La fuente de información desconoció el principio de veracidad. Conforme lo establece el literal a) del artículo 4 de la Ley 1266 de 2008, el principio de veracidad exige de los responsables del tratamiento de datos personales, que la información con la que se cuente, tenga el carácter de veraz, completa, exacta, actualizada, comprobable y comprensible, de modo que cuando se presenten denuncias por suplantación, la fuente de información tiene el deber de informar tal circunstancia, para que se modifique el reporte de incumplimiento de obligaciones ante los operadores de bancos de datos, en las condiciones establecidas por el artículo 7 de la Ley 2157 de 2021.
El responsable del tratamiento de datos personales utilizó los mismos para remitir publicidad y ofrecimiento de productos. Lo anterior solo es posible en la medida que, de manera previa, este aspecto haya sido incluido en las finalidades y objetivos informados por el responsable al titular de los datos personales; por lo tanto, los mensajes y avisos que aparecían en la pantalla del celular del quejoso, se encontraban previamente autorizados por él, como quiera que, la sociedad denunciada, demostró que este dio su consentimiento, previo, expreso e informado para el uso de sus datos.
El responsable de la información respondió frente a las preguntas de “Seguridad de la Información” que solamente ha implementado una de las medidas de seguridad requeridas en el formulario del RNBD, lo que denota la existencia de deficiencias en tal aspecto. Por ello, es preciso recordar que proteger la información, es una condición fundamental del tratamiento de datos personales, de manera que, una vez recolectada, debe ser objeto de medidas de diversa índole con el fin de evitar la adulteración, pérdida, consulta, uso o acceso no autorizado que pueden afectar los derechos de los titulares y de los mismos responsables y encargados del tratamiento.
La fuente de información carece de un sistema de gestión de datos, que garantice la seguridad de la información de los titulares de los datos. No contar con una política de seguridad debidamente documentada, así como con procedimientos, sistemas y demás herramientas que garanticen la seguridad de la información, constituye una vulneración directa del derecho fundamental de habeas data. En tal sentido, el principio de seguridad exige la implementación de las medidas técnicas, humanas y administrativas que sean necesarias para garantizar la protección de los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
La fuente de información desatendió la orden impartida por la Superintendencia. Conforme al numeral 4 del artículo 9 de la Ley 1266 de 2008, es deber de las fuentes de información, cumplir dentro de los términos establecidos, las ordenes impartidas por la Superintendencia. Ahora bien, sí la Fuente no está en la capacidad de resolver los requerimientos hechos en la orden administrativa, así debe informarlo para que, en el caso particular y concreto, de ser procedente, se conceda un término adicional para tal efecto.
La fuente de información omitió la comunicación previa al reporte de información negativo. Conforme al artículo 12 de la Ley 1269 de 2008, es condición imperativa para los reportes negativos a los operadores de bancos de datos, la comunicación previa al titular a cargo de las fuentes de información. La omisión de dicho requisito comporta la violación al derecho defensa y el debido proceso.
El usuario no puede unilateralmente revisar la información de los titulares, porque la correcta interpretación del artículo 15 de la Ley 1266 de 2008, implica que el titular del dato autorice al usuario para que pueda acceder a sus datos personales con miras a establecer o mantener una relación contractual. Una vez se acceda legítimamente a esa información se podrá utilizar, únicamente para los fines indicados en el artículo 15 de la Ley 1266 de 2008.
Las órdenes que imparte esta Superintendencia no son sanciones sino medidas de carácter preventivo que buscan que las vulneraciones al régimen de protección de datos personales no se repitan. Se pretende igualmente generar conciencia en las fuentes de información para que realicen todas las tareas necesarias en aras de fortalecer las medidas que puedan tener ya implementadas para que éstas estén acordes con las disposiciones constitucionales y legales vigentes que protegen el derecho de habeas data.
