Superintendencia de Industria y Comercio
Top bar
.png){kind=small}
logo presidencia
| SANCIONADO/ INVESTIGADO | FECHA | TÍTULO | RESOLUCIÓN | ESTADO |
| ZOOM VIDEO COMMUNICATIONS, INC. | 23/11/2020 | La Ley 1581 de 2012 fija de manera expresa su ámbito de aplicación “al tratamiento de datos personales efectuado en territorio colombiano”. Para recolectar datos en Colombia no es necesario estar domiciliado en este país. Avances y herramientas tecnológicas permiten que empresas u organizaciones recolecten datos en Colombia sin hacer presencia física en nuestro territorio. Estas organizaciones realizan “presencia tecnológica” mediante el uso de las dichas herramientas o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc.) ubicadas en el territorio colombiano. Esa realidad no puede desconocerse ni ser argumento para eximirse de la aplicación de la regulación colombiano. No es sensato que quien recolecte y trate datos en el territorio de la República de Colombia sin estar domiciliado o residir en el mismo acuda a argumentos clásicos de territorialidad no solo para para evadir sus responsabilidades legales frentes a las autoridades y los titulares de los datos, sino para desconocer el ámbito de aplicación de la citada ley. En este caso, como las web cookies se instalan por parte de Zoom en equipos ubicados en Colombia, el Tratamiento de la información recolectada por este medio se somete al cumplimiento de la Ley 1581 de 2012. | EN FIRME | |
| TIK TOK (ByteDance Ltd, TikTok, Inc y TikTok Pte. Ltd.) | 05/10/2020 |
|
EN FIRME | |
| GOOGLE LLC | 03/09/2020 | GOOGLE LLC debe cumplir las normas sobre recolección y uso de datos de niñas, niños y adolescentes. Existe un principio general de interpretación jurídica según el cual “en donde la ley no distingue, no le es dado al intérprete hacerlo”. En este caso, dicho principio resulta plenamente aplicable porque GOOGLE LLC realiza Tratamiento de Datos en el territorio colombiano mediante el uso de cookies que instalan en los equipos -teléfonos celulares tablets, computadoras o cualquier otro dispositivo que almacene información- de las personas domiciliadas o residentes en Colombia. Si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a la SIC excluir el uso de cookies como una de tales herramientas. Por ende, GOOGLE LLC recolecta datos en el territorio de la República de Colombia y le es aplicable la Ley Estatutaria 1581 de 2012. | EN FIRME | |
| GOOGLE COLOMBIA LIMITADA | 4/11/2020 | No es cierto que esta Delegatura -como lo afirma la apoderada de Google Colombia- haya declarado situación de control entre Google LLC y Google Colombia. Ello se puede corroborar con la simple lectura de la parte resolutiva de la resolución 70315 del 4 de noviembre de 2020 en donde, entre otras, se compulsan copias del expediente a la Superintendencia de Sociedades para lo de su competencia. Como autoridad administrativa respetamos el derecho de defensa de la recurrente, pero nos parece muy grave que se acuda a la mentira como estrategia de defensa jurídica. Ello no es consistente con el decoro, la ética y el profesionalismo que debe guiar la labor de los abogados (as). No es sensato analizar el caso concreto desde una lectura parcial, subjetiva y limitada a ciertas normas o “áreas del derecho”, sino que es imperioso aplicar integralmente diferentes disposiciones de la regulación colombiana y dar primacía a los mandatos constitucionales, tal y como lo ordena el artículo 4 de nuestra Carta Política de 1991. De esta forma, según el artículo 44 de la Constitución: “Los derechos de los niños prevalecen sobre los derechos de los demás” y la protección de estos debe garantizarse en la práctica. Los niños, niñas y adolescentes son Titulares del Derecho Fundamental de Habeas Data y del debido Tratamiento de sus Datos personales. La Autorización para el Tratamiento de esa información debe ser otorgada por el representante legal del niño, niña o adolescente, tal como lo señala el artículo 12 del Decreto 1377 de 2013. | EN FIRME | |
