Superintendencia de Industria y Comercio
Top bar
.png){kind=small}
logo presidencia
| Sancionado / Investigado | Fecha | Título | Resolución | Estado |
| STARK GYM S.A.S | 30/12/2021 | La sociedad STARK GYM S.A.S deberá documentar e implementar un procedimiento para recolectar la autorización de los Titulares de los datos personales, e informarles la finalidad o finalidades de su tratamiento. Así mismo documentar e implementar una Política de Seguridad de la Información, mediante la cual se implementen medidas técnicas, administrativas y humanas para asegurar la confidencialidad, integridad y disponibilidad de la información de carácter personal. | EN TRÁMITE | |
| GRUPO AKKAR COLOMBIA LTDA | 21/12/2021 | Los Responsables deben implementar un mecanismo para la obtención de la autorización previa, expresa e informada de los Titulares de información previo al contacto por medio de la aplicación para teléfonos móviles conocida como “WhatsApp”, no resulta admisible contactar a los Titulares sin contar con su consentimiento previo para realizar el tratamiento de sus datos personales. Por otra parte, el Responsable debe adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, atender los requerimientos de esta Superintendencia como Autoridad Nacional de Protección de Datos Personales. | RESOLUCIÓN 82975 de 2021 | EN FIRME |
| COMPAÑÍA DE FINANCIAMIENTO TUYA S.A | 17/12/2021 | Las entidades financieras en su calidad de Responsables, previamente a contactar a los Titulares relacionados por los solicitantes de créditos, como Referencias personales y/o familiares, deben asegurarse de contar con el consentimiento previo e informar la finalidad del tratamiento de los datos personales. La figura de “referencia”, típica en el ámbito comercial, no puede desconocer los derechos que le asisten al titular de la información, pues no pueden los Responsables del tratamiento usar el dato personal para fines que no hayan sido previamente autorizados, como el de ubicar al deudor o actualizar sus datos. | EN TRÁMITE | |
| CREDIVALORES- CREDISERVICIOS SA | 13/12/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los responsables y Encargados del tratamiento de Datos Personales, por lo cual, las órdenes que se emitan son de obligatorio cumplimiento dentro del plazo establecido por la autoridad, y no acatarlas pone en riesgo los derechos, libertades y garantías constitucionales de los Titulares. De conformidad con el principio de responsabilidad demostrada las organizaciones deben estar en la capacidad de demostrar que han adquirido compromisos reales y efectivos frente al acatamiento de sus obligaciones legales, por lo que no basta con asignar unas labores a las personas que hacen parte de la organización pues es necesario hacer un seguimiento constante de esas funciones. | EN TRÁMITE | |
| CONSULTING GROUP MARADO S.A.S | 9/12/2021 | Aunque los datos personales de los titulares se encuentren publicados en medios masivos como internet o periódicos, no significa que sean datos públicos, y que se pueda hacer tratamiento de estos sin la autorización previa, expresa e informada del Titular del dato. En este caso CONSULTING GROUP MARADO S.A.S. tomo el correo electrónico del Titular de la información publicada en la GACETA DE PROPIEDAD INDUSTRIAL No. 884, la cual es divulgada para efectos de publicidad, con el fin de que los intervinientes dentro del proceso o los terceros afectados conozcan de las decisiones, con el fin de garantizar el debido proceso y los principios de la función pública, y en consecuencia de modo alguno se pueden tomar estos datos personales privados y semiprivados para tratarlos con fines comerciales sin obtener antes la autorización del titular. | EN TRÁMITE | |
| AVANTEL S.A.S. – EN REORGANIZACIÓN | 7/12/2021 |
Exposición indebida de datos personales por remisión de correos electrónicos a múltiples destinatarios, incumpliendo el deber de adoptar las medidas de seguridad necesarias encaminadas a evitar la adulteración, perdida, consulta uso o acceso no autorizado o fraudulento de los datos personales. La obligación del Responsable del Tratamiento no cesa con la simple respuesta a un derecho de petición elevado por el titular de la información, es necesario además que dicha solución remedie sin confusiones el fondo del asunto; que este dotada de claridad y congruencia entre lo pedido y lo resuelto. El Régimen de Protección de Datos Personales es muy claro en su definición de Encargado del Tratamiento por lo que este también debe cumplir con el deber de garantizar la protección del derecho de habeas data de los Titulares. |
MODIFICADA | |
| DUMAR PENAGOS AMEZQUITA | 2/12/2021 | El Responsable del tratamiento omitió los deberes de obtener la autorización para el tratamiento de datos personales de los titulares cuya información se recolecte a través de un sitio web e informar las finalidades del tratamiento de tales datos. Adicionalmente, omitió los deberes de documentar e implementar una política de tratamiento de datos personales y de atender los requerimientos remitidos por la Dirección de Investigación de Protección de Datos Personales. | RESOLUCIÓN 78711 de 2021 | EN FIRME |
| INVERSIONES JALBOR S.A.S. | 30/11/2021 |
Para realizar actividades de gestión del cobro se debe contar con la Autorización del Titular de la que trata la Ley 1581 de 2012 -no la Ley 1266 de 2008-. Es importante recordar que los deberes de solicitar la Autorización previa al tratamiento de los datos y el de informar la finalidad para la cual son recolectados, se encuentran estrechamente relacionados, en la medida que el titular autoriza el tratamiento de su información de acuerdo con la finalidad que se le vaya a dar a la misma. Al mismo tiempo deberá informársele al Titular respecto de los derechos que le asisten. |
EN FIRME | |
| CASTOR EDITORES S.A.S. (Hoy: SUMMIT ACADEMY S.A.S.) | 30/11/2021 | Es deber de los Responsables realizar todos los actos tendientes a obtener la autorización previa, expresa e informada de un titular para contactarlo como puente de comunicación con un deudor. Así mismo, se le debe garantizar al titular la supresión real y efectiva de sus datos cuando ello resulte procedente. | MODIFICADA | |
| COMUNICACIÓN CELULAR S.A. COMCEL S.A | 30/11/2021 |
La investigada no aportó la prueba que permitiera, demostrar sin lugar a dudas que contaba con la Autorización legal exigida por parte de la Titular, para tratar sus Datos personales, con esto, vulnerando el literal e) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de esa misma norma. |
EN FIRME | |
