Regulación y novedades COVID-19

Superintendencia De Industria Y Comercio. Concepto Jurídico No. 20-167335 de 2020

La Superintendencia señaló que el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características:

1. Están referidos a aspectos exclusivos y propios de una persona natural,
2. Permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos;
3. Su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y
4. Su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

Superintendencia de Industria y Comercio. Resolución Número 68369 de 28 de octubre 2020

La SIC sancionó a ALMACENES ÉXITO S.A. y ÉXITO INDUSTRIAS S.A.S. por las sumas de CIENTO CUARENTA Y CINCO MILLONES OCHOCIENTOS CUARENTA Y SEIS MIL DOSCIENTOS SETENTA Y DOS PESOS ($145.846.272) y SETENTA Y DOS MILLONES NOVECIENTOS VEINTITRÉS MIL CIENTO TREINTA Y SEIS PESOS ($72.923.136) respectivamente.

En este caso, la sanción fue impuesta con ocasión de una queja de una ciudadana quien señaló que intentó más de cuatro veces que eliminaran su información de una de la lista de envíos de correo electrónico por medio del link que aparece en la parte inferior de cada mensaje, que señalaba: “si no quieres recibir más correos ingresa a este enlace”. Sin embargo, ese mecanismo fue inútil pues le siguieron enviando mensajes publicitarios sin su consentimiento.

Durante la investigación ALMACENES ÉXITO S.A. no demostró que tenía autorización de la ciudadana para el envío de publicidad. Adicionalmente, esa sociedad suministró datos de la ciudadana a ÉXITO INDUSTRIAS S.A.S., quien obró como Encargada del Tratamiento de Datos e incumplió el deber de atender debidamente la solicitud de eliminación de los datos de la ciudadana de la lista de envío de correo electrónico masivo para fines de marketing.

Superintendencia de Industria y Comercio. Resolución Número 68380 de 28 octubre 2020

La Superintendencia de Industria y Comercio sancionó al Banco de Bogotá con una multa de TRESCIENTOS CINCUENTA Y UN MILLONES CIENTO VEINTE MIL SEISCIENTOS VEINTISIETE PESOS ($351.120.627) por usar datos de una ciudadana sin contar con su autorización. El caso surgió con ocasión de la queja de una persona que manifestó que, a pesar de no tener ninguna relación con dicho banco, fue objeto de “una serie de cobros amenazantes e intimidatorios” mediante llamadas telefónicas y mensajes de texto por parte de dicha entidad.

Durante la investigación se verificó que la ciudadana fue incluida como “referencia” en una solicitud de crédito, y que ella no autorizó al banco para que usaran su información para adelantar la gestión de cobro de cartera de un tercero.

Superintendencia De Industria Y Comercio. Concepto Jurídico No. 102063 de 2020

La Superintendencia de Industria y Comercio señaló que:

1. Los datos personales permiten asociar a una persona natural determinada o determinable con las siguientes características:
   1. Están referidos a aspectos exclusivos y propios de una persona natural,
   2. Permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos;
   3. Su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y
   4. Su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
2. Los datos sensibles, son aquellos que afectan la intimidad de las personas el uso indebido de los mismos puede generar su discriminación, pues está relacionada, entre otros aspectos, con la salud, con la orientación sexual, los hábitos del individuo y el credo religioso y político.
3. Los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.
4. Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando:
   1. Sea por escrito;
   2. Sea oral o
   3. Mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización.
5. El silencio no puede asimilarse a una conducta inequívoca. Para el caso de los datos sensibles como los relacionados con la salud, la autorización explícita se refiere solo a que sea escrita o verbal y en el evento en que el titular no autorice su tratamiento, no se podrá impedir el acceso a los trámites, diligencias o actuaciones ante entidades públicas o privadas.
6. La Ley 1581 de 2012 señala los eventos en los que se puede realizar tratamiento de los datos sensibles, esto es, la recolección, el almacenamiento, el uso, la circulación o supresión de los mismos, entre ellos, cuando el titular haya dado su autorización explícita para ello.
7. No es necesaria la autorización en los casos de urgencia médica o sanitaria únicamente en los eventos en que la situación concreta, no sea posible obtener la autorización del titular o resulte problemático gestionarla, por razones de apremio, riesgo o peligro para otros derechos fundamentales para el titular o terceras personas. De lo contrario, deberá obtenerse la autorización por parte del titular de los datos personales.

Resolución Número 62132 de 2020 de 05 octubre 2020 de la Superintendencia de Industria y Comercio

La SIC ordenó lo siguiente a las sociedades ByteDance Ltd, TikTok, Inc y TikTok Pte. Ltd.:

1. Que respecto de los Datos personales que recolecta o trata en el territorio de la República de Colombia sobre personas residentes o domiciliadas en este país, implemente un mecanismo o procedimiento apropiado, efectivo y demostrable para que, al momento de solicitar la autorización a cada persona, le informe de manera clara, sencilla y expresa de:

• • El tratamiento al cual serán sometidos sus datos personales y la finalidad de estos.
  • El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
  • Los derechos que le asisten como Titular de su información.
  • La identificación, dirección física o electrónica y teléfono del responsable del tratamiento.

2. Crear una Política de Tratamiento de Información en idioma castellano que cumpla todos los requisitos que exige el artículo 13 del Decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015), y ponerla en conocimiento de los Titulares de los Datos domiciliados o residentes en el territorio colombiano.
3. Implementar un mecanismo o procedimiento apropiado, efectivo y demostrable para dar cumplimiento a los requisitos especiales que ordena el artículo 12 del Decreto 1377 (incorporado en el Decreto 1074 de 2015) para la recolección y Tratamiento de los Datos personales de niños, niñas y adolescentes (menores de 18 años).
4. Registrar sus bases de datos respecto de la información recolectada en el territorio colombiano en el Registro Nacional de Bases de Datos (RNBD), administrado por la Superintendencia de Industria y Comercio.
5. Presentar ante la Superintendencia de Industria y Comercio prueba de la Autorización previa, expresa e informada emitida por los representantes legales de los niños, niñas y adolescentes (menores de 18 años), cuyos Datos hayan sido recolectados o tratados con posterioridad a la entrada en vigencia de la Ley Estatutaria 1581 de 2012.

El incumplimiento de estas órdenes puede acarrear investigaciones administrativas sancionatorias y multas de hasta 2.000 salarios mínimos legales vigentes. Contra la decisión proceden los recursos de reposición y apelación.