| SCOTIABANK COLPATRIA S.A | 11/03/2020 | Los Titulares de la información tienen el derecho de solicitar la exclusión o supresión de la información que repose en las Bases de Datos de los Responsables o Encargados del Tratamiento, siempre que no exista un deber legal o contractual que lo impida – literal a) del artículo 17 de la Ley Estatutaria 1581 de 2012-. El Titular del dato no tiene que insistir para que sus derechos sean garantizados. Por el contrario, estos deben ser salvaguardados sin dilación alguna por parte de los Responsables o Encargados del Tratamiento. | MODIFICADA | |
| COLOMBIA MOVIL S.A. ESP | 06/05/2020 | El Titular del dato no está obligado a insistir para que se suprima su información de una base de datos -literal e) artículo 8 Ley Estatutaria 1581 de 2012-, sobre todo cuando dicho Titular no tiene una relación contractual con el Responsable. El Titular no debe rogar para que se respeten sus derechos. Es imperativo -no facultativo- respetar y garantizar los derechos constitucionales y legales de las personas. | EN FIRME | |
| AGRUPACION DE VIVIENDA RINCON DE MANDALAY | 02/07/2020 | El Responsable debe informar la finalidad del tratamiento de los datos personales del Titular al momento de la recolección y solicitud de autorización previa, expresa e informada. Así mismo debe informar los derechos que le asisten como Titular de la información. | RESOLUCIÓN 34648 de 2020 | EN FIRME |
| CONJUNTO RESIDENCIAL CIUDADELA PARQUE CENTRAL DE OCCIDENTE SEGUNDA ETAPA-PROPIEDAD HORIZONTAL | 13/07/2020 | El Responsable debe demostrar que cuenta con la autorización previa, expresa e informada otorgada por el Titular para el tratamiento de datos personales, e informar la finalidad de la recolección de manera clara y especifica. | RESOLUCIÓN 37971 de 2020 | EN FIRME |
| AMARILO S.A.S. | 28/07/2020 | La Autorización y/o consentimiento que exige la Ley 1581 de 2012 para el Tratamiento de los datos de los ciudadanos es calificado, esto es, debe ser previo, expreso e informado; características anteriores que no fueron acreditadas por la sociedad AMARILLO S.A.S. En particular, porque no demostró haber conservado en condiciones óptimas y verificables, copia de la Autorización que en su momento hubiera otorgado el Titular de la información para el debido Tratamiento de sus Datos. | EN FIRME | |
| ALMACENES EXITO S.A. | 31/07/2020 | Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales. | EN FIRME | |
| CREDIVALORES - CREDISERVICIOS S.A | 11/08/2020 | Sin seguridad no existe debido tratamiento de datos personales. CREDIVALORES no cumplió el deber y el principio de seguridad porque suministró a terceros datos personales de la Titular del dato sin su autorización. En otras palabras, no adoptó las medidas de seguridad necesarias para impedir el acceso no autorizado de esos datos -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. Además, la Titular se vio obligada a radicar dos (2) derechos de petición porque CREDIVALORES no respondió de manera completa y de fondo lo requerido. Con una sola solicitud es suficiente. Los derechos de los titulares son para respetarlos y no para dilatar su cumplimiento o negar su efectividad en la práctica. | MODIFICADA | |
| GENERAL SERVICE DE COLOMBIA S.A.S | 18/08/2020 | El Responsable de la información debe solicitar la autorización previa, expresa e informada del Titular previamente al tratamiento de sus datos personales por lo cual, no puede realizar llamadas telefónicas para solicitar datos personales sin antes haber obtenido la debida autorización. | RESOLUCIÓN 47605 de 2020 | EN FIRME |
| EXPEDIENTES SAS | 31/08/2020 | El Responsable debe garantizar el ejercicio del derecho de habeas data del Titular a través del derecho de petición mediante el cual los Titulares ejercen el control sobre el manejo de sus datos personales. | RESOLUCIÓN 52347 de 2020 | EN FIRME |
