La Superintendencia de Industria y Comercio sancionó a SODIMAC COLOMBIA S.A., propietaria HOMECENTER con una multa de $200.004.519, luego de evidenciar que a través de sus almacenes HOMECENTER recolecta datos de sus clientes sin obtener la autorización previa, expresa e informada de los mismos.
Mediante la Resolución 59001 del 24 de septiembre de 2020 que surgió con ocasión de una denuncia ciudadana mediante la cual desde la dirección de correo [email protected] le remitieron un mensaje solicitando su autorización con la siguiente frase: “Cuando no hago clic en la opción ‘ACEPTO’, autorizo a Sodimac Colombia S.A. como consta en el AVISO DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER y CONSTRUCTOR (…).“.
La SIC precisó que los “avisos de privacidad” no equivalen a la autorización previa, expresa e informada que exige la ley para poder recolectar y usar los datos de los ciudadanos. La SIC recordó que la regulación colombiana expresamente prohíbe utilizar “medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales”
En el escrito de descargos, la sociedad SODIMAC S.A, adicionalmente, hizo referencia a los postulados de la Responsabilidad Demostrada, aseverando a ese respecto que ha venido implementando y consolidando una serie de documentos para la acreditación de dicho principio, hecho que, a su juicio, debe ser valorado por este Despacho como criterio para la imposición de una sanción pecuniaria.
Sin embargo, esta Superintendencia ha sido enfática en señalar que las disposiciones contenidas en los artículos 2.2.2.25.6.1 y siguientes del Decreto 1074 de 2015, en relación con la adopción de políticas y procedimientos efectivos para el adecuado cumplimiento de la Ley 1581 de 2012 implican que concurran una serie de presupuestos que permitan evidenciar que los procedimientos implementados, en la práctica son reales y efectivos.
Así, la regulación colombiana le impone al Responsable o al Encargado del tratamiento la responsabilidad de garantizar la eficacia de los derechos del titular del dato, la cual no puede ser simbólica ni formal, sino real y demostrable.
Conforme con ese análisis, las recomendaciones que trae la guía a los obligados a cumplir la ley 1581 de 2012:
- Diseñar y activar un programa integral de gestión de datos (en adelante PÍGDP).
- Compromiso y acciones concretas de los directivos de la organización.
- Implementar controles de diversa naturaleza.
- Desarrollar un plan de revisión, supervisión, evaluación y control del PIGDP
- Responsables y Encargados del tratamiento implementen medidas apropiadas, efectivas y verificables que le permitan evidenciar la observancia de las normas sobre la materia.
El principio de responsabilidad precisa menos retórica y más acción en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. Requiere apremiar acciones concretas por parte de las organizaciones para garantizar el debido tratamiento de los datos personales. El éxito del mismo dependerá del compromiso real de todos los miembros de
una organización. Especialmente, de los directivos de las organizaciones, pues, sin su apoyo sincero y decidido cualquier esfuerzo será insuficiente para diseñar, llevar a cabo, revisar, actualizar y/o evaluar los programas de gestión de datos.
De conformidad con la información reportada al Registro Nacional de Bases de Datos, SODIMAC recolecta y trata datos de más de 16 millones de clientes.
De lo anteriormente ordenado, la sociedad SODIMAC SA deberá aportar una certificación expedida por un auditor externo cualificado, dentro del término señalado en la parte resolutiva del presente acto administrativo.
Contra la decisión procede recurso de reposición y de apelación.
Fuente: https://www.sic.gov.co/slider/superindustria-sanciona-sodimac-colombia-y-le-ordena-eliminar-informaci%C3%B3n-por-infringir-ley-de-datos-personales