en la práctica. Las personas no deben rogar para que se les respeten sus derechos humanos. No es facultativo sino obligatorio respetar los derechos de las personas. En este caso, el ciudadano tuvo que presentar en más de cinco (5) oportunidades la solicitud de supresión de su información personal y durante casi seis (6) meses estuvo esperanto la protección efectiva de su derecho de habeas data por parte de la investigada. Además, a las personas no se les puede estigmatizar o discriminar por ejercer sus derechos. Al contrario, lo que se debe hacer es garantizar efectivamente los mismos y no proceder a incluirlas en “listas negras”.


Resolución 12031 de 14 de marzo de 2022 (Marketing Personal)

Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió, ni le exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para iniciar una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado".


Resolución 12035 de 14 de marzo de 2022 (Marketing Personal)

La suplantación de identidad consiste en hacerse pasar por otra persona para diversos propósitos: engañar a terceros, obtener bienes y servicios con cargo a la persona suplantada, incurrir en fraudes, etc. Aunque una situación de suplantación afecta a la persona suplantada de diferentes maneras, desde la perspectiva de datos personales la SIC solo puede actuar si la información no es veraz ni comprobable -17 y 18 de la Ley Estatutaria 1266 de 2008-.


Resolución 11044 de 9 marzo de 2022 (Almacenes ​Éxito)

La sociedad investigada: a) no garantizó que la información que suministró a los Operadores de Información fuera veraz; completa; exacta; actualizada y comprobable, pues en ningún momento acreditó la relación o vínculo comercial con la Titular de los Datos; b) incumplió el deber de solicitar y conservar copia de la Autorización de la Titular de la información; y, iii) no cumplió el deber de comunicar previamente al Titular que se efectuaría un reporte negativo ante los Operadores de Información, impidiéndole a este controvertir su obligación crediticia o efectuar el respectivo pago, entre otros.


Resolución 10374 de 4 marzo de 2022 (Colombia Telecomunicaciones)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. La Fuente de información puede pactar con el Titular de la información otro mecanismo mediante el cual pueda cumplirse con ese deber legal y, cuando esto suceda, de acuerdo con el artículo 1.3.6 literal b) del Título V de la Circular Única de esta Superintendencia, tendrá que probarse que dicho acuerdo se llevó a cabo con anterioridad al reporte.


Resolución 9744 de 2 de marzo de 2022 (Systemgroup S.A.S)

Los administradores de cartera pueden realizar reportes en las historias de crédito correspondiente a las obligaciones que administran. No obstante, para que esa información cumpla con el deber de veracidad, se debe indicar: (i) que reporta en su condición de administrador de cartera, (ii) el nombre de la Fuente a quien le administran la cartera, y (iii) el nombre del acreedor originario de las obligaciones reportadas.


Resolución 9745 de 2 de marzo de 2022 (Cafam)

La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si se omite dicho requerimiento, automáticamente se vulnera el debido proceso previsto en la ley para tal fin y se incurre en un tratamiento ilícito de datos personales. La investigada no realizó correctamente la comunicación previa porque envió la misma a una dirección de correspondencia que no coincide con la relacionada en la solicitud de crédito suscrita por el Titular.


Resolución 9746 de 2 de marzo de 2022 (Refinancia S.A.S.)

Se admite la solicitud de desistimiento del recurso de apelación debido a que, de acuerdo con el artículo 81 de la Ley 1437 de 2011 -Código de Procedimiento Administrativo y de lo Contencioso Administrativo-, quien presenta un recurso podrá desistir de este en cualquier tiempo.


Resolución 9744 de 2 de marzo de 2022 (Systemgroup S.A.S)

Una vez transcurra el término de 8 años desde que la obligación insoluta se hizo exigible, la información negativa de la historia de crédito del Titular debe ser eliminada definitivamente, tal y como lo ordena el parágrafo 1 del artículo 13 de la Ley Estatutaria 1266 de 2008, modificado por el artículo 3 de la Ley 2157 del 29 de octubre de 2021. En este caso, no se registra información negativa en la historia de crédito Titular, por lo que no tiene sentido ordenar su eliminación.