| COPERATIVA AUTONOMA DE SEGURIDAD C.T.A. COAUTOMA C.T.A. | 02/09/2020 | Sin seguridad no hay debido Tratamiento de los datos personales. La regulación de Protección de Datos en Colombia exige a los Responsable del Tratamiento ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas necesarias, útiles, apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley Estatutaria 1581 de 2012 (Responsabilidad Demostrada) -Corte Constitucional Sentencia C-32 de 2021-. En materia de seguridad, dichas medidas deben ser capaces de, en la práctica, evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales. | MODIFICADA | |
| CRC OUTSOURCING S.A.S. | 16/09/2020 | La recolección, uso, circulación y el tratamiento de los datos personales privados, semiprivados y sensibles sólo puede realizarse cuando exista la autorización previa, expresa e informada del Titular, tal y como lo establece el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012. La sociedad OUTSOURCING S.A.S. actuó ilegalmente, porque no acreditó dicha autorización -artículo 9 de la Ley 1581 de 2012- | EN FIRME | |
| PROPIEDAD HORIZONTAL CONJUNTO RESIDENCIAL PLAZUELAS DE SANTA ANA | 17/09/2020 |
El Responsable tiene el deber de tratar la información que se encuentra almacenada en su base de datos bajo medidas de seguridad idóneas, que garanticen la custodia de los datos personales que tiene a su cargo, por lo cual se deben establecer las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros y datos personales de los residentes y propietarios. |
RESOLUCIÓN 56959 de 2020 | EN FIRME |
| FITNESS PEOPLE CENTRO MÉDICO DEPORTIVO S.A.S | 18/09/2020 |
El Responsable no atendió de manera oportuna y dentro de los 10 días hábiles siguientes la petición presentada por la Titular, vulnerando su derecho fundamental de habeas data. Aunque atendió la integridad de las peticiones, no cumplió con el termino legal impidiéndole al Titular conocer, actualizar y rectificar su información personal. |
RESOLUCIÓN 57543 de 2020 | EN FIRME |
| BANCO POPULAR S.A | 22/09/2020 | El Responsable vulnero el ejercicio del derecho de habeas data al no atender oportunamente su solicitud de supresión de datos personal con el fin de no continuar recibiendo mensajes de texto y correos electrónicos de prospección comercial, tampoco otorgo respuesta en el término legal a la solicitud de supresión. | RESOLUCIÓN 58101 de 2020 | EN FIRME |
| SODIMAC COLOMBIA S.A. | 24/09/2020 | La autorización mediante conductas inequívocas es jurídicamente válida siempre y cuando sea previa e informada. SODIMAC COLOMBIA S.A. no cumplió con el deber de informar al Titular todo lo que ordena la ley, razón por la cual la autorización que manifiesta haber obtenido no cumple los requisitos legales. Los avisos de privacidad no suplen la autorización previa, expresa e informada del Titular de la información. No es una buena práctica en materia de tratamiento de datos personales utilizar mecanismos de obtención del consentimiento en los que tenga el mismo efecto que la persona ACEPTE o NO ACEPTE. No es sensato que dé lo mismo aceptar o no aceptar. Eso es irrespetuoso con los seres humanos porque no importa la autonomía de las personas, ni su voluntad. | EN FIRME | |
| MADERFORMAS SAS | 25/09/2020 | El Responsable incumplió con el deber de cumplir con los requerimientos e instrucciones que imparta la SIC de manera oportuna, al no dar atender la orden impartida de cargar los archivos de RNBD sin clave de lectura. | RESOLUCIÓN 59472 de 2020 | EN FIRME |
| CONJUNTO RESIDENCIAL PARQUE CENTRAL BONAVISTA ETAPA II PROPIEDAD HORIZONTAL | 08/10/2020 | El Responsable debe dar trámite a las consultas y reclamos realizadas por el Titular frente al tratamiento de su información personal contenida en bases de datos, que considere que debe ser objeto de corrección actualización o supresión. | RESOLUCIÓN 63240 de 2020 | EN FIRME |
