Boletín Jurídico | De la legitimidad de los mecanismos de recolección de información personal

Protección de datos personales

De la legitimidad de los mecanismos de recolección de información personal

La denunciante señaló que una funcionaria de la sociedad Telexpress Inter, se comunicó con ella a su número telefónico y le indicó que había sido ganadora de un premio para un bono educativo y una estadía en un hotel en la ciudad de Cartagena. Sin embargo, para acceder al mismo debía pagar la suma de veintiocho mil pesos ($28.000). Ante dicho ofrecimiento, la titular preguntó cómo habían obtenido sus datos personales, recibiendo como respuesta que habían sido proporcionados por un grupo estadístico de la investigada, entidad a la cual la denunciante no conoce, y mucho menos ha proporcionado sus datos personales o la autorización para su almacenamiento y tratamiento.

Una vez adelantada la investigación, esta Superintendencia estableció que Telexpress Inter, recolectó datos personales por internet por medio de una ventana emergente, sin consentimiento previo, expreso e informado de los titulares y sin informar la finalidad legítima para la cual va a ser tratada dicha información, así como los derechos que le asisten a los titulares en virtud de la autorización otorgada.

Es claro que el literal b) del artículo 17 de la Ley 1581 de 2012 establece que el Responsable del Tratamiento debe solicitar y conservar copia de la respectiva autorización otorgada por el titular, lo cual se complementa con lo señalado por el literal c), el cual prescribe que el Responsable debe informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. Tal disposición fue aplicada en concordancia con lo previsto en el artículo 2.2.2.25.2.1 del Decreto 1074 de 2015 (en ese momento Decreto 1377 de 2013), el cual dispuso en su inciso final, que “no se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales”, pues es claro que al inducir a error al titular respecto al uso que se le va a dar a su dato personal se vulneran flagrantemente los principios de libertad y de finalidad. Tal situación implica que se está tratando la información personal del titular con una finalidad diferente a la que éste aceptó al momento de otorgar su autorización, de lo que se concluye que dicho consentimiento estaría viciado por no ser la clara expresión de la voluntad de la autodeterminación informativa de una persona, pues este no conoce, con claridad, a quién va entregar sus datos y con qué propósito.

Por lo anterior, la Superintendencia concluyó que el formulario utilizado en la página web de la investigada no cumple con los presupuestos exigidos por la ley para recolectar información personal, pues a través del mismo no se está solicitando la autorización previa, expresa e informada, razón por la cual se impuso una sanción, por el incumplimiento de los deberes establecidos en los literales b), c) y k) del artículo 17 de la Ley 1581 de 2012, en concordancia con el artículo 4 de la misma disposición y del artículo 2.2.2.25.2.1 del Decreto 1074 de 2015.

Resolución No. 72337 del 28 de noviembre de 2014. Radicación No. 14-16940