Resolución 9814 de 2 marzo de 2022 (Comcel S.A)

Las Fuentes de información podrán reportar información negativa únicamente cuando se haya enviado la comunicación previa al Titular de la que trata el artículo 12 de la Ley Estatutaria 1581 de 2012, con el fin de que este pueda ejercer el derecho de contradicción, realizar el pago de la obligación o refutar su monto, cuota o la fecha de exigibilidad, o inclusive la existencia de esta. Esa comunicación hace parte del debido proceso para poder reportar información negativa sobre incumplimiento de obligaciones ante las centrales de información financiera.

Febrero


Resolución 8171 de 25 de febrero de 2022 (REFINANCIA)

REFINANCIA reportó a nombre propio a una persona sin tener autorización para dicho efecto. El numeral 1.8 de la Circular Única de esta Superintendencia señala que los administradores de cartera pueden realizar reportes en las historias de crédito correspondiente a las obligaciones que administran. No obstante, para que esa información cumpla con el deber de veracidad, el operador debe indicar: (i) que reporta en su condición de administrador de cartera, (ii) el nombre de la Fuente a quien le administran la cartera, y (iii) el nombre del acreedor originario de las obligaciones reportadas.


Resolución 7334 de 24 febrero de 2022 (Bloqueo Temporal)

Es ilícito, inaceptable, abusivo y carente de ética que se usen fotos de una persona para promocionar y vender -en internet, instagram o cualquier red social digital- contenidos sexuales sin su Autorización previa, expresa e informada. Dicha situación afecta los derechos fundamentales al buen nombre, la honra, el honor la intimidad e imagen.


Resolución 5497 de14 de febrero de 2022 (Croydon Colombia S.A.)

Si bien la sociedad investigada tiene derecho a conservar los datos de la Titular para efectos: administrativos, contables, fiscales y jurídicos, no por ello está autorizada para enviarle publicidad. Por tanto, esta Superintendencia EXHORTA a la sociedad Croydon Colombia S.A. para que se abstenga de enviar publicidad a la Titular y le recuerda que los Responsables del Tratamiento de Datos Personales no pueden hacer lo que quieran con la información de las personas sino solo lo que les permite la ley o lo que ellas le autoricen.


Resolución 5495 de 14 de febrero de 2022 (QNT S.A.S)

La comunicación previa realizada por el vendedor de la cartera es válida siempre y cuando se haya realizado correctamente. No puede aceptarse que el proceso de venta sea un mecanismo de purga de las eventuales irregularidades del pasado, y que por arte de magia desaparezcan o se subsanen los vicios prexistentes. El comprador de la cartera debe realizar un proceso de investigación (DUE DILIGENCE) con miras a establecer la situación legal y real de lo que desea adquirir con el objetivo de determinar, evaluar y cuantificar las posibles contingencias de una eventual negociación. Quien adquiere la cartera debe ser muy diligente con miras a establecer si quien le vende la misma cumplió correctamente sus deberes respecto de la regulación de Tratamiento de Datos Personales.


Resolución 5362 11 febrero de 2022 (Goelegido S.A.S.)

La sociedad investigada no garantizó el pleno y efectivo ejercicio del derecho de Habeas Data del Titular de la información, toda vez que, a pesar de que este solicitó el 25 de diciembre de 2018 la supresión de sus Datos, dicha sociedad, durante el curso del proceso administrativo, no acreditó ante esta Superintendencia la eliminación de los Datos personales del ciudadano. Los derechos de las personas deben garantizarse en la práctica. No respetar los derechos de los Titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos.


Resolución 5120 de 10 de febrero de 2022 (Marketing Personal S.A.)

Es legítimo reportar a una persona como morosa siempre y cuando se cumplan los requisitos establecidos en la Ley para que ese reporte sea legal. Uno de estos exige que la información sea comprobable. Así las cosas, quien realiza el reporte (la Fuente de la información) debe ser extremadamente cuidadoso y contar con plena prueba de la veracidad de la información -numeral 1 del artículo 8 de la Ley 1266 de 2008-. De lo contrario, no estaría respetando el buen nombre de la persona reportada, causándole daños y perjuicios.


Resolución 5108 de 10 febrero de 2022 (Comcel S.A.)