| GRUPO INNOVA INTERNATIONAL S.A.S | 14/10/2020 | No todo dato de acceso público es, per se, de naturaleza pública. La naturaleza jurídica de un dato público no depende únicamente de que su acceso sea libre. De ser así, equivocadamente se concluiría que todos los Datos personales que reposan en internet -fotos, videos, direcciones de correo electrónico, historias clínicas- son de naturaleza pública y, por ende, cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato. Recolectar datos personales privados, semiprivados o sensibles en internet no legitima al recolector para apropiarse de dicha información y hacer lo que quiera con la misma. | EN FIRME | |
| CONJUNTO RESIDENCIAL ALMEIRA TORRES 1,2,3,4 Y 5 PROPIEDAD HORIZONTAL | 14/10/2020 | El Responsable debe solicitar la autorización, previa, expresa e informada de los Titulares antes de realizar el tratamiento de sus datos personales como el envío de correos electrónicos masivos, y conservar copia de esta, así mismo debe informar al momento de la recolección la finalidad específica del tratamiento. | RESOLUCIÓN 64277 de 2020 | EN FIRME |
| EDITORA RED PREFERENCIAL S.A.S. | 14/10/2020 | Las Sociedades deben implementar un mecanismo efectivo para obtener la autorización previa expresa e informada de los Titulares; y suprimir, de manera definitiva, de sus bases de datos la totalidad de los datos personales que no hayan sido obtenidos y tratados con el consentimiento de su respectivo Titular. | RESOLUCIÓN 64262 de 2020 | EN FIRME |
| COMSERVICE ASISTENCIA S.A.S | 14/10/2020 | Las Sociedades deben implementar un mecanismo efectivo para obtener la autorización previa expresa e informada de los Titulares; y suprimir, de manera definitiva, de sus bases de datos la totalidad de los datos personales que no hayan sido obtenidos y tratados con el consentimiento de su respectivo Titular. | RESOLUCIÓN 64262 de 2020 | EN FIRME |
| GENERAL SERVICE DE COLOMBIA S.A.S | 14/10/2020 | La Responsables deben informar previamente a los Titulares sobre las finalidades del tratamiento de la información y adoptar un Manual de Políticas de seguridad con las medidas apropiadas y efectivas para que la información de los Titulares permanezca bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado. | RESOLUCIÓN 64262 de 2020 | EN FIRME |
| CCG SOLUCIONES SAS | 14/10/2020 | Las Sociedades deben suprimir, de manera definitiva, de sus bases de datos la totalidad de los datos personales que no hayan sido obtenidos y tratados con el consentimiento de su respectivo Titular y adoptar un Manual de Políticas de seguridad para evitar el acceso de terceros no autorizados. | RESOLUCIÓN 64262 de 2020 | EN FIRME |
| SOLUCIONES VIDA FÁCIL SAS | 15/10/2020 | La Ley Estatutaria 1581 de 2012 faculta a esta Superintendencia para imponer a los Responsables y Encargados del Tratamiento sanciones no solo de carácter pecuniario sino también aquellas que suspenden las actividades relacionadas con el Tratamiento. Dicha facultad sancionadora está encaminada a asegurar el adecuado manejo de la información personal por parte de los sujetos obligados conforme lo ordena la Ley Estatutaria 1581 de 2012. Imponer una sanción de este tipo no resulta desproporcionada, pues lo que busca es que se corrijan las medidas al interior de la sociedad que dieron lugar a la violación de las normas contenidas en la Ley. | EN FIRME | |
| BANCO DE BOGOTÁ S.A | 28/10/2020 | Si una persona va a suministrar a terceros los datos de contacto de sus amigos, familiares, etc, deberá previamente informar de ello al Titular del dato y solicitar su autorización. Los Responsables del Tratamiento deben asegurarse de que quien les suministra información está legitimado porque, de lo contrario, se estaría avalando que terceros suministren datos de otras personas a empresas sin observar lo que ordena la Ley. En este caso, la ciudadana que fue incluida como “Referencia Personal” en una solicitud de crédito no autorizó al BANCO DE BOGOTÁ para que usara su información para adelantar gestión de cobro de cartera de un tercero. Es obligación de los deudores pagar oportunamente sus obligaciones dinerarias y es lícita la gestión de cobro y recuperación de cartera de crédito. No obstante, el fin no justifica los medios. Quien pretenda cobrar una suma de dinero no debe hacerlo de cualquier manera, sino con estricto cumplimiento de lo establecido en la Ley. | EN TRÁMITE | |
