Mal manejo de datos personales genera sanciones millonarias a importantes empresas

La Superintendencia de Industria y Comercio (SIC) impuso sanciones pecuniarias a almacenes Éxito S. A. y a Industrias Éxito SAS por $ 145.846.272 y $ 72.923.136, respectivamente, por la vulneración de datos personales.

De acuerdo con la información aportada al proceso, una ciudadana intentó más de cuatro veces que eliminaran su información de una de las listas de envíos de correo electrónico, por medio de un link que aparece en la parte inferior de cada mensaje que señalaba “si no quieres recibir más correos ingresa a este enlace”, pero ese mecanismo fue inútil, pues le siguieron enviando mensajes publicitarios sin su consentimiento.

Durante la investigación, el almacén no demostró tener autorización de la ciudadana para el envío de publicidad. Adicionalmente, incumplió el deber de atender debidamente la solicitud de eliminación de la lista de envío de correo electrónico masivo para fines de marketing.

Almacenes Éxito deberá cesar la utilización de “pop ups de registro condicionados a la aplicación del check box” como mecanismo para obtener autorización de tratamiento de datos personales de los titulares y, en el mismo sentido, proceder con la supresión de todos los datos personales de los titulares cuyo consentimiento haya obtenido mediante este mecanismo. (Lea: Esto recuerda Superindustria ante consultas de historial crediticio para fines de marketing)

Banco de Bogotá también recibió sanción

A través de la Resolución 68380, la SIC sancionó al Banco de Bogotá con $ 351.120.627, por usar datos de una ciudadana sin contar con su autorización.

La decisión obedece a la queja de una persona que manifestó que a pesar de no tener ninguna relación con dicho establecimiento financiero fue objeto de una serie de cobros “amenazantes e intimidatorios”, mediante llamadas telefónicas y mensajes de texto.

Durante la investigación se verificó que la ciudadana fue incluida como “referencia” en una solicitud de crédito y que ella no autorizó al banco para que usara su información en el adelanto de la gestión de cobro de cartera de un tercero.

La superintendencia señaló que el banco cuestionado, en su calidad de responsable del tratamiento de datos personales, infringió los deberes que le asisten al usar datos personales de la ciudadana para contactarla y realizar gestiones de cobro de una obligación de un tercero, sin contar con su autorización previa, expresa e informada, con lo que trasgredió el deber contemplado en el literal b) del artículo 17 de la Ley 1581 del 2012, en concordancia con el literal c) de los artículos 4 y 9 de la misma ley y el artículo 2.2.2.25.2.2. del Decreto 1074 del 2015. (Lea: Avisos de privacidad no equivalen a autorización para recolectar datos personales)

Así mismo, le ordenó abstenerse de hacer tratamiento de los datos suministrados como referencia para fines distintos a verificar la identidad de sus contratantes y su comportamiento con las obligaciones adquiridas, en su defecto deberá contar con el consentimiento previo, expreso e informado del respectivo titular del dato. 

Superindustria y Comercio, resoluciones 68380 y 68369, Oct. 28/20.