Superintendencia de Industria y Comercio

Top bar

logo presidencia

Logo SIC y Gobierno de Colombia

Se encuentra usted aquí

Tramites y servicios menu secundario

Sanciones 2019

SANCIONADO/ INVESTIGADO FECHA TÍTULO RESOLUCIÓN ESTADO
UBER TECHNOLOGIES, INC., UBER COLOMBIA SAS Y UBER B.V 17/06/2019 UBER B.V. usa “cookies” para recolectar o tratar datos personales en el Territorio de la República de Colombia, las cuales instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia, razón por la cual debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias. Por su parte, Uber Colombia S.A.S. realiza una actividad que involucra el Tratamiento de Datos Personales, en particular, utilizando los Datos de los usuarios de Uber para prestar sus servicios de publicidad. En esa medida, Uber Colombia S.A.S. es corresponsable del Tratamiento de Datos Personales de los usuarios de la plataforma en Colombia y, por tanto, debe ser muy responsable, diligente y muy profesional con el Tratamiento seguro de dichos datos.

RESOLUCIÓN 21478

APELACIÓN 59876 de 2020

EN FIRME
COMUNICATION TECH Y TRANSPORTE S.A "Cotech S.A" 21/01/2019 La Política de Tratamiento de Información (PTI) debe redactarse con un lenguaje claro y sencillo, teniendo en cuenta el tipo de audiencia, en particular si se tratan de niños, niñas o adolescentes, personas con alguna discapacidad, mayores adultos, o personas que no hablen el idioma castellano. La PTI debe diferenciarse claramente de aquella no relacionada con la protección de datos, como disposiciones contractuales o términos generales de uso.

RESOLUCIÓN 1102

APELACIÓN  76915 de 2019

EN FIRME
Facebook Inc., Facebook Colombia S.A.S. y Facebook Ireland Limited 24/01/2019 La Ley Estatutaria 1581 de 2012 es aplicable a Facebook Inc. porque recolecta Datos personales en el territorio de la República de Colombia a través de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia. El Principio de Responsabilidad Demostrada (Accountability) le impone a Facebook Inc. el deber de probar que ha adoptado medidas apropiadas y efectivas para garantizar la seguridad de la información de sus usuarios. En el ciberespacio no desaparecen los derechos humanos ni la ciberseguridad.

RESOLUCIÓN 321

APELACIÓN  12192 de 2019

EN FIRME
ABASTECIMIENTO, ASESORÍAS Y ACOMPAÑAMIENTO GAS NATURAL SAS  08/02/2019

El tratamiento de datos personales semiprivados de clientes, prospecto de clientes y empleados requiere de autorización previa, expresa e informada por parte de los Titulares, quienes deben ser informados previamente respecto de la finalidad o finalidades del tratamiento al que serán sometidos los datos recolectados. 

RESOLUCIÓN 2908 

REPOSICIÓN  18931 de 2019

MODIFICADA
BANCOLOMBIA S.A.  21/02/2019

El Responsable del tratamiento de los datos debe atender las solicitudes, peticiones, quejas y reclamos de manera debida, oportuna, de fondo, completa y demostrable. No es aceptable que el ciudadano tenga que realizar varias solicitudes y que deba esperar más de un (1) año para que su petición sea respondida -artículo 15 de la ley 1581 de 2012-.

RESOLUCIÓN 4082

APELACIÓN  76289 de 2019

EN FIRME
BANCOLOMBIA S.A. /BRM S.A 21/02/2019

Se vulneran los derechos fundamentales de protección de datos y de petición del titular cuando no se responde una solicitud de supresión de la información dentro de los siguientes quince (15) días hábiles a su realización -artículo 15 ley 1581 de 2012-.

RESOLUCIÓN 4086

APELACIÒN  76487 de 2019

EN FIRME
DIRECTV COLOMBIA LTDA  07/03/2019

Las respuestas automatizadas, preestablecidas y estandarizadas que no se refieran al caso específico del ciudadano no son útiles para cumplir debidamente la atención de consultas o reclamos del Titular del dato.  No es aceptable que el Titular de la información tenga que realizar reiteradas peticiones al Responsable solicitando la eliminación de sus datos.

