Titular de datos personales puede exigir eliminación de su información
22 de Mayo de 2019
La Superintendencia de Industria y Comercio (SIC) multó y sancionó al Banco Falabella y a Rappi por incumplir la Ley de Protección de Datos Personales (Ley 1581 del 2012), en ambos casos comprobó que no respetó el derecho de supresión de datos personales y que no existía autorización previa para su tratamiento.
La entidad recordó que, tal como lo manifiesta la Corte Constitucional, el derecho de habeas data otorga la facultad al titular de los datos personales de exigir el acceso, corrección, adición, actualización y eliminación de su información, por lo que resulta apenas claro que corresponde a los responsables y encargados de la información implementar los mecanismos necesarios que le permitan al ciudadano ejercer de manera efectiva ese derecho. (Lea: ¿Quiénes están obligados a registrar bases de datos?)
Del mismo modo, frente a la posibilidad que tienen los titulares de revocar la autorización y/o solicitar la supresión de sus datos, el literal e) del artículo 8º de la Ley 1581 establece que este proceso procede cuando la Superintendencia de Industria determine que en el tratamiento el responsable o encargado incurrió en conductas contrarias a la ley y la Constitución.
Caso Falabella
La SIC impuso multa por $ 496´899.600 al Banco Falabella y le ordenó adoptar medidas que respeten los derechos de las personas respecto del tratamiento de su información, como el derecho de supresión de datos y la atención debida y oportuna de sus solicitudes.
La anterior decisión, contenida en la Resolución 9766 del 2019, se tomó con ocasión de la queja de un ciudadano que le presentó al Banco Falabella ocho peticiones para que eliminara su número telefónico de su base de datos y dejara de enviarle mensajes para fines comerciales, solicitud desatendida por la compañía.
La superintendencia concluyó que no se respetó el derecho de la persona de suprimir sus datos y no se respondió debida y oportunamente a la petición ciudadana, ya que se demoró un año y cinco meses, cuando el plazo máximo es de 15 días.
En adición a la multa, la SIC le ordenó al banco adoptar medidas efectivas, apropiadas y verificables en un plazo de dos meses para:
- Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo soliciten cuando esa información es utilizada por el banco para fines comerciales o de marketing.
- Responder de manera oportuna y de fondo las consultas o reclamos que presenten las personas, eliminando cualquier barrera innecesaria para garantizar los derechos de los titulares.
- Poner a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Estos deben implementarse a través de los mismos medios o canales mediante los cuales el banco se contacta o comunica con los titulares de los datos.
Adicionalmente, la entidad bancaria deberá implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las anteriores órdenes, y realizar una auditoría enfocada en la verificación de medidas efectivas y apropiadas para cumplir lo ordenado.
Caso Rappi
Por otra parte, mediante la Resolución 9800 del 2019, la Superindustria impuso una multa de $ 298´121.760 a Rappi SAS y le ordenó adoptar medidas para proteger los derechos de las personas respecto del tratamiento de su información.
La SIC concluyó que:
- No respetó el derecho de la persona de suprimir sus datos cuando son utilizados por Rappi para fines de publicidad.
- No demostró la existencia de autorización para poder recolectar y usar los datos.
- No probó que informó a la persona lo que ordena el artículo 12 de la Ley 1581.
- No respondió debida y oportunamente la petición ciudadana, ya que se demoró 4 meses y 25 días en hacerlo, cuando el plazo máximo es de 15 días.
- No probó que cuenta con un mecanismo apropiado para establecer la identidad de las personas que visitan las plataformas de Rappi.
En adición a la multa, la SIC le ordenó a Rappi adoptar también una serie de medidas efectivas, apropiadas y verificables en un plazo de tres meses, entre ellas: abstenerse de enviar mensajes de texto, correos electrónicos, realizar llamadas telefónicas o comunicarse por cualquier medio con los titulares de los datos respecto de los cuales no tenga plena prueba de la autorización, previa, expresa e informada para dicho efecto y conservar prueba de la autorización previa, expresa e informada otorgada por cada uno de los titulares de los datos.
SIC, Resolución 9766 y 9800, Abr. 25/19.
Opina, Comenta