De acuerdo con lo que establece el numeral 3 del artículo 74 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo -CPACA-, el recurso de queja podrá interponerse “dentro de los cinco (5) días siguientes a la notificación de la decisión” directamente ante el superior del funcionario que la dictó. En el caso concreto, dicho recurso fue presentado por fuera del plazo legal establecido en la norma, razón por la que, de acuerdo con el numeral 1 del artículo 77 y el artículo 78 del CPACA, el mismo debe ser rechazado por extemporáneo.


Resolución 3908 de 4 febrero de 2022 (Colsanitas)

Los Titulares de información no tienen que enviar más de una solicitud o requerimiento de información para que se garanticen sus derechos fundamentales. En virtud del deber de responsabilidad demostrada, le corresponde a los Responsables de la Información poner a disposición de los Titulares mecanismos idóneos, útiles y demostrables para que estos puedan presentar reclamos y adoptar medidas para verificar que dichos mecanismos funcionan correctamente. No respetar los derechos de los Titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos.


Resolución 3582 de 2 de febrero de 2022 (SOCOL)

Las Fuentes de la información tienen el deber legal de avisar a las centrales de información financiera que el Titular presentó un reclamo en relación con los reportes realizados en su historia de crédito. Lo anterior dentro de los dos (2) días hábiles siguientes al recibo del reclamo y con el fin de que dichas centrales incluyan la leyenda de “reclamo en trámite” en sus bases de datos. Además, tienen el deber de realizar la comunicación previa de la que trata el artículo 12 de la Ley Estatutaria 1266 de 2008. Los reportes negativos de información no pueden realizarse de cualquier modo. Las Fuentes de información deben ser respetuosas de los derechos de las personas y deben cumplir con el debido proceso establecido en la Ley para tales efectos.


Enero


Resolución 2389 de 28 de enero de 2022 (Google LLC.)

GOOGLE LLC debe garantizar el debido tratamiento de los datos personales de los niños, niñas y adolescentes domiciliados o residentes en Colombia. Ni internet, ni la carencia de domicilio territorial o la no presencia física en un territorio son argumentos jurídicamente válidos para justificar el incumplimiento de regulación sobre tratamiento de datos personales. GOOGLE LLC recolecta datos personales en el territorio de la República de Colombia mediante el uso cookies o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc) ubicadas en el territorio colombiano. Esa realidad -"presencia tecnológica"- no puede desconocerse ni ser argumento para eximirse de la aplicación de la regulación colombiana y no proteger los derechos de los menores de edad.


Resolución 2202 de 27 de enero de 2022 (Banco Comercial AV Villas S.A.)

El Banco Comercial AV Villas S.A sobrepasó el tiempo de 15 días hábiles previsto en el artículo 15 de la Ley Estatutaria 1581 de 2012 para dar repuesta al reclamo de la Titular, lo que se traduce en un incumplimiento grave de la Ley de Protección de Datos. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. Los ciudadanos no son expertos en derecho y son los Responsables del Tratamiento quienes deben ser muy diligentes y profesionales en el cumplimiento de los mandatos legales. Si un Titular del dato presenta un reclamo, al Responsable le corresponde cumplir el deber legal de responderlo de fondo y oportunamente. Atender debidamente las consultas y reclamos de los ciudadanos no es una opción sino una obligación.


Resolución 1057 de enero 18 de 2022 (Fitness People Centro Médico Deportivo S.A.S)

Las órdenes son medidas necesarias para, entre otras, hacer efectivo el derecho de habeas data y que los Responsables y Encargados del Tratamiento cumplan correctamente lo previsto en regulación sobre Datos Personales. Lo anterior con el fin de garantizar el debido Tratamiento de esa información y el respeto de los derechos de los Titulares de los datos.


Resolución 469 de 4 de enero de 2022 (Comcel S.A.)

Es obligación de los deudores pagar oportunamente sus obligaciones. Los acreedores, por su parte, deben cumplir el debido proceso para reportar información negativa sobre el incumplimiento de obligaciones. El requerimiento establecido en el artículo 12 de la Ley Estatutaria 1266 de 2008 para efectuar reportes de información negativa se cumple, entre otros requisitos, con el envío de la comunicación física, y no es necesario que la remisión de la misma se realice por correo certificado o que incluya el acuse de recibo por parte del destinatario.