RESOLUCIÓN 5501

APELACIÒN  76284 de 2019

EN FIRME
CENTRO EDUCATIVO SUPERIOR INTERAMERICANO S.A.S. 14/03/2019

Tratamiento de datos sensibles y de niños niñas y adolescentes: en los formularios utilizados por las instituciones educativas en los que se recolecten datos de niños, niñas y adolescentes y datos sensibles se debe informar a los titulares que por tratarse de datos sensibles y de menores de edad no están obligados a autorizar su tratamiento e informar de manera explícita y previa cuáles de los datos que recolecta son sensibles, la finalidad del tratamiento, así como obtener su consentimiento expreso.
 

RESOLUCIÓN 5848 EN FIRME
CONTACTO SOLUTIONS LTDA.  18/03/2019

El uso de procesos tecnológicos automatizados para el tratamiento de los datos no está exento de cumplir el deber legal de solicitar y conservar copia de la autorización previa y expresa de la persona Titular del dato. Los formularios preestablecidos y el diligenciamiento obligatorio de ciertos campos para permitir un proceso en línea no satisfacen, per se, dicho requisito -artículo 9 de la ley 1581 de 2012-.  

RESOLUCIÓN 6074

APELACIÓN  76291 de 2019

EN FIRME
CENTRAL MOTOR AMÉRICA S.A.S 21/03/2019 No toda información es un dato personal, ni todo dato personal requiere de la autorización para ser tratado. Una dirección de correo electrónico no es, per se, un dato personal y algunas direcciones de correo electrónico son datos personales de naturaleza pública. La recurrente no adoptó las medidas de seguridad necesarias para evitar que 196 direcciones de correo electrónico fuesen conocidas indebidamente por terceros.

RESOLUCIÓN 6369

APELACIÒN  33267 de 2020

MODIFICADA
GALVIS ARQUITECTOS EU 27/03/2019 La omisión de responder los requerimientos emitidos por la SIC por parte de los Administradores, Responsables y Encargados, es un incumplimiento al régimen de protección de datos personales, incluso cuando omiten responder de forma completa y suficiente los requerimientos de la entidad. RESOLUCIÓN 6960 EN FIRME
INCOTEL - MÒVIL S.A.S 27/03/2019 La omisión de responder los requerimientos remitidos por la Superintendencia da lugar a la imposición de sanción, incluso cuando omiten responder de forma completa y suficiente los requerimientos de la entidad. De conformidad con lo dispuesto en el literal o) del artículo 17 de la ley 1581 de 2012. RESOLUCIÓN 6955 EN FIRME
BANCO FALABELLA S.A.  25/04/2019

Los Titulares de los datos tienen el derecho de solicitar al Responsable del Tratamiento la exclusión o supresión de sus datos personales. Esta solicitud debe ser atendida oportuna y debidamente sin que el ciudadano tenga que insistir para hacer valer sus derechos.

RESOLUCIÓN  9766

APELACIÒN  76227 de 2019

EN FIRME
RAPPI S.A.S  25/04/2019

Rappi incumplió el deber de solicitar y conservar copia de la autorización del Titular del dato y se demoró más de 22 meses en suprimir datos de una persona que tuvo que presentarle dos peticiones para dicho efecto. Los derechos de las personas se deben garantizar oportunamente sin que el ciudadano tenga que rogarles o insistirles a las empresas.
La creación de un usuario en una plataforma tecnológica no significa, per se, que él autorizó el tratamiento de sus datos personales. Al utilizarse herramientas o procesos tecnológicos en páginas web o aplicaciones (APP) es imprescindible que el Responsable establezca la real identidad del Titular del dato; evitando que terceros o suplantadores de identidad autoricen el tratamiento.