| AGENCIA PROMOTORA DE TURISMO NUEVOCLUB VIP S.A.S. | 30/11/2021 | Quedó demostrado que la investigada actuó negligentemente frente al tratamiento de los datos personales de los Titulares en su calidad de Responsable al no haberles solicitado de manera previa, expresa e informada la autorización para el tratamiento, conducta que vulneró de forma real y concreta su derecho fundamental de habeas data. Así mismo, no puso en conocimiento de los Titulares las finalidades de la recolección de sus datos y los derechos que le asisten como Titulares. Así mismo debe desarrollar e implementar una Política de Tratamiento de Datos Personales que se ajuste a las disposiciones consagradas en el Régimen de Protección de Datos Personales, un Manual de políticas y procedimientos para la atención de peticiones, consultas y reclamos, y un Manual de Políticas de Seguridad de la información. | RESOLUCIÓN 78032 de 2021 | EN FIRME |
| AGRUPACIÓN DE VIVIENDA VILLAS DE HATO CHICO III – PROPIEDAD HORIZONTAL | 30/11/2021 | Quedó demostrado que la investigada actuó negligentemente frente al tratamiento de los datos personales de los Titulares en su calidad de Responsable al no haberles solicitado de manera previa, expresa e informada la autorización para el tratamiento, conducta que vulneró de forma real y concreta su derecho fundamental de habeas data. Así mismo, no puso en conocimiento de los Titulares las finalidades de la recolección de sus datos y los derechos que les asisten como Titulares. Se aclara que no es suficiente presentar como prueba copia de las autorizaciones suscritas por algunos de los Titulares, cuando estas no contienen fecha de creación y/o implementación, así como tampoco fecha de suscripción por parte de los Titulares. | RESOLUCIÓN 78030 de 2021 | EN FIRME |
| INVESMENT DE COLOMBIA S.A.S | 25/11/2021 | Las Responsables del tratamiento deben cumplir con los siguientes deberes:1. El deber de solicitar y conservar, copia de la respectiva autorización otorgada por el Titular de la información para el tratamiento de su información personal.2. Informar a los Titulares sobre la finalidad de la recolección y los derechos que les asisten en virtud de la autorización otorgada.3. Deber de tramitar las peticiones presentadas por los titulares de forma oportuna. 4. Deber de contar con un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 del 2012 y, en especial, para la atención de consultas y reclamos. 5. Deber de cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio, dando respuesta a los requerimientos y órdenes impartidas por la autoridad de protección de datos personales. | RESOLUCIÓN 76118 de 2021 | EN FIRME |
| COOPERATIVA DE AHORRO Y CRÉDITO DE TRABAJADORES DE GOODYEAR DE COLOMBIA | 25/11/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo cual, las órdenes que se emitan son de obligatorio cumplimiento dentro del plazo establecido por la autoridad, y no acatarlas pone en riesgo los derechos, libertades y garantías constitucionales de los Titulares. | EN TRÁMITE | |
| FUNDACIÓN MI ALEGRE INFANCIA | 24/11/2021 | Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada al tratamiento de datos personales en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento de Datos Personales que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre la finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos que señale los términos de Ley para que los Titulares hagan efectivo su derecho a habeas data y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. | RESOLUCIÓN 75762 de 2021 | EN FIRME |
| CARDIO GLOBAL LTDA. | 24/11/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo que deben atender las instrucciones y requerimientos efectuados por la Autoridad Nacional de Protección de Datos Personales, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos, así pues, los Responsables y Encargados deben acatar las órdenes impartidas por esta Superintendencia y demostrar el cumplimiento de los deberes a los que se encuentran obligados. | RESOLUCIÓN 75761 de 2021 | EN FIRME |
| CONFIABONOS S.A.S | 17/11/2021 | Los Responsables deben garantizar al Titular el derecho que le asiste de solicitar la supresión de su información personal almacenada en sus bases de datos, página web, redes sociales -Facebook e Instagram- y en la Plataforma YouTube, de modo que el derecho de habeas data no sea un asunto meramente formal, sino enteramente material, por lo cual, debe llevarse a cabo la supresión de los datos solicitados por el Titular de forma inmediata. Así mismo, en desarrollo de sus derechos a la autodeterminación informática, los titulares son quienes de forma expresa deben autorizar que la información que sobre ellos sea recaudada pueda ser incluida en una base de datos. Finalmente, la obligación del Responsable del Tratamiento no cesa con la simple resolución del derecho de petición elevado por el titular de la información, es necesario además que dicha solución resuelva sin confusiones el fondo del asunto; que esté dotada de claridad y congruencia entre lo pedido y lo resuelto; e igualmente, que su oportuna respuesta se ponga en conocimiento del solicitante. | EN TRÁMITE | |
| GRAFIVISIÓN EDITORES S.A.S. | 17/11/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo que deben atender las instrucciones y requerimientos efectuados por la Autoridad Nacional de Protección de Datos Personales, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos, así pues, los Responsables y Encargados deben acatar las órdenes impartidas por esta Superintendencia y demostrar el cumplimiento de los deberes a los que se encuentran obligados. | RESOLUCIÓN 74238 de 2021 | EN FIRME |
| URBANIZACIÓN COLORS P.H | 16/11/2021 | Las propiedades horizontales en calidad de Responsables del tratamiento deben cumplir con los siguientes deberes:1. El deber de solicitar y conservar, copia de la respectiva autorización otorgada por el Titular de la información para el tratamiento de su información personal.2. Informar a los Titulares sobre la finalidad de la recolección y los derechos que les asisten en virtud de la autorización otorgada.3. Deber de tramitar las peticiones presentadas por los titulares de forma oportuna. 4. Deber de contar con un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 del 2012 y, en especial, para la atención de consultas y reclamos. 5. Deber de cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio, dando respuesta a los requerimientos y órdenes impartidas por la autoridad de protección de datos personales. | RESOLUCIÓN 74046 de 2021 | EN FIRME |
| CLÍNICA REYES S.A.S. | 11/11/2021 | Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada al tratamiento de datos personales en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento de Datos Personales que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre la finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos que señale los términos de Ley para que los Titulares hagan efectivo su derecho a habeas data y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. | RESOLUCIÓN 72795 de 2021 | EN FIRME |
| ESTRIOS S.A.S. | 8/11/2021 |