La fuente de información no contestó en tiempo un derecho de petición, por lo que el titular perdió la oportunidad de actualizar sus datos, conforme el principio de veracidad. No responder de manera respetuosa, completa y de fondo, dentro del término legal establecido en el artículo 16 de la Ley 1266 de 2008, un reclamo o consulta hecho por un titular de información, vulnera su derecho fundamental de hábeas data, impidiendo que conozca, actualice o rectifique la información. Por eso, Tratar o comunicar un dato desactualizado se traduce en suministrar información errónea, equivocada o no correcta sobre la situación real de una persona.
El responsable del tratamiento de datos no cumplió con la orden impartida por la Superintendencia. De conformidad con lo establecido en el literal o) del artículo 17 de la Ley 1581 de 2012, los Responsables del tratamiento están en la obligación de cumplir con las instrucciones y requerimientos que imparta esta Superintendencia.
La efectividad de las medidas y acciones implementadas en los procesos de validación de identidad de los ciudadanos a fin de prevenir el fraude en casos de suplantación de identidad, resultan insuficientes, por lo que se apremia a la investigada a fortalecer las medidas de seguridad adoptadas para este fin.
En virtud del ejercicio del derecho fundamental de habeas data a que se refiere el literal a) del artículo 17 de la Ley 1581 de 2012 los Titulares pueden solicitar la exclusión o supresión de la información que repose en las Bases de Datos de los Responsables o Encargados del Tratamiento, siempre que no exista un deber legal o contractual que lo impida.
Las bases de datos relacionadas con las afiliaciones a la seguridad social y la aplicación de exámenes médico - ocupaciones pueden llevar el Tratamiento de Datos personales de carácter sensible. Razón por la cual debe existir por parte del Responsable del Tratamiento mayor diligencia y profesionalismo para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
En la medida que la compañía demostró su calidad de fuente respecto de la obligación, este Despacho coincide con lo manifestado por la Dirección de INvestigación de Protección de Datos Personales cuando resolvió el recurso de reposición, respecto de la disminución del valor de la sanción.
En virtud del ejercicio del derecho fundamental de habeas data a que se refiere el literal a) del artículo 17 de la Ley 1581 de 2012 los Titulares pueden solicitar la exclusión o supresión de la información que repose en las Bases de Datos de los Responsables o Encargados del Tratamiento, siempre que no exista un deber legal o contractual que lo impida.
Las bases de datos relacionadas con las afiliaciones a la seguridad social y la aplicación de exámenes médico - ocupaciones pueden llevar el Tratamiento de Datos personales de carácter sensible. Razón por la cual debe existir por parte del Responsable del Tratamiento mayor diligencia y profesionalismo para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Recuerda la Delegatura para la Protección de Datos Personales que una sociedad que se encuentre en liquidación, no está exenta de dar estricto cumplimiento a la regulación sobre Tratamiento de datos personales y a las órdenes emitidas por esta Superintendencia por cuanto mientras trate esa información, dicho tratamiento debe ser realizado conforme a la ley.
Todo Responsable del Tratamiento a quien se le imparta una orden administrativa encaminada a garantizar el debido Tratamiento de los Datos personales debe ser muy diligente con miras a establecer cómo cumplir oportuna y correctamente las órdenes impartidas. La seguridad genera confianza, si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata y profesional.
La Ley Estatutaria 1581 de 2012 aplica tanto a las entidades públicas como a las privadas. En dicho sentido, la Superintendencia de Industria y Comercio ha publicado una serie de recomendaciones con un enfoque preventivo dirigido a las entidades estatales directamente (Responsables del Tratamiento) o a través de terceros Encargados del Tratamiento), con el objetivo de prevenir la vulneración de los derechos de cualquier persona (Titular del dato) en lo atinente a su derecho a la Protección de Datos Personales.
La comunicación previa de que trata el artículo 12 de la Ley Estatutaria 1266 de 2008 es un requisito imprescindible para poder realizar el reporte de información negativa. Si bien es obligación de los deudores pagar oportunamente sus obligaciones dinerarias, al mismo tiempo quien realiza un reporte negativo debe observar el debido proceso señalado en el nombrado artículo. En este caso, la investigada incumplió con este deber, en la medida que no allegó a la presente actuación administrativa copia de la comunicación previa al reporte realizado frente a la obligación reportada a nombre del Titular.