RESOLUCIÓN  9800

APELACIÓN  74828 de 2019

EN FIRME
TRAVEL LINK S.A.S.  25/04/2019

La recolección de datos personales acudiendo al mecanismo de “referidos” no habilita al responsable para realizar tratamiento de datos personales en la medida en que se requiere la autorización previa, expresa e informada del Titular cuyos datos van a ser tratados. 
La responsabilidad jurídica y económica frente al tratamiento de datos personales radica no sólo en la persona jurídica, sino también en cabeza de sus Administradores.
 

RESOLUCIÓN  9804 EN FIRME
ACORAL CONSTRUCTORA  S.A.S 06/05/2019 La política de tratamiento de datos debe cumplir con los requisitos mínimos establecidos en la ley 1581 de 2012, por cuanto: i) debe describir de manera clara y sencilla los procedimientos mediante los cuales los Titulares pueden ejercer sus derechos, ii) informar el término de vigencia de cada una de sus bases de datos y, iii) acreditar el haber puesto a disposición de los Titulares está información.  RESOLUCIÓN 11487 EN FIRME
PASH S.A.S 06/05/2019 El Responsable debe recolectar los datos personales habiendo solicitado de manera previa y expresa la autorización del titular para realizar el tratamiento y conservar copia de esta. Adicionalmente, el Responsable deber darles el trámite correspondiente a las solicitudes interpuestas por el quejoso, implementando un procedimiento de atención de consultas y reclamos que garantice el derecho de habeas data. 

RESOLUCIÓN 11505

REPOSICIÒN  23992 de 2019

EN FIRME
ROYAL FILMS S.A.S 13/05/2019 Los Responsables del Tratamiento de la información de los ciudadanos tienen la obligación de mantener la información bajo condiciones de seguridad idóneas, eficaces, oportunas y demostrables, que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales de las personas -literal d) del artículo 17 de la Ley 1581 de 2012.

RESOLUCIÓN 13526

APELACIÒN  76231 de 2019

EN FIRME
COMUNICACIÓN CELULAR S A COMCEL S.A 23/05/2019 El deber de garantizar el ejercicio efectivo del derecho al habeas data, se viola cuando no se le permite al titular revocar la autorización; también se vulnera este derecho fundamental cuando el administrador no tramita los requerimientos del Titular.

RESOLUCIÓN 16240

APELACIÓN  76953 de 2019

MODIFICADA
RED MÁS 365 S.A.S 29/05/2019 Deber de solicitar autorización: el número telefónico de uso personal es un dato personal de carácter semiprivado, lo que significa que sólo puede ser tratado cuando se cuente con la autorización previa, informada y expresa. RESOLUCIÓN 17609 EN FIRME
UNE EPM TELECOMUNICACIONES S.A 29/05/2019 El deber de solicitar y conservar copia de la autorización previa, se viola cuando el Responsable recolecta datos personales como números telefónicos y correos, sin adelantar el procedimiento para obtener la autorización previa, expresa e informada. 

RESOLUCIÓN 17615

APELACIÓN  32180 de 2020

MODIFICADA
MERVICOL S.A.S 29/05/2019 Debe ser respetuoso de la regulación de datos personales cualquier tratamiento de números telefónicos mediante “marcadores predictivos”, robocalls, inteligencia artificial y otras tecnologías o procedimientos automatizados para contactar personas.

RESOLUCIÓN 17629

APELACIÒN  38281 de 2020

EN FIRME
ASISTENCIA UNIVERSAL S.A.S 31/05/2019 El Responsable debe solicitar y conservar copia de la autorización previa, expresa e informada del titular y cumplir con el deber de informar al Titular la finalidad del tratamiento de sus datos personales. El consentimiento puede verse viciado cuando no se especifica la finalidad del tratamiento de los datos. RESOLUCIÓN 18832 EN FIRME
FOTOGRAFO 31/05/2019 La foto que capta la imagen del rostro de una persona es un dato personal sensible porque trata datos biométricos (Artículo 5 de la Ley 1581 de 2012). Para la recolección y uso de este tipo de datos deben observarse las reglas especiales señaladas en el artículo 6 del decreto 1377 de 2013 en concordancia con lo dispuesto en los artículos 9 y 12 de la citada ley. La autorización puede obtenerse mediante cualquiera de los mecanismos autorizados por la ley y sus normas reglamentarias, pero el Responsable debe asegurarse de conservar copia de esta para suministrarla al Titular del dato cuando la requiera en virtud del literal b) del artículo 8 de la citada ley y para dar cumplimiento al literal b) del artículo 17 de la misma.