Sin seguridad no existe debido tratamiento de datos personales -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. La confianza es un factor crucial para el crecimiento y consolidación de cualquier actividad que involucre el Tratamiento de Datos personales. La seguridad genera confianza, si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata, profesional e inteligente. En este caso, se comprobó que la investigada no tenía un nivel aceptable de seguridad para el flujo de información del cliente al servidor y en sitio web, lo anterior, a pesar de que en dicho sitio web existen varios formularios que recolectan Datos personales. |
|
EN FIRME |
| MIRO SEGURIDAD LTDA | 5/11/2021 | La obligación del Encargado del Tratamiento no cesa con la simple resolución del derecho de petición elevado por el titular de la información, es necesario además que dicha respuesta remedie sin confusiones el fondo del asunto; que este dotada de claridad y congruencia entre lo pedido y lo resuelto; e igualmente, que su oportuna respuesta se ponga en conocimiento del solicitante. | MODIFICADA | |
| INVERSIONES E2 S.A.S | 5/11/2021 |
La vulneración del derecho de habeas data no solo afecta al Titular, también pone en riesgo los derechos de toda la sociedad. Por esto, las sanciones no pueden ni deben tratarse como una cuestión insignificante o de poca cuantía, ni mucho menos como si las incidencias del proceso lo convirtieran en uno de indemnización de daños y perjuicios. |
EN FIRME | |
| SUEÑO ESTÉREO S A S | 29/10/2021 | La autorización para el tratamiento de datos personales capturados en el lector de huella y de niños, niñas y adolescentes, debe cumplir con el requisito de ser informada e indicar las finalidades de su uso, específicamente i) el carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes ii) Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento. Los Responsables deben implementar manuales de políticas de seguridad y del ciclo del dato, en el que se describan los procedimientos usados para la recolección, uso, circulación de la información almacenada en sus bases de datos. | RESOLUCIÓN 70020 de 2021 | EN FIRME |
| ALMACENES ÉXITO S.A. | 28/10/2021 |
La investigada no demostró que atendió de manera oportuna la petición de eliminación del Titular de los Datos, con esto, el deber previsto en literal a) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal e) del artículo 8 de esa misma Ley. |
EN FRIME | |
| AEROVÍAS DE INTEGRACIÓN REGIONAL S A | 26/10/2021 |
No responder de manera respetuosa, completa y de fondo, dentro del término legal establecido, un reclamo o consulta hecho por un Titular de información, vulnera su derecho fundamental de Habeas Data, impidiendo que conozca, actualice o rectifique la información que sobre él se tenga en una base de datos o archivo. Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. De ninguna manera se debe tolerar como un comportamiento “normal” el incumplimiento de las normas, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los datos personales. |
MODIFICADA | |
| ICL INGENIERÍA DE CORROSIÓN LTDA | 26/10/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo que deben atender las instrucciones y requerimientos efectuados por la Autoridad Nacional de Protección de Datos Personales, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos | RESOLUCIÓN 69442 de 2021 | EN FIRME |
| CICOMARG -DISTRIBUCIONES S.A.S. | 22/10/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo cual, las órdenes que se emitan, son de obligatorio cumplimiento dentro del plazo establecido por la autoridad, y no acatarlas pone en riesgo los derechos, libertades y garantías constitucionales de los Titulares. | RESOLUCIÓN 68357 de 2021 | EN FIRME |
| RAPPI S.A.S. | 21/10/2021 |
Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución Política Nacional. |
EN FIRME | |
| COMUNICACIÓN CELULAR S.A. - COMCEL S.A | 20/10/2021 |
La sociedad investigada vulneró el derecho de Habeas Data de los ciudadanos al utilizar la Base de Datos de portabilidad numérica, que contiene Datos personales privados, y contactar a los Titulares de esa Base de Datos sin contar con la Autorización previa, expresa e informada para ese nuevo Tratamiento (diferente al de la portabilidad numérica). A su vez, tampoco le informó a los Titulares la finalidad del Tratamiento y desconoció la finalidad original, única y restrictiva destinada por la ley para esa Base de Datos. |
EN FIRME | |
| CORREDOR EMPRESARIAL S.A. | 20/10/2021 | Cuando alguien suministre información personal de otro Titular a un tercero (en este caso la entidad financiera), esta debe ser lo suficientemente diligente para obtener la Autorización por parte del Titular de la información (en este caso la “referencia personal”), pues, de no adelantar esta labor se estaría realizando una actividad ilegal en razón a que no cumple con los requisitos legales para ejercer ese Tratamiento. | EN FIRME | |
| COLOMBIA MÓVIL S A E S P | 14/10/2021 |
Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las empresas deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución Política Nacional. |
EN FIRME | |
| PALMERAS BARBASCAL S.A.S. | 13/10/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo que deben atender las instrucciones y requerimientos efectuados por la Autoridad Nacional de Protección de Datos Personales, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos, así pues, los Responsables y Encargados deben acatar las órdenes impartidas por esta Superintendencia y demostrar el cumplimiento de los deberes a los que se encuentran obligados. | RESOLUCIÓN 66378 de 2021 | EN FIRME |
| ALCALDÍA MAYOR DEL DISTRITO DE BOGOTÁ D.C | 05/10/2021 | Los Responsables y/o Encargados deben actuar con diligencia y cuidado reforzados, frente al Tratamiento de datos personales sensibles, cuya titularidad recae sobre ciudadanos mayores, niños, niñas y adolescentes, utilizando las mejores medidas- humanas, técnicas y administrativas- de seguridad para restringir el acceso, asegurar la confidencialidad, y evitar la circulación de la información personal sensible de salud, incluyendo la relacionada con el control epidemiológico y clínico -historial de vacunación-. De modo que, siempre que se desarrollen nuevas aplicaciones o tecnologías en las que se realice Tratamiento de información personal, se debe incorporar la Privacidad como principio y piedra angular dentro de los procesos de diseño -Privacidad desde el Diseño (PbD)-, y se deben adoptar mecanismos que garanticen el Tratamiento únicamente de los datos que sean necesarios, adecuados y pertinentes para los fines propuestos, y que la extensión de dicho Tratamiento sea estrictamente la necesaria -Privacidad por Defecto (PDpD)-. | RESOLUCIÓN 64454 de 2021 | EN FIRME |
| CMS COLOMBIA LTDA. CORPORACIÓN MÉDICA SALUD PARA LOS COLOMBIANOS | 3/09/2021 |