| HOTEL VILLA DE LEYVA PLAZA | 28/10/2020 | Los Responsables del tratamiento deben atender los diferentes llamados de la Superintendencia y demostrar el cumplimiento de los deberes de protección de datos personales, a través de los requerimientos, ordenes e instrucciones que emite la entidad. | RESOLUCIÓN 68389 de 2020 | EN FIRME |
| ALMACENES ÉXITO E INDUSTRIAS ÉXITO S.A.S | 28/10/2020 | Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales. Almacenes Éxito S.A. trata Datos de más de 29’957.549 de ciudadanos y Éxito Industrias S.A.S. de 941 ciudadanos. Lo anterior las obliga a ser extremadamente diligentes y a garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos. | EN FIRME | |
| ÉXITO INDUSTRIAS S.A.S. | 28/10/2020 | Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales. Almacenes Éxito S.A. trata Datos de más de 29’957.549 de ciudadanos y Éxito Industrias S.A.S. de 941 ciudadanos. Lo anterior las obliga a ser extremadamente diligentes y a garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos. | EN FIRME | |
| GIROS & FINANZAS COMPAÑÍA DE FINANCIAMIENTO S.A. | 29/10/2020 | No existe la obligación legal de las personas de recibir mensajes de datos, llamadas o correos electrónicos con fines de publicidad, marketing o prospección comercial. Quienes sean objeto de esas conductas comerciales pueden solicitar en cualquier momento al Responsable del Tratamiento la supresión de su información. En este caso, la sociedad Giros y Finanzas Compañía de Financiamiento S.A. no cumplió debida y oportunamente el deber legal de eliminar la información del Titular. No puede convertirse en una práctica empresarial que el Titular del dato tenga que insistir varias veces para que se garantice el respeto de sus derechos. Los derechos son para respetarlos y no para dilatar su cumplimiento o negar su efectividad en la práctica. | EN FIRME | |
| IMPERIAL TOUR S.A.S. | 30/10/2020 | Los Responsables deben garantizar el cumplimiento de las ordenes de eliminación de datos personales que emite la SIC, mediante procedimientos de eliminación de datos personales efectivos debidamente certificados, en aras de evitar que se vulnere reiteradamente el derecho fundamental de habeas data. | RESOLUCIÓN 69671 de 2020 | EN FIRME |
| COBROACTIVO S.A.S. | 6/11/2020 | Los Encargados del tratamiento deben garantizar el ejercicio del derecho de habeas data y de petición, suministrando una solución dotada de claridad y congruencia entre lo pedido y lo resuelto, que la respuesta sea oportuna y que sea puesta en conocimiento del Titular. De igual forma, el Encargado debe informarle al interesado acerca del traslado de la solicitud al Responsable. | EN FIRME | |
| COOPERATIVA BELEN AHORRO Y CRÉDITO | 6/11/2020 | Informar una dirección de correo electrónico para que las personas ejerzan sus derechos y no monitorear su correcto funcionamiento es una medida que no es efectiva ni es útil porque no sirve para el propósito que se creó, esto es, recibir y responder las peticiones de los Titulares de los Datos Personales. No debe olvidarse que la regulación sobre Tratamiento de datos busca que se garantice una protección real y efectiva de los derechos de las personas y no una protección formal o simbólica. | EN FIRME | |
| TENNIS S.A. EN REORGANIZACIÓN | 10/11/2020 | El Responsable debe solicitar la autorización previa, expresa e informada del Titular, para el envío de prospección comercial a su dirección de correo electrónico personal y al número de línea móvil. De igual manera, debe garantizar el ejercicio del derecho de habeas del Titular y respetar su voluntad en cuanto no continuar recibiendo publicidad. | EN FIRME | |