RESOLUCIÓN 18848

APELACIÒN  30412 de 2020

MODIFICADA
DIEZ MEDELLIN S.A.S 31/05/2019 Para usar fotos con fines de publicidad o marketing y que captan la imagen facial de una persona, es necesario que el Responsable del Tratamiento solicite la autorización previa, expresa e informada a que se refiere la Ley Estatutaria 1581 de 2012. Esta se puede obtenerse mediante cualquiera de los mecanismos autorizados por la ley y sus normas reglamentarias, pero el Responsable debe asegurarse de conservar copia de esta para suministrarla al Titular del dato cuando la requiera en virtud del literal b) del artículo 8 de la citada ley y para dar cumplimiento al literal b) del artículo 17 de la misma. 

RESOLUCIÓN 18848

APELACIÒN  30489 de 2020

MODIFICADA
PAZ RODRIGUEZ S.A.S 31/05/2019 El Responsable debe cumplir con las órdenes y requerimientos que imparta la SIC, relacionadas con posibles instrucciones o modificaciones solicitadas frente al Registro Nacional de Base de Datos. 

RESOLUCIÓN 18920

APELACIÒN  76228 de 2019

EN FIRME
COLEGIO RAFAEL POMBO 31/05/2019 El Tratamiento de datos personales de menores de edad exige mayor responsabilidad y cuidado. Se deben implementar procesos de seguridad de la información, así como la adopción de un Manual Interno de Políticas y Procedimientos. El cumplimiento de estos debe ser monitoreado con el fin de garantizar que sean útiles, oportunas, idóneas, efectivas y demostrables.

RESOLUCIÓN 18925

APELACIÒN  76481 de 2019 

MODIFICADA
UNE EPM TELECOMUNICACIONES S.A 31/05/2019 No es necesario que el ciudadano presente más de una solicitud para que supriman o eliminen sus datos. Los derechos del Titular del dato deben garantizarse oportunamente. Los Responsables del Tratamiento deben obrar de manera muy profesional, diligente e implementar la responsabilidad demostrada (accountability) en esta materia.

RESOLUCIÓN 18952

APELACIÓN  35093 de 2020

MODIFICADA
CASA EDITORIAL EL TIEMPO S.A CON SIGLA CEET S.A 31/05/2019 Las medidas de seguridad de los datos deben ser idóneas, oportunas, demostrables y efectivas cuando se realiza el tratamiento de esa información. No basta expedir documentos o políticas, sino que es necesario asegurar que lo escrito en el papel se cumpla en la práctica. 

RESOLUCIÓN 18953

APELACIÒN  76292 de 2019

EN FIRME
INSTALACIONES HIDROSANITARIAS FUENTES S.A.S 31/05/2019 El Responsable debe cumplir con las órdenes y requerimientos que imparta la SIC, relacionadas con posibles instrucciones o modificaciones solicitadas frente al Registro Nacional de Base de Datos.  RESOLUCIÓN 18980 EN FIRME
COLOMBIA TELECOMUNICACIONES  S.A E.S.P 31/05/2019 COLOMBIA TELECOMUNICACIONES S.A. E.S.P. incluyó a la Titular del dato en una "lista negra"; actuación que está prohibida por constituir un ejercicio abusivo y desproporcionado de la facultad legal de administración de los datos personales, y que es contraria a los principios de libertad, finalidad y legalidad en el tratamiento de dichos datos, ya que constituye un uso no autorizado de la información de los ciudadanos.