Las sanciones que se imponen dentro de procesos administrativos sancionatorios no constituyen ninguna cuantificación de perjuicios materiales o morales, es decir no se trata de la estimación de un daño subjetivo, como sucede en el régimen civil de responsabilidad. Por el contrario, la imposición de sanciones por violación de la Ley 1581 de 2012 tiene como fin central proteger y promover el respeto del derecho fundamental a la protección de Datos personales, que fue positivizado por el en el artículo 15 de la Constitución Política Nacional, y que, en muchas ocasiones es conexo a otros derechos fundamentales de gran relevancia constitucional como la dignidad humana; el buen nombre; la intimidad; etc. |
MODIFICADA | |
| ACEVEDO Y ABOGADOS ASOCIADOS S.A.S. | 2/09/2021 |
La potestad sancionatoria de la administración no es perpetua, sino que debe ejercerse dentro de los términos previstos en la ley. Al respecto, el artículo 52 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, establece que: "Salvo lo dispuesto en leyes especiales, la facultad que tienen las autoridades para imponer sanciones caducas a los tres (3) años de ocurrido el hecho, la conducta u omisión que pudiere ocasionarlas, término dentro del cual el acto administrativo que impone la sanción debe haber sido expedido y notificado. (...)" |
EN FIRME | |
| DISTRIBUIDORA LOS COCHES LA SABANA S.A.S | 1/09/2021 |
Sin seguridad no hay debido Tratamiento de Datos Personales. La seguridad genera confianza, si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata, profesional e inteligente. En este caso, la investigada realizó divulgación no autorizada del número de teléfono del denunciante y a su vez, este recibió a su correo electrónico Datos no autorizados de los clientes de la investigada; |
EN FIRME | |
| GRUPO VIVIR SUCRE S.A.S. | 31/08/2021 | Así las cosas, es claro para esta Dirección que la consulta realizada por GRUPO VIVIR SUCRE S.A.S. el día 01 de abril de 2019 al historial crediticio del titular contenido en el portal MiDatacredito.com, se realizó de forma indebida sin contar con su autorización, ni acreditar que la sociedad investigada estuviera cobijada por una de las finalidades descritas en el artículo 15 de la Ley 1266 de 2008. | RESOLUCIÓN 56180 de 2021 | EN FIRME |
| INVERSIONES AMBER S.A.S. | 30/08/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo que deben atender las instrucciones y requerimientos efectuados por la Autoridad Nacional de Protección de Datos Personales, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos | RESOLUCIÓN 55367 de 2021 | EN FIRME |
| AGRUPACIÓN DE VIVIENDA RINCÓN DE MANDALAY - PROPIEDAD HORIZONTAL | 27/08/2021 | Los Responsables deben cumplir con el deber de informar la finalidad de la recolección y los derechos que le asisten a los Titulares frente al tratamiento de los datos personales, incluso si están eximidos de solicitar la autorización previa en cumplimiento de un mandato legal. De igual modo, los Responsables deben implementar una Política de Tratamiento de Datos Personales que cumpla con los siguientes requisitos mínimos; (i) nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable (ii) informar al Titular su derecho a presentar quejas ante la SIC (iii) mencionar la fecha de su entrada en vigencia; (iv) mencionar el periodo de vigencia de las Bases de Datos de la sociedad; (iii) los derechos que le asisten como Titular; (iv) la identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento | EN TRÁMITE | |
| CONJUNTO RESIDENCIAL PARQUES DE PRIMAVERA I ETAPAS I Y II PROPIEDAD HORIZONTAL | 27/08/2021 | El Responsable debe solicitar y conservar copia de la autorización previa, expresa e informada de los Titulares para el Tratamiento de los datos que recolecta a través de los formularios que usan en sus plataformas digitales, formatos físicos diligenciables, y sistema de video vigilancia. De igual manera, al momento de la recolección se debe informar a los Titulares las finalidades del uso de su información y los derechos que les asisten, prohibiendo así la recopilación de datos sin la especificación clara acerca de su finalidad. Política de Tratamiento de Datos Personales y un manual interno de políticas y procedimientos para: (i) la atención de consultas y reclamos; y (ii) para el ciclo del dato desde la recolección, desde la recolección, almacenamiento, uso, y disposición final. | RESOLUCIÓN 55003 de 2021 | EN FIRME |
| Q10 SOLUCIONES S.A.S. | 18/08/2021 | Sin seguridad no hay debido Tratamiento de los Datos Personales. En este caso, la investigada no contaba con un manual de políticas de seguridad de la información que describiera las medidas técnicas, humanas y administrativas a fin de evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información administrada, conforme con el tipo de Bases de Datos que trata en calidad de Responsable del Tratamiento y no adoptó medidas eficientes con el fin de conservar la información bajo sólidas medidas de seguridad. | EN FIRME | |
| CAJA DE COMPENSACIÓN FAMILIAR DEL HUILA |
28/07/2021 |
Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece ante la configuración de un "hecho superado", y no significa que desaparezcan las eventuales irregularidades en que incurrió, ni le exime de responsabilidad. Por tanto, esta Superintendencia tiene plenas facultades para dar inicio a una actuación administrativa de carácter sancionatorio, frente a quien, entre otras cosas, alegue la configuración de un "hecho superado". | EN FIRME | |
| CAJA DE COMPENSACIÓN FAMILIAR DEL HUILA |
28/07/2021 |
Las Fuentes de información podrán reportar información negativa únicamente cuando se haya enviado la comunicación previa al Titular de la que trata el artículo 12 de la Ley Estatutaria 1581 de 2012. Lo anterior con el fin de que este pueda ejercer el derecho de contradicción, realizar el pago de la obligación o refutar su monto, cuota o la fecha de exigibilidad, o, inclusive, la existencia de esta. Esa comunicación hace parte del debido proceso para poder reportar información negativa sobre incumplimiento de obligaciones ante las centrales de información financiera. | EN FIRME | |
| BIMBO DE COLOMBIA S.A. |
28/07/2021 |
Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Las organizaciones deben obrar de manera profesional, diligente y efectiva dando estricto cumplimiento a lo establecido en el artículo 15 de la Constitución Política Nacional, la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias. En este caso, la investigada no respondió oportunamente -dentro de los 15 días hábiles siguientes a la fecha de su recibo- la petición de dos (2) titulares, sobrepasando ese tiempo en casi doce (12) meses. | EN FIRME | |
| CAJIAO OSPINA & CIA S.A.S. | 28/07/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo cual, las órdenes que se emitan tendientes a la implementación de medidas necesarias para el tratamiento, o las relacionadas con el registro sus bases de datos y la información relacionada con la Política de seguridad en el Registro Nacional de Bases de Datos son de obligatorio cumplimiento dentro del plazo establecido por la autoridad, y no acatarlas pone en riesgo los derechos, libertades y garantías constitucionales de los Titulares. | RESOLUCIÓN 47200 de 2021 | EN FIRME |
