Avisos de privacidad no equivalen a autorización para recolectar datos personales

Así lo recordó la Superintendencia de Industria y Comercio al informar sobre la sanción a Sodimac Colombia S. A. (propietaria de Homecenter) con una multa de $ 200'004.519, luego de concluir que a través de sus almacenes Homecenter recolecta datos de sus clientes sin obtener autorización previa, expresa e informada.

La superintendencia precisó que dicho aviso no equivale a la autorización previa que exige la ley para poder recolectar y usar los datos de los ciudadanos. Además, recordó que la regulación colombiana expresamente prohíbe utilizar “medios engañosos o fraudulentos para recolectar y realizar tratamiento de datos personales”. (Lea: Esto recuerda Superindustria ante consultas de historial crediticio para fines de marketing)

El Decreto 1074 del 2015, en el artículo 2.2.2.25.3.2, desarrolla el concepto de “aviso de privacidad” precisando que en caso de que no sea posible poner a disposición del titular las políticas de tratamiento de la información los responsables puedan informar por aviso acerca de la existencia de tales políticas y la forma de acceder a las mismas de manera oportuna.

De esa manera, queda absolutamente clara la finalidad establecida por el Gobierno en relación con la implementación del referido instrumento, que no es otro que poner en conocimiento de los titulares la existencia de una política de tratamiento de datos.

Contenido mínimo del aviso de privacidad

Los avisos de privacidad deben contener, como mínimo, la siguiente información:

1. Nombre o razón social y datos de contacto del responsable del tratamiento.
   
    
2. La finalidad de la recolección de los datos y el tipo de tratamiento al que serán sometidos.
   
    
3. Los derechos que tiene el titular de la información. Los mecanismos dispuestos por el responsable de los datos para que el titular conozca la política y los cambios que se produzcan en ella o en el aviso de privacidad correspondiente.
   
    
4. En caso de que la organización o el responsable recolecte datos personales sensibles tales como el origen racial o étnico, orientación sexual, filiación política o religiosa, etc. debe explicarle al titular de los datos el carácter sensible que posee este tipo de información y, además, debe darle la opción de elegir si responde o brinda estos datos.

Resalta la SIC que el régimen general de protección de datos contempla de manera expresa el deber que les asiste al responsable, previo a la recolección de los datos personales, de solicitar el consentimiento y que este pueda ser objeto de consulta posterior. En igual sentido, recuerda que el silencio en ningún caso puede ser entendido como el otorgamiento de la autorización, la cual adicionalmente tiene componentes cualificados.

Sobre el particular la Corte Constitucional, en Sentencia C–748 del 2011, precisó: “El consentimiento de titular de la información es un presupuesto para la legitimidad constitucional de los procesos de administración de datos personales, tratándose de un consentimiento calificado: ya que debe ser previo, esto es, que la autorización debe ser suministrada en una etapa anterior a la incorporación del dato; expreso, en la medida que deber ser inequívoco e informado, toda vez que el titular no solo debe aceptar el tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización”.

Así, la regulación colombiana le impone al responsable o al encargado del tratamiento la responsabilidad de garantizar la eficacia de los derechos del titular del dato, la cual no puede ser simbólica ni formal, sino real y demostrable.

Adicionalmente, los responsables o encargados del tratamiento no son dueños de los datos personales que reposan en sus bases de datos o archivos. En efecto, ellos son meros tenedores que están en el deber de administrar de manera correcta, apropiada y acertada la información de las personas porque su negligencia o dolo en esta materia afecta los derechos humanos de los titulares de los datos.

Finalmente, es necesario indicar que la SIC ordenó a Sodimac lo siguiente: dejar de utilizar “avisos de privacidad” como mecanismo para obtener la autorización y suprimir todos los datos que haya obtenido con el uso de ese mecanismo. De conformidad con la información reportada al registro nacional de bases de datos, la sociedad recolecta y trata datos de más de 16 millones de clientes en Colombia.

Por su parte, Sodimac señaló que la decisión no ha sido notificada de manera oficial por parte de la superintendencia y anunció que, una vez conozca y estudie los detalles de esta, impondrán los recursos a que haya lugar. Igualmente, la compañía resalta que siempre ha operado con apego a las normas y leyes vigentes, por lo que lamenta esta situación.

“Nuestros clientes y la opinión pública en general pueden tener la seguridad de que continuaremos honrando nuestro compromiso con las normas y leyes colombianas”.

Superindustria y Comercio, Resolución 59001, 09/24/20.