RESOLUCIÓN 19012

APELACIÒN  34913 de 2019

MODIFICADA
DIRECTV COLOMBIA LTDA 10/06/2019 DIRECTV COLOMBIA LTDA no demostró haber adoptado medidas apropiadas y efectivas para cumplir el principio y el deber de seguridad, pues permitió que un tercero no autorizado conociera información privada de otra persona. Por el contrario, sólo ha implementado medidas formales de seguridad, las cuales son insuficientes para garantizar un tratamiento seguro de los datos personales. Sin seguridad no existe debido tratamiento de datos personales y la seguridad no se logra con la mera redacción de políticas, sino con la implementación real de las mismas en todas las actividades que involucran tratamiento de datos personales.

RESOLUCIÓN 20205

APELACIÒN  34638 de 2020

MODIFICADA
UBER 17/06/2019 UBER B.V. usa “cookies” para recolectar o tratar datos personales en el Territorio de la República de Colombia, las cuales instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia, razón por la cual debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias. Por su parte, Uber Colombia S.A.S. realiza una actividad que involucra el Tratamiento de Datos Personales, en particular, utilizando los Datos de los usuarios de Uber para prestar sus servicios de publicidad. En esa medida, Uber Colombia S.A.S. es corresponsable del Tratamiento de Datos Personales de los usuarios de la plataforma en Colombia y, por tanto, debe ser muy responsable, diligente y muy profesional con el Tratamiento seguro de dichos datos. 

RESOLUCIÓN 21478

APELACIÒN  59876 de 2020

EN FIRME
TRAVELS INTERNATIONAL S.A.S 18/06/2019 El responsable del tratamiento debe adoptar los procedimientos adecuados para solicitar y conservar la copia de la autorización del titular, e informar los datos que serán recolectados junto con las finalidades específicas, para los cuales se va a obtener el consentimiento del titular. Por otra parte, los Responsables deben acreditar el deber de desarrollar e implementar un manual para la atención de consultas y reclamos, un manual de políticas de seguridad y un manual para la recolección, uso almacenamiento circulación y supresión de la información. RESOLUCIÓN 21730 EN FIRME
PAZ RAMÍREZ S.A.S 19/06/2019 Los Responsables del Tratamiento de datos de los ciudadanos tienen el deber de acatar de manera debida y oportuna las instrucciones que imparte esta Superintendencia - literal o) del artículo 17 de la Ley 1581 de 2012-. Omitir el cumplimiento de dichas órdenes, requerimientos o instrucciones es una actuación negligente e inaceptable que presta mérito para ser sancionado.

RESOLUCIÓN 21889

APELACIÒN  76224 de 2019

EN FIRME
AROLEDA Y CIA  S.A.S 27/06/2019 Los Responsables del tratamiento, aun cuando no estén obligados a la inscripción de sus bases de datos en el RNBD, tienen que adoptar una política de TDP o de manera subsidiaria un aviso de privacidad que debe conocer el Titular a más tardar al momento de la recolección de sus datos personales, en concordancia con el principio de transparencia, que describa la política de TDP, y los mecanismos que permitan el ejercicio del derecho de habeas data. RESOLUCIÓN 23969 EN FIRME
PROMOTORA DEINVERSIONES Y COBRANZAS S.A.S 28/06/2019 La falta de controles sobre la veracidad de la información que le suministran terceros al Responsable del Tratamiento, puede generar el uso y circulación de información errónea. En caso en que se presente una falla de seguridad que afecte datos personales, los Responsables del Tratamiento deben implementar las medidas necesarias para remediar el incidente y mitigar los posibles efectos o consecuencias negativas para los Titulares concernidos, así como con las medidas correctivas para evitar que ese tipo de fallas vuelvan a suceder a futuro.) 