| BYLANX S.A | 23/07/2021 |
Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada al tratamiento de datos personales en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento Personales que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre la finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos desde el momento en que inicio el tratamiento de datos personales y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. |
RESOLUCIÓN 45872 de 2021 | EN FIRME |
| OCUPAR TEMPORALES S.A | 22/07/2021 | Las personas tienen derecho a “solicitar prueba de la autorización otorgada al Responsable del Tratamiento”. Los Responsables, por su parte, están obligados a “solicitar y conservar, en las condiciones previstas en la (Ley Estatutaria 1581 de 2012), copia de la respectiva autorización otorgada”. Por tanto, al margen de la alternativa que utilice el Responsable para obtener la Autorización del Titular para el Tratamiento de sus datos personales, este debe estar en capacidad de demostrar que obtuvo dicha Autorización de manera previa, expresa e informada. | EN FIRME | |
|
EL MICO INTERVENTOR S.A. |
21/07/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo cual, las ordenes que se emitan tendientes a la implementación de medidas necesarias para el tratamiento, o las relacionadas con el registro sus bases de datos y la información relacionada con la Politica de seguridad en el Registro Nacional de Bases de Datos son de obligatorio cumplimiento dentro del plazo establecido por la autoridad, y no acatarlas pone en riesgo los derechos, libertades y garantías constitucionales de los Titulares. | RESOLUCIÓN 45166 de 2021 | EN FIRME |
|
DISTRIBUIDORA NISSI E U |
12/07/2021 |
La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo que deben atender las instrucciones y requerimientos efectuados por la Autoridad Nacional de Protección de Datos Personales, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos | RESOLUCIÓN 42804 de 2021 | EN FIRME |
| TU CONSULTA COLOMBIA S.A.S. | 02/07/2021 | Las casillas “pre marcadas” por defecto, no constituyen, per se, consentimiento bajo la Ley Estatutaria 1581 de 2012. En esas situaciones, no es posible determinar de manera objetiva si el Titular ha dado o no su consentimiento sobre la base de una decisión libre e informada. Las tecnologías utilizadas, los procedimientos o mecanismos predeterminados deben ajustarse a las exigencias legales y los requerimientos probatorios de ley. Es obligación de los Responsables del tratamiento utilizar tecnologías y procesos que permitan al Titular dar su consentimiento previo, expreso e informado, así como demostrar todo lo que exige el ordenamiento jurídico. | EN FIRME | |
| CÁMARA DE COMERCIO DE VILLAVICENCIO | 28/06/2021 | Ni la responsabilidad, ni la sanción frente a quien incumple el régimen jurídico de protección de Datos personales se desvanece con la adopción de medidas y políticas que resultan ineficaces para lograr el cumplimiento de las normas de protección de Datos personales. No debe perderse de vista que “Los responsables [sic] del tratamiento [sic] de datos [sic] personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 (...)” -artículo 26 Decreto 1377 de 2013-. | MODIFICADA | |
| CÁMARA DE COMERCIO DE CÚCUTA | 28/06/2021 | El Responsable del tratamiento debe solicitar al Titular de la información la respectiva autorización previa, expresa e informada, por lo que, todo formulario publicado en el sitio web de la sociedad debe implementar la solicitud expresa de la autorización para el tratamiento de datos personales. De igual forma, dicha solicitud debe informar las finalidades del tratamiento y los derechos que le asisten al Titular, y solo podrá ser recolectada aquella información que sea imprescindible para cumplir la finalidad del tratamiento. Por otra parte, la implementación de medidas en materia de protección de datos personales por parte de la sociedad, con posterioridad al incumplimiento que dio origen a la investigación administrativa, no la exonera de responsabilidad. | EN FIRME | |
| CÁMARA DE COMERCIO DE MONTERÍA | 28/06/2021 | La conducta desplegada por la investigada vulneró las normas de protección del derecho de habeas data relacionadas con los deberes de solicitar la autorización e informar sobre la finalidad de la recolección de la información a los Titulares de la misma -literales b) y c) del artículo 17, Ley 1581 de 2012-. Asimismo, dicha organización, respecto de lo investigado por esta Autoridad, no está exceptuada del deber de solicitar Autorización previa, expresa e informada para el Tratamiento de los datos personales de los Titulares -artículo 10 de la Ley 1581 de 2012-. | EN FIRME | |
| WORKING BUSINESS S.A.S | 25/06/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo cual, las órdenes que se emitan son de obligatorio cumplimiento dentro del plazo establecido por la autoridad, y no acatarlas pone en riesgo los derechos, libertades y garantías constitucionales de los Titulares. | RESOLUCIÓN 39159 de 2021 | EN FIRME |
| COMPULAB SERVICIOS MÉDICOS INTEGRALES S.A.S. | 21/06/2021 | Los Responsables están en el deber de implementar una Política de Tratamiento de Datos Personales que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico, ser puesta en conocimiento de los Titulares, señalar el nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable; el Tratamiento al cual serán sometidos los datos y la finalidad del mismo, los derechos que le asisten como Titular; el procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, rectificar y suprimir su información y revocar la autorización para el tratamiento; y la fecha de entrada en vigencia de la política de tratamiento de la información y el período de vigencia de la base de datos. | RESOLUCIÓN 37791 de 2021 | EN FIRME |
| TIME TO TRAVEL BARRANQUILLA S.A.S. | 27/05/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia y control respecto de los Responsables y Encargados del tratamiento de Datos Personales, por lo cual, deben atender los diferentes requerimientos e instrucciones emitidas, y demostrar el cumplimiento de los deberes a los que se encuentra obligados. Entre ellos se encuentran la solicitud de autorización previa, expresa en informada para el tratamiento de datos personales, por lo cual, el Responsable del Tratamiento debe estar en capacidad de probar que cuenta con la autorización otorgada por el Titular. Así mismo, el Responsable está obligado a informar la finalidad del tratamiento de los datos personales a los Titulares, y los derechos que le asisten, de forma concomitante al momento de solicitar la autorización. | EN FIRME | |
|
CONRED S.A.S. |
27/05/2021 |
Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento de la Información que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre la finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos desde el momento en que inicio el tratamiento de datos personales y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. |
