Órdenes impartidas por la SIC ante incumplimiento de leyes de protección de datos

La Superintendencia de Industria y Comercio, en su rol de autoridad nacional para la protección de datos, impuso multas a las empresas Comcel y Avantel por consultar sin autorización previa las historias crediticias de sus clientes, violando así lo establecido por la Ley de Habeas Data Financiero (Ley 1266 del 2008), y a Directv por enviar información de un cliente a un tercero, infringiendo la Ley 1581 del 2012. (Lea: Empresas de telecomunicaciones deben fortalecer verificación de identidad de clientes)

 

Las multas impuestas llegan a $ 864 millones y tienen, además, un componente preventivo importante, ya que se les exigió a las empresas que fortalezcan las medidas de seguridad necesarias para evitar filtraciones de datos personales o que se realicen consultas ante las centrales de riesgo sin autorización expresa de los clientes. (Lea: Partidos políticos y candidatos, a cumplir con la regulación de protección de datos)

 

Caso Avantel

 

Mediante Resolución 24801 del 2019, la superintendencia impuso una multa de $ 176.388.708 a Avantel. La decisión se tomó tras la queja presentada por un ciudadano que manifestó que su historia de crédito registraba una “huella de consulta” realizada por dicha compañía.

 

La SIC concluyó que:

 

1. Se consultó la historia de crédito del titular sin tener autorización para ello.
2. Falló en establecer los controles internos de seguridad necesarios para monitorear las consultas que se realizan desde sus cuentas a las historias de crédito de los titulares.

 

Casos Comcel

 

La SIC impuso dos multas, la primera de $ 248.434.800 (Resolución 18210 del 2019) y la segunda $ 215.310.160 (Resolución 23968 del 2019) por suministrar información sobre un cliente y efectuar consultas no autorizadas ante las centrales de riesgo.

 

Las anteriores decisiones se adoptaron con ocasión de quejas presentadas por dos ciudadanos que informaron a la SIC que la empresa había fallado en establecer las medidas de seguridad necesarias para evitar una consulta no autorizada y una divulgación excesiva (o desproporcional) para responder un requerimiento de una autoridad administrativa en una controversia contractual. (Lea: Titular de datos personales puede exigir eliminación de su información)

 

La SIC concluyó que:

 

        I.            Un funcionario de Comcel, sin autorización, consultó la historia de crédito de un titular y dicha empresa falló en establecer los controles de seguridad necesarios para evitar consultas no autorizadas a centrales de riesgo por parte de sus funcionarios.

 

      II.            Comcel suministró información excesiva para responder un requerimiento sobre las cuentas de un cliente con esa empresa, porque entregó a una entidad administrativa todo el historial crediticio respecto de Comcel y otras organizaciones, dando a conocer información personal no solicitada por la autoridad ni pertinente para lo que se requería.

 

Caso Directv

 

Mediante Resolución 20205 del 2019, la Superindustria impuso una multa de $ 223.913.320 a Directv Colombia LTDA por vulnerar el principio seguridad de la información. La anterior decisión se profirió con ocasión de la queja de un ciudadano mediante la cual puso de presente que Directv le envió información sobre él a una dirección de correo electrónico de otra persona.

 

La SIC concluyó que:

 

1. Un funcionario de Directv envió información de uno de sus clientes a un tercero, vulnerando el principio de seguridad porque suministró información privada de una persona a otra persona.

 

2. Falló en establecer los controles de seguridad necesarios para evitar el envío de información personal a terceros no autorizados.

 

En las cuatro decisiones, la Superindustria le ordenó a las sancionadas adoptar las medidas de seguridad necesarias para evitar que se realicen consultas no autorizadas a las historias crediticias de los titulares para fines o propósitos diferentes al cálculo del riesgo crediticio de que trata la ley 1266.

 

Adicionalmente, y en aras de garantizar la seguridad jurídica de los más de 36 millones de usuarios que tienen las tres compañías, la SIC les pidió que desarrollen, implementen y mantengan un programa de seguridad interno para evitar que sus funcionarios efectúen consultas no autorizadas a las historias de crédito de los titulares; que garanticen que los datos recolectados y procesados sean correctos y que cuenten con los mecanismos necesarios para reducir al máximo los riesgos de entrega de información privada a terceros no autorizados.

 

Finalmente, la entidad aclara que estas decisiones son susceptibles de presentación de recursos de reposición y apelación.

 

Superindustria y Comercio, Resolución 24801, 23968 y 18210, 06/28/19.