RESOLUCIÓN 24887

APELACIÒN  76917 de 2019

MODIFICADA
ROMAL ARQUITECTURA Y CONSTRUCCIÒN S.A.S 28/06/2019 El responsable del tratamiento, aun cuando no esté obligado a la inscripción de sus bases de datos en el RNBD, tienen el deber de adoptar una política de TDP o de manera subsidiaria un Aviso de Privacidad que describa la existencia de esta y la forma de ejercer sus derechos, la cual se debe dar a conocer a los titulares, al momento de la recolección de sus datos personales, en concordancia con el principio de transparencia y legalidad. RESOLUCIÓN 24970 EN FIRME
CREACIONES IRUNA Y CIA. LIDA. 04/07/2019 El deber de informar por medio de un Aviso de Privacidad a los Titulares sobre la existencia de la política de tratamiento de datos personales se vulnera cuando no es oportuno, es decir, cuando no se realiza a más tardar al momento de la recolección de los datos personales, y es sancionable cuando la SIC imparte órdenes e instrucciones al respecto y el responsable las omite. RESOLUCIÓN 26075 EN FIRME
TCC S.A.S 10/07/2019 Transcribir o parafrasear lo que dice la ley no cumple con lo ordenado por el literal k) del artículo 17 de la Ley 1581 de 2012 porque en el Manual Interno se deben establecer las "políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley". Adicionalmente, lo mencionado en dicho Manual debe ser útil, oportuno, idóneo y demostrable para proteger los derechos de los Titulares de la información.

RESOLUCIÓN 27116

APELACIÒN  49321 de 2020

MODIFICADA
CREDIMPORTACIONES BOGOTA LTDA 23/07/2019 El Responsable tiene el deber de solicitar la autorización previa, expresa e informada del Titular, antes de dar tratamiento a sus datos personales mediante llamadas a su teléfono celular, de igual manera, al momento de la recolección se debe informar la finalidad especifica del tratamiento.   RESOLUCIÓN 30029 EN FIRME
ISABEL HENAO DE MENESES E HIJOS CIA S. EN C. 31/07/2019 Deber de implementar y desarrollar un Aviso de privacidad, para dar a conocer la existencia de políticas de tratamiento de información.
Deber de cumplir con los requerimientos e instrucciones impartidas por la SIC, aunque no se esté en la obligación de registrar su información en el RNBD.
 

RESOLUCIÓN 31883

REPOSICIÒN  68499 de 2019 

MODIFICADA
WORKING BUSINESS S.A.S 31/07/2019 Deber de contar con una autorización previa y expresa por parte de los titulares de la información, para no vulnerar su derecho a la autodeterminación informática y decidir sobre su tratamiento. Deber de adoptar una "política de tratamiento de datos personales" para garantizar la seguridad de la información. RESOLUCIÓN 32121 EN FIRME
CAJA COLOMBIANA DE SUBSIDIO FAMILIAR - COLSUBSIDIO 01/08/2019 Deber de cumplir las observaciones y requerimientos realizados por la SIC, aportando prueba técnica de la supresión de la información del titular.

RESOLUCIÓN 32457

APELACIÒN  76920 de 2019

MODIFICADA
IMPULSADORA HOTELERA Y TURISTICA LTDA. HOTURIS LTDA. 08/08/2019 Es deber de los Responsables de contar con una política (o manual) interno para la atención de consultas y reclamos que presenten los Titulares de la Información - literal k) del artículo 17 de la Ley 1581 de 2012-. Dicha política debe incluir un mecanismo de monitoreo para evaluar su efectividad en la práctica y cumplir el principio de responsabilidad demostrada (accountability)