EN FIRME |
|
| CALZADO TERRANO S.A.S | 27/05/2021 | Todo Responsable del Tratamiento a quien se le imparta una orden administrativa encaminada a garantizar el debido Tratamiento de los Datos personales debe ser muy diligente con miras a establecer cómo cumplir oportuna y correctamente las órdenes impartidas. La seguridad genera confianza, si falla, es clave estar muy bien preparados y entrenados para actuar frente a los incidentes de seguridad de manera inmediata y profesional. |
|
EN FIRME |
| INSPIRA CONSULTORES S.A.S | 27/05/2021 | Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento de la Información que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre la finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos desde el momento en que inicio el tratamiento de datos personales y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. | MODIFICADA | |
| CONDIVAL S.A.S. | 26/05/2021 | Sin seguridad no existe debido Tratamiento de datos personales. El principio y el deber de seguridad tiene un criterio eminentemente preventivo, lo cual obliga a los Responsables a adoptar medidas apropiadas y efectivas para evitar afectaciones a la seguridad de la información sobre las personas. Por su parte, las órdenes no son sanciones sino son medidas necesarias para, entre otras, que los Responsables y Encargados del Tratamiento cumplan correctamente los previsto en regulación con miras a garantizar el debido Tratamiento de los datos personales y el respeto de los derechos de los Titulares de los datos. | MODIFICADA | |
| COPROPIEDAD VINTAGE PROPIEDAD HORIZONTAL | 26/05/2021 | La autorización para el tratamiento de datos personales puede obtenerse (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que este otorgó la autorización. No debe perderse de vista que el Responsable del Tratamiento debe estar en capacidad de probar que obtuvo el consentimiento previo, expreso e informado del Titular. De igual manera, el silencio, en ningún caso puede ser entendido como el otorgamiento de la autorización, la cual, debe ser calificada y gozar de los elementos señalados. Así mismo, el Responsable está obligado a informar la finalidad del tratamiento de los datos personales a los Titulares, y los derechos que le asisten, de forma concomitante al momento de solicitar la autorización. | RESOLUCIÓN 31989 de 2021 | EN FIRME |
| WHATSAPP LLC | 19/05/2021 |
WHATSAPP LLC recolecta y trata Datos personales en el territorio de la República de Colombia, entre otros, mediante el uso de "cookies" y el aplicativo móvil de WhatsApp. Es hecho notorio que el aplicativo WhatsApp está instalado en millones de equipos de ciudadanos domiciliados en el territorio colombiano. Mediante dicho aplicativo se recolectan datos en la República de Colombia durante la instalación o posterior a ella. Para recolectar y tratar datos en Colombia no es necesario estar domiciliado en este país. Avances y herramientas tecnológicas permiten que empresas u organizaciones recolecten datos en Colombia sin hacer presencia física en nuestro territorio. Estas organizaciones realizan “presencia tecnológica” en nuestro territorio mediante el uso de las citadas herramientas o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc) ubicadas en el territorio colombiano. |
EN FIRME | |
| MEDINUCLEAR S.A.S. | 6/05/2021 | La investigada, a partir de la entrada en vigencia de la Ley Estatutaria 1581 de 2012 -17 de abril de 2013-, tenía la obligación de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de dicha Ley, en especial, para la atención de consultas y reclamos – literal k), artículo 17 Ley 1581 de 2012- y, a pesar de esto, se demoró siete (7) años, siete (7) meses y veintiún (21) días en poner en marcha esos procedimientos. Esto es muy grave, pues el cumplimiento de la Ley es obligatorio -no facultativo-. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución Política Nacional. |
MODIFICADA |
|
| RAPPI S.A.S. | 6/05/2021 |
Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución. En este caso, la recurrente fue negligente al no suprimir el dato del Titular dentro del término máximo establecido por la ley -15 días hábiles desde la presentación del reclamo-, sobrepasando ese tiempo en casi 6 meses. |
EN FIRME | |
| COLOMBIA RED 365 S.A.S. | 30/04/2021 | Las personas, en desarrollo de sus derechos a la autodeterminación informática y el principio de libertad, son quienes de forma expresa deben autorizar que la información que sobre ellos sea recaudada pueda ser incluida en una base datos, de manera que la recolección de datos personales a través de una llamada telefónica es una forma de tratamiento indebida, puesto que no fue requerida de manera previa la autorización por parte del titular para recibir llamadas comerciales y tampoco se le informó el propósito específico y explícito del tratamiento. Por otra parte, es un deber de los Responsables del Tratamiento, atender los requerimientos de la Autoridad de Protección de Datos Personales. | EN FIRME | |
| SEGURIDAD SUPERIOR LTDA | 29/04/2021 | Uno de los pilares fundamentales de la regulación en materia de protección de datos personales, es la exigencia de contar con la autorización previa, expresa e informada del Titular, ya que esta es la expresión de la voluntad inequívoca otorgada por el mismo para que sus datos personales sean recolectados y divulgados. Así pues, la publicación de fotografías que permitan establecer la identidad de personas naturales determinadas o determinables constituye un tipo de tratamiento de datos personales, por lo tanto, el Responsable debe obtener la autorización previa, expresa e informada y debe estar en la capacidad de demostrar dicho consentimiento. |
EN FIRME |
|
| AMERICAN BUSINESS S.A.S | 28/04/2021 | La Superintendencia de Industria y Comercio ejerce funciones de vigilancia respecto de los Responsables y Encargados del tratamiento, por lo cual, las instrucciones dictadas por la misma, son de obligatorio cumplimiento, y no acatarlas pone en riesgo los derechos, libertades y garantías constitucionales de los Titulares. | EN FIRME | |
| FUNDACIÓN EDUCACIONAL RUPERTO AGUILERA LEÓN | 22/04/2021 | La Constitución de la República de Colombia y la ley destacan como importante el Tratamiento de Datos, sin que sea relevante si este se realiza mediante mecanismos manuales, automatizados o si se recurre al uso de tecnologías conocidas o por conocer para dicho efecto. Por su parte, el Tratamiento de los Datos personales de los menores de edad responde al interés constitucional de los mismos. Los niños, niñas y adolescentes son Titulares del Derecho Fundamental de Habeas Data y del debido Tratamiento de sus Datos personales. La Autorización para el Tratamiento de esa información debe ser otorgada por el representante legal del niño, niña o adolescente, tal como lo señala el artículo 12 del Decreto 1377 de 2013. | MODIFICADA | |