| ACIERTOS RECREATIVOS S.A.S. | 11/11/2020 | El Responsable debe tener especial cuidado frente al tratamiento de datos personales de menores de edad, por lo que debe solicitar la autorización previa, expresa e informada de sus representantes legales e informar las finalidades específicas del tratamiento, como es el caso del uso de fotografías de menores con fines publicitarios, en virtud del derecho de seguridad y privacidad. | RESOLUCIÓN 71978 de 2020 | EN FIRME |
| TOUR VACATION HOTELES AZUL S A S |
17/11/2020 | Esta entidad puede iniciar investigaciones de oficio, esto es, sin que sea necesario que el Titular del dato agote el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento. Por su parte, los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. No respetar los derechos de los titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos. | EN FIRME | |
| RAPPI S.A.S. S A S |
6/05/2021 |
Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución. En este caso, la recurrente fue negligente al no suprimir el dato del Titular dentro del término máximo establecido por la ley -15 días hábiles desde la presentación del reclamo-, sobrepasando ese tiempo en casi 6 meses. |
EN FIRME | |
| CONJUNTO RESIDENCIAL EL TESORO I- PROPIEDAD HORIZONTAL | 2/12/2020 | Los Responsables deben adoptar medidas apropiadas y pertinentes para evitar que los correos electrónicos personales sean difundidos masivamente y conocidos indiscriminadamente por todos los destinatarios. Es necesaria la implementación de medidas de seguridad para impedir la consulta y acceso no autorizado. | RESOLUCIÓN 77893 de 2020 | EN FIRME |
| BANCA DE SERVICIOS FINANCIEROS SAS | 4/12/2020 | Los Responsables deben exigir a los Encargados del Tratamiento el respeto a las condiciones de seguridad y privacidad de la información personal de los Titulares. Dicho deber no se limita únicamente al establecimiento de cláusulas contractuales; su cumplimiento implica que ir más allá porque las medidas deben ser necesarias, útiles, apropiadas y efectivas para evitar afectaciones a la seguridad de los datos de las personas -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. | EN FIRME | |
| FONDO DE EMPLEADOS GRANFONDO -FEG | 4/12/2020 | Los Responsables deben exigir a los Encargados del Tratamiento el respeto a las condiciones de seguridad y privacidad de la información personal de los Titulares. Dicho deber no se limita únicamente al establecimiento de cláusulas contractuales; su cumplimiento implica que ir más allá porque las medidas deben ser necesarias, útiles, apropiadas y efectivas para evitar afectaciones a la seguridad de los datos de las personas -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. | EN FIRME | |
| SCOTIABANK COLPATRIA S.A | 4/12/2020 | Es deber del Responsable del Tratamiento garantizar, en todo tiempo el pleno y efectivo goce del derecho fundamental de habeas data a los Titulares de la información, atendiendo efectivamente las solicitudes de supresión de información en sus bases de datos, sin que el Titular deba reiterar sus solicitudes por diferentes medios electrónicos por falta de diligencia por parte del Responsable. | RESOLUCIÓN 78221 de 2020 | EN FIRME |
| CASA EDITORIAL EL TIEMPO S A | 18/12/2020 | La regulación sobre datos personales impone cargas probatorias a los Responsables del Tratamiento, en particular, el deber de demostrar que han adoptado medidas efectivas para cumplir las normas sobre la materia - Responsabilidad Demostrada, artículo 26 del decreto 1377 de 2013-. Dentro de las obligaciones legales de los Responsables está la de contestar de manera oportuna, respetuosa y de fondo las consultas o reclamos de los Titulares. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. No respetar los derechos de los Titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos. En este caso, Casa Editorial El Tiempo S.A. no respondió oportunamente un reclamo formulado por el Titular del dato, vulnerando así su derecho a la protección de datos personales. | EN FIRME | |