RESOLUCIÓN 34889

APELACIÒN  76913 de 2019

MODIFICADA
AMERICAN BUSSINES S.A.S 13/08/2019 AMERICAN BUSSINES realizó el tratamiento de datos personales, sin acreditar que contaba con la autorización previa, expresa e informada del Titular; lo cual restringió su derecho a la autodeterminación informática y a decidir sobre el tratamiento de sus datos personales. Desde luego, el Responsable tampoco contaba con la copia de la autorización, pese a que esta se debe conservar mientras subsista en tratamiento.   RESOLUCIÓN 35959 EN FIRME
SAMARA REPRESENTACIONES HOTELERAS S.A.S 15/08/2019 SAMSARA REPRESENTACIONES HOTELERAS S.A.S. al momento de recolectar los datos personales de los titulares de manera virtual, no solicitó su autorización, ni informó las finalidades específicas del tratamiento. 
El Responsable debe dar respuesta oportuna a los requerimientos de la SIC, puesto que de lo contario estaría obstaculizando la facultad de inspeccionar y velar por el cumplimiento del Régimen de protección de datos personales. 
RESOLUCIÓN 36967 EN FIRME
ASEGÚRATE FÁCIL LTDA 04/09/2019 Asegúrate Fácil LTDA no demostró que había solicitado y conservada prueba del consentimiento previo, expreso e informado del Titular para tratar los datos personales que le conciernen. El silencio, las casillas “pre marcadas” por defecto y la inacción no constituye consentimiento bajo la Ley 1581 de 2012.
Al utilizarse herramientas en páginas web o aplicaciones tecnológicas, resulta imprescindible que el Responsable verifique que la persona que autorizará el Tratamiento es realmente quien dice ser y no que se trata de un tercero o de un suplantador de identidad.
 

RESOLUCIÓN 42629

APELACIÒN  76538 de 2019

EN FIRME
VIA PACIFICO S.A.S 18/09/2019 VÍA PACIFICO SAS debe informar las finalidades del Tratamiento de la información personal de los Titulares, en los formatos de autorización previa. Así mismo, en su política de tratamiento de DP debe señalar el periodo de vigencia de las bases de datos que utiliza dentro de sus operaciones. 

RESOLUCIÓN 47027

REPOSICIÒN  68606 de 2019

EN FIRME
ENTIDAD PROMOTORA DE SALUD SERVICIO OCIIDENTAL DE SALUD S.A. SOS 25/09/2019 La Entidad Promotora de Salud Servicio Occidental de Salud S.A. SOS, no respondió de manera completa la solicitud del Titular del Dato. Dicha entidad, como Responsable del Tratamiento de la información de los ciudadanos, tiene el deber de atender y responder de manera completa, debida, de fondo y oportuna, las solicitudes de los Titulares de la información, conforme lo estable el artículo 17 de la Ley 1581 de 2012.

RESOLUCIÓN 49160

APELACIÒN  61173 de 2020

MODIFICADA
TRAVELS LINE S.A.S 30/09/2019 El incumplimiento del deber de atender los requerimientos e instrucciones de la SIC referentes al tratamiento de datos personales; permite  concluir que TRAVELS LINE SAS no cuenta con: a) una política de tratamiento de datos personales con los requisitos mínimos establecidos en la ley 1581 de 2012, b) no solicitó y ni conservó copia de la autorización del Titular para el tratamiento de datos personales c) tampoco acreditó la implementación de un manual de políticas de seguridad, ni un manual para la atención de consultas y reclamos.  RESOLUCIÓN 51078 EN FIRME
CAJA DE COMPENSACIÓN FAMILIAR COMFENALCO SANTANDER 30/09/2019 El principio de seguridad y confidencialidad se vulnera cuando se remite un correo electrónico que permite a una o varias personas ver o conocer las direcciones de correo electrónico de los destinatarios de dicho mensaje.  En el tratamiento de datos personales de naturaleza pública se deben aplicar los principios rectores del artículo 4 de la ley 1581 de 2012, salvo los de libertad y confidencialidad.

RESOLUCIÓN 51294

APELACIÒN  76480 de 2019

MODIFICADA
WINNER GROUP S.A 29/10/2019 La Autorización y/o consentimiento que exige la Ley 1581 de 2012 para el Tratamiento de los datos de los ciudadanos es calificado, esto es, debe ser previo, expreso e informado; características anteriores que deben acreditarse y demostrarse por el Responsable del Tratamiento aún en el supuesto de que dicho consentimiento sea otorgado por el Titular a través de conductas inequívocas, lo que en el caso concreto no demostró la sociedad Winner Group S.A. La autorización mediante conductas inequívocas también debe ser previa e informada.