| GOELEGIDO S.A.S | 20/04/2021 |
La sociedad investigada no garantizó el pleno y efectivo ejercicio del derecho de Habeas Data del Titular de la información, toda vez que, a pesar de que este solicitó el 25 de diciembre de 2018 la supresión de sus Datos, dicha sociedad, durante el curso del proceso administrativo, no acreditó ante esta Superintendencia la eliminación de los Datos personales del ciudadano. Los derechos de las personas deben garantizarse en la práctica. No respetar los derechos de los Titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos. |
MODIFICADA | |
| INTELLIGENT TECHNOLOGY SOLUTIONS S.A.S | 20/04/2021 | Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento de la Información que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre la finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos desde el momento en que inició el tratamiento de datos personales y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. | EN FIRME | |
| CENTRO DE RECONOCIMIENTO DE CONDUCTORES SU PASE S.A.S | 20/04/2021 | El Responsable tiene el deber de tratar la información que se encuentra almacenada en su base de datos bajo las medidas mínimas establecidas por el Régimen de Protección de Datos Personales, mediante la implementación de una Política de Tratamiento de la información documentada y puesta en conocimiento de los titulares. Por lo tanto, los Responsables deben elaborar un documento exclusivo para la Política de Tratamiento de Datos Personales y no debe confundirse con otros manuales que cumplen funciones distintas dentro de la organización. | EN FIRME | |
| ROMLAND S.A.S. | 19/04/2021 | Los Responsables deben atender los diferentes llamados de la Superintendencia de Industria y Comercio y demostrar el cumplimiento de los deberes del Régimen de Protección de Datos Personales, por lo tanto, guardar silencio frente a los requerimientos es un claro incumplimiento que conlleva a una sanción. | EN FIRME | |
| SOCIAL, EDUCATIONAL, ENVIRONMENTAL AND DEVELOPMENT FOUNDATION | 19/04/2021 |
La regulación de Datos Personales colombiana le exige a los Responsables del Tratamiento “(...) ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012” -Artículo 26 del decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015)-. Lo anterior configura el principio de responsabilidad Demostrada que “consiste en el deber jurídico del responsable del tratamiento de demostrar ante la autoridad de datos que cuenta con la institucionalidad y los procedimientos para garantizar las distintas garantías del derecho al habeas data (…)” -Corte Constitucional, Sentencia C-32 de 2021-. |
MODIFICADA | |
| BANCO DE BOGOTÁ | 15/04/2021 |
Sin seguridad no hay debido Tratamiento de los datos personales, por eso, los Responsables del Tratamiento deben ser diligentes y muy profesionales con el Tratamiento seguro de los mismos. En este caso, la recurrente permitió, al enviar un correo electrónico, que un tercero no autorizado conociera información semiprivada de otra persona. Lo anterior como consecuencia de la negligencia humana y las falencias administrativas para evitar hechos como los que dieron origen a la actuación administrativa. No debe perderse de vista que la seguridad genera confianza. Si falla, es clave que las organizaciones estén preparadas para actuar frente a los incidentes de seguridad de manera inmediata y profesional. |
EN FIRME | |
| UNE EPM TELECOMUNICACIONES S.A | 14/04/2021 |
Los derechos humanos son para respetarlos y garantizarlos en la práctica. Las personas no deben rogar para que se les respeten sus derechos humanos. No es facultativo sino obligatorio respetar los derechos de las personas. En este caso, el ciudadano tuvo que presentar en más de cinco (5) oportunidades la solicitud de supresión de su información personal y durante casi seis (6) meses estuvo esperanto la protección efectiva de su derecho de habeas data por parte de la investigada. Además, a las personas no se les puede estigmatizar o discriminar por ejercer sus derechos. Al contrario, lo que se debe hacer es garantizar efectivamente los mismos y no proceder a incluirlas en “listas negras”. |
EN FIRME | |
| HABITAMOS PROPIEDAD RAÍZ S.A.S | 14/04/2021 | El Responsable del Tratamiento debe contar con procedimientos o mecanismos para informar la finalidad a los Titulares de la Información del uso que se le va a dar a sus datos personales, pues no es suficiente que este autorice previa y expresamente el Tratamiento de sus datos, sino que es necesario también que el Titular esté plenamente consciente de los efectos de haber otorgado dicha autorización, así mismo el Responsable del Tratamiento, deberá conservar prueba de la información hecha a los titulares sobre las finalidades del tratamiento de sus datos, antes de empezar a recolectarlos, utilizando un mecanismo que permita la consulta posterior. Por otra parte, los Responsables deben conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento respecto de las bases de datos que almacenan en equipos de cómputo, puertos USB, etc. Así mismo, es obligatoria la implementación de: (i) un manual interno de políticas y procedimiento documentado para la atención de quejas y reclamos, (ii) un manual interno de políticas y procedimientos que describa los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, en donde se señalen las finalidades para las cuales la información es recolectada, (iii) un manual de políticas de seguridad de la información. | EN FIRME | |
| ACADEMIA DE COCINA Y ARTES S.A. | 9/04/2021 | Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento de la Información que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre las finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos desde el momento en que inició el tratamiento de datos personales y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. | EN FIRME | |
| EDIFICIO LOS NOGALES - PROPIEDAD HORIZONTAL | 31/03/2021 | En virtud del principio de libertad, los Responsables del Tratamiento de datos personales deben requerir la autorización previa, expresa e informada del Titular, y conservar copia de la misma, e informar sobre la finalidad de la recolección y los derechos que le asisten a los residentes de la copropiedad en virtud de la autorización otorgada. De igual modo, el tratamiento de datos sensibles y sobre niños, niñas y adolescentes, tiene una protección especial por parte del legislador estatutario, en ese sentido, el principio de seguridad cobra una relevancia mayor, pues en razón a esa protección especial es imperativo reforzar las medidas técnicas, humanas y administrativas necesarias con el fin de garantizar la seguridad de todos los datos personales de la propiedad horizontal. De igual forma, los Responsables deben implementar: (i) una Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de las disposiciones establecidas en la Ley 1581 de 2012, (ii) un Manual Interno para la Atención de Consultas y Reclamos para el ejercicio del derecho de habeas data de los Titulares y (iii) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento, (iv) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, (V) una Política de Tratamiento de Datos Personales. | EN FIRME | |