| CÁMARA DE COMERCIO DE BOGOTÁ | 21/12/2020 | Sin seguridad no hay debido Tratamiento de la información. La seguridad de los datos personales no se logra con la mera expedición de manuales y políticas de seguridad. Es necesario pasar de la seguridad en el papel (documentos, políticas, etc) a la seguridad en la práctica. En el presente caso, la falla de seguridad no solo se originó por error o negligencia humana sino porque el archivo que contenía la información de 413 personas no tenía ningún tipo de seguridad técnica (Ej. documento cifrado con clave de acceso -cifrado de archivos-) para que, en caso de que el mismo llegará a destinatarios no deseados, ellos no pudiesen ver el contenido. | EN FIRME | |
| FARROW MÉXICO S.A.P.I. de C.V | 30/12/2020 | Existe un principio general de interpretación jurídica según el cual en donde la ley no distingue, no le es dado al intérprete hacerlo, entonces, si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad hacerlo. Farrow Ventures y Farrow México S.A.P.I. de C.V mediante mecanismos electrónicos -aplicativo móvil PIG.GI- recolectan Datos personales en el territorio de la República de Colombia. Así, ese Tratamiento de Datos personales está sujeto a la legislación colombiana. Por su parte, la regulación sobre de datos personales impone cargas probatorias a los Responsables del Tratamiento, esto es, el deber demostrar que ha adoptado medidas efectivas para cumplir la ley (Deber de Responsabilidad demostrada) -artículo 26 del decreto 1377 de 2013-. En este caso, las recurrentes utilizaron la versión 3.2.1 de la aplicación pig.gi para recolectar y tratar datos personales sin solicitar autorización previa, expresa e informada a las personas Titulares de esa información. Por ende, fue ilícita la recolección de datos realizada mediante dicha herramienta. | MODIFICADA | |
| FARROW VENTURES INC | 30/12/2020 | Existe un principio general de interpretación jurídica según el cual en donde la ley no distingue, no le es dado al intérprete hacerlo, entonces, si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad hacerlo. Farrow Ventures y Farrow México S.A.P.I. de C.V mediante mecanismos electrónicos -aplicativo móvil PIG.GI- recolectan Datos personales en el territorio de la República de Colombia. Así, ese Tratamiento de Datos personales está sujeto a la legislación colombiana. Por su parte, la regulación sobre de datos personales impone cargas probatorias a los Responsables del Tratamiento, esto es, el deber demostrar que ha adoptado medidas efectivas para cumplir la ley (Deber de Responsabilidad demostrada) -artículo 26 del decreto 1377 de 2013-. En este caso, las recurrentes utilizaron la versión 3.2.1 de la aplicación pig.gi para recolectar y tratar datos personales sin solicitar autorización previa, expresa e informada a las personas Titulares de esa información. Por ende, fue ilícita la recolección de datos realizada mediante dicha herramienta. | MODIFICADA | |
| A2P COLOMBIA S.A.S. | 31/12/2020 | Frente al tratamiento de números telefónicos de los usuarios que han solicitado la portabilidad de su número de un operador de telefonía a otro, al ser éste un dato semiprivado que no es público se debe solicitar y conservar la autorización previa, expresa e informada de los Titulares antes de realizar labores de marketing mediante el acceso a bases de datos con información personal. El Responsable del tratamiento de datos personales viola el Régimen General de Datos Personales cuando no ha adoptado una Política de Tratamiento de Datos, no ha documentado e implementado un Manual de Seguridad de la información y cuando incumple las instrucciones impartidas por la Autoridad de Protección de Datos Personales |
RESOLUCIÓN 82795 de 2020 | EN FIRME |