RESOLUCIÓN 58043

APELACIÒN  74223 de 2019

MODIFICADA
GRUPO REDDIAL S.A.S 31/10/2019 GRUPO REDDIAL SAS, no solicitó ni conservó copia de la autorización de los Titulares para el tratamiento de datos personales, situación que impide el ejercicio del derecho de autodeterminación informática en concordancia con el principio de libertad, según el cual los Titulares son quienes autorizan que su información personal sea incluida en alguna base de datos.  RESOLUCIÓN 59220 EN FIRME
STAR SEGUROS VIP LTDA 15/11/2019 El tratamiento de datos personales sólo puede ser autorizado por el Titular de estos para una finalidad específica, por lo tanto, el Responsable debe adoptar los procedimientos adecuados para solicitar y conservar copia de la autorización del Titular e informar los datos que serán recolectados junto con las finalidades de su uso. RESOLUCIÓN 63206 EN FIRME
ENTIDAD PROMOTORA DE SALUD SAITAS S.A.S - E.P.S SANITAS S.A.S 19/11/2019 La adulteración del formulario de afiliación del Titular bajo custodia de la E.PS SANITAS S.A.S, sin su autorización, además de ilegal, constituye una vulneración al literal d) del artículo 16 de la Ley Estatuaria 1581 de 2012, que ordena “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. Una empresa que se dedica a la prestación del servicio de salud (derecho fundamental) como la E.P.S. Sanitas S.A.S., y que trata Datos de más de cuarenta y tres millones y medio (43’500.000) de personas, debe ser extremadamente diligente y garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos.

RESOLUCIÓN 64328

APELACIÒN  77049 de 2019

MODIFICADA
PAYMENT SOLUTION S.A.S 29/11/2019 Deber de solicitar la respectiva autorización otorgada por el Titular: los Responsables no pueden conformar sus bases de datos a través del sistema de referidos, pues la autorización debe ser previa al tratamiento, y con el hecho de utilizar el número telefónico por primera vez se estaría realizando tratamiento del dato anterior al otorgamiento de la autorización. RESOLUCIÓN 68469 EN FIRME
RAPPI S.A.S  29/11/2019 La autorización otorgada por el Titular en virtud del contrato laboral suscrito con el Responsable vulneró sus derechos de habeas data y autodeterminación informática, puesto que no autorizó de manera expresa la difusión de su imagen/fotografías para fines publicitarios. Por consiguiente, la autorización para el tratamiento de datos personales no debe generar confusión, por el contrario, dicho documento debe informar claramente los datos que serán recolectados y las finalidades del tratamiento RESOLUCIÓN 68533 EN FIRME
CREDIVALORES CREDISERVICIOS S.A 29/11/2019 Los datos personales no podrán ser obtenidos ni divulgados sin previa autorización del titular, o en ausencia de mandato legal o judicial que releve el consentimiento. Esto impide que la información ya registrada de un ciudadano, obtenida bajo su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos a los autorizados inicialmente, puesto que el titular tiene el derecho a determinar cuáles de sus datos dar a conocer como parte de su imagen corporativa.

RESOLUCIÓN 68616

EN FIRME
PREPAGO DE COLOMBIA PREPACOL S.A.S 29/11/2019 El Responsable debe cumplir las órdenes emitidas por la SIC referentes a la inscripción de las bases de datos en el Registro Nacional de Bases de Datos, así mismo es su deber atender de forma integral los requerimientos realizados por dicha autoridad.  RESOLUCIÓN 68554 EN FIRME
CONJUNTO RESIDENCIAL HACIENDA PEÑALISA OCOBO 04/12/2019 Los edificios de oficinas o conjuntos residenciales que se someten al régimen de propiedad horizontal son personas jurídicas Responsables del Tratamiento de los datos personales que recolectan, almacenan o usan sobre todas las personas que ingresan a sus instalaciones. Por lo tanto, están obligados a obtener la autorización previa e informada de las personas de las cuales realicen tratamiento de datos, y deben demostrar que informaron todo lo que ordena el artículo 12 de la Ley 1581 de 2012.

RESOLUCIÓN 69438

APELACIÒN  43198 de 2020

MODIFICADA