| ECLECTICUS S.A | 31/03/2021 | Es deber del Responsable realizar todos los actos tendientes a obtener el consentimiento previo, expreso e informado de los titulares cuya información recolecta a través de su sitio web, dicho deber no se limita únicamente a solicitar la autorización, sino que el mismo se extiende a conservar copia de la misma en un medio que permita su consulta posteriormente. Sin embargo, no es suficiente que el Titular autorice previa y expresamente el Tratamiento de sus datos, sino es necesario también que esté plenamente consciente de los efectos de haber otorgado dicha autorización. Adicionalmente, el tratamiento de datos personales que se realiza mediante páginas web deben poner a disposición de los titulares las políticas de tratamiento de datos, el Tratamiento al cual serían sometidos y las finalidades del mismo, los derechos que le asisten al Titular, la persona o área responsable de la atención de peticiones, consultas y reclamos, el procedimiento para que los Titulares puedan ejercer sus derechos, la entrada en vigencia de la política y el periodo de vigencia de la base de datos. | EN FIRME | |
| INVERSIONES EL BOSQUE NORTE S.A | 29/03/2021 | Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Superintendencia de Industria y Comercio, especialmente la instrucción de registrar sus bases de datos y la información relacionada en el Registro Nacional de Bases de Datos. De igual forma, los Responsables deben implementar: (i) una Política de Tratamiento de la Información que debe ser redactada en un lenguaje claro y sencillo, constar en un medio físico o electrónico y ser puesta en conocimiento de los titulares, (ii) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, que incluya una descripción sobre la finalidades de la recolección y una explicación relativa a la necesidad de recolectar los datos en cada caso, (iii) un Manual Interno para la Atención de Consultas y Reclamos desde el momento en que inició el tratamiento de datos personales y (iv) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento. | EN FIRME | |
| EDIFICIO ESTUDIO 59 - PROPIEDAD HORIZONTAL | 19/03/2021 | Las Propiedades Horizontales al ser Responsables del tratamiento, deben implementar una Política de tratamiento de datos personales que debe ser puesta en conocimiento de los Titulares, así mismo, deben adoptar un manual interno en el cual se definan los procedimientos para la atención de consultas, reclamos y el ejercicio del derecho de habeas data de los titulares. Además de esto, se requiere una mayor diligencia frente al tratamiento de datos personales a través de sistemas de videovigilancia, informando a los Titulares mediante avisos de privacidad acerca de sus derechos y las Políticas de tratamiento de datos personales establecidas para el cumplimiento del Régimen de Protección de Datos Personales. | MODIFICADA | |
| BLER S.A.S | 8/03/2021 | En virtud del principio de libertad, el Responsable del Tratamiento de datos personales debe requerir la autorización previa, expresa e informada del Titular, y conservar copia de la autorización de Tratamiento otorgada por el mismo. El derecho al habeas data se concreta en la facultad del Titular de la información de decidir, voluntariamente, que la información sobre sí mismo sea sometida a Tratamiento por parte de terceros, por ello, la autorización del Titular debe ser previa al primer contacto vía telefónica, no concomitante ni posterior a la recolección del dato. | RESOLUCIÓN 11511 de 2021 | EN FIRME |
| MARKETING PERSONAL S.A | 4/03/2021 |
Es legítimo reportar a una persona como morosa siempre y cuando se cumplan los requisitos establecidos en la Ley para que ese reporte sea legal. Uno de estos exige que la información sea comprobable. Así las cosas, quien realiza el reporte (la Fuente de la información) debe ser extremadamente cuidadoso y contar con plena prueba de la veracidad de la información -numeral 1 del artículo 8 de la Ley 1266 de 2008-. De lo contrario, no estaría respetando el buen nombre de la persona reportada, causándole daños y perjuicios. |
MODIFICADA | |
| ASESORES JURÍDICOS E INMOBILIARIOS REMATES Y CESIONES S.A.S | 3/03/2021 | El Responsable debe solicitar el consentimiento previo, expreso e informado para realizar el tratamiento de la información que reposa en sentencias, autos, documentos aportados por las partes, pruebas documentales y expedientes judiciales, puesto que contienen no solo datos públicos sino también semiprivados, privados y sensibles. Adicionalmente, de manera previa a la recolección, almacenamiento y uso de los datos personales se debe informar la finalidad del tratamiento, de lo contrario se incurre en la vulneración del derecho fundamental de habeas data. Por otra parte, los responsables del tratamiento de datos personales tienen el deber de cumplir con las instrucciones y requerimientos impartidos por esta Superintendencia de Industria y Comercio, so pena de hacerse acreedores a las sanciones contempladas en las normas sobre protección de datos personales. | RESOLUCIÓN 10370 de 2021 | EN FIRME |
| FUNDACIÓN UNIVERSO DE INTELIGENCIA TECNOLOGÍA Y CULTURA DE COLOMBIA SIGLA UNIVERSITEC DE COLOMBIA | 26/02/2021 | Los Responsables del Tratamiento deben cumplir con las instrucciones y requerimientos impartidos por la Superintendencia de Industria y Comercio entre ellas la inscripción en el Registro Nacional de Bases de Datos, que debe realizarse bajo las formas y en los términos señalados en la Ley. Así mismo, los Responsables deben implementar una Política de Tratamiento de Información Personal que a su vez debe ser puesta en conocimiento de los Titulares, garantizándoles la protección y el amparo de su derecho fundamental de habeas data. De la misma manera, los Responsables deben adoptar un manual interno de políticas y procedimientos para garantizar el cumplimiento de Régimen de Protección de Datos Personales. | EN FIRME | |
| BANCO COMERCIAL AV VILLAS S.A. | 10/02/2021 |
El Banco Comercial AV Villas S.A sobrepasó el tiempo de 15 días hábiles previsto en el artículo 15 de la Ley Estatutaria 1581 de 2012 para dar repuesta al reclamo de la Titular, lo que se traduce en un incumplimiento grave de la Ley de Protección de Datos. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. Los ciudadanos no son expertos en derecho y son los Responsables del Tratamiento quienes deben ser muy diligentes y profesionales en el cumplimiento de los mandatos legales. Si un Titular del dato presenta un reclamo, al Responsable le corresponde cumplir el deber legal de responderlo de fondo y oportunamente. Atender debidamente las consultas y reclamos de los ciudadanos no es una opción sino una obligación. |
EN FIRME |