La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a las Cámaras de Comercio de Cúcuta, Villavicencio y Montería por infringir varias disposiciones de las normas sobre protección de datos personales (Ley 1581 de 2012 y Decreto 1074 de 2015), las sanciones de los tres entes camerales ascienden a $225.109.600.
Las sanciones impuestas fueron así:
Cámara de Comercio de Villavicencio: Resolución 39514 y una sanción de: $83.508.400. Esta Cámara reconoció expresamente la comisión de la infracción, razón por la cual la multa inicial se redujo.
Cámara de Comercio de Cúcuta: Resolución 39504 y una sanción de: $90.770.000.
Cámara de Comercio de Montería: se estableció una sanción de: $50.831.200, mediante resolución 39508.
De acuerdo con el oficio radicado bajo el número 20-221040-1 de fecha 8 de julio de 2020 la superintendencia formulo las siguientes preguntas para evaluar el nivel de cumplimiento:
- ¿La recolección y Tratamiento de los Datos la realizan directamente la Cámara de Comercio de Montería o se acude a los servicios de un tercero (Encargado de Tratamiento) para que se encargue de todos o algunos de los aspectos que involucra del Tratamiento ese tipo de información?
En caso de que acuda a los servicios de un tercero, por favor adjuntar el contrato correspondiente. - ¿Antes de diseñar la página web en lo relacionado con la recolección de Datos, se realizó un estudio de impacto de privacidad (Privacy Impact Assessment – PIA por sus siglas en inglés)? De ser así, por favor remitirlo.
- ¿Se realizó una evaluación de los riesgos específicos para los derechos y libertades de los Titulares de los Datos personales? Si así fue, deberá, anexar el respectivo documento que lo acredite.
- ¿Se desarrolló y puso en marcha un sistema de administración de riesgos asociados al Tratamiento de Datos personales que les permita identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo a que están expuestas las personas como consecuencia del Tratamiento de su información a través de la página web de esa organización?. En caso de que la respuesta a este interrogante sea positiva, por favor enviar la evidencia correspondiente.
- ¿Qué medidas útiles, apropiadas, oportunas, efectivas y demostrables han adoptado para cumplir la regulación de Tratamiento de Datos personales respecto de la información que recolectan a través de su página web?
- Qué medidas tecnológicas; humanas; administrativas; físicas; contractuales; entre otras, ha implementado la Cámara de Comercio de Montería, con el fin de evitar lo siguiente respecto del manejo de la información:
i. Accesos y/o usos indebidos o no autorizados;
ii. Manipulación;
iii. Destrucción;
iv. Circulación o suministro de la de los Datos a personas no autorizadas. - ¿Esas medidas de seguridad son objeto de revisión, evaluación y mejora permanente?
- ¿Se han presentado incidentes de seguridad? De ser así, por favor informe ¿Cuántos reclamos se han presentado y cuál fue la gestión adelantada frente a esto?
- ¿Con cuáles empresas; plataformas digitales; y/o entidades se realiza intercambio o envió de Datos de los Titulares? Y ¿por qué causa?.
- ¿Dónde están almacenadas, y cómo se obtienen las Autorizaciones de los Titulares para el Tratamiento sus Datos por parte de terceros?
- De ser el caso, ¿Cuál es la información que se comparte y/o transmite? Por favor especificar.
- ¿Cuál es el Tratamiento que aplica cada tercero a los Datos recolectados?
- De conformidad con lo establecido en el artículo 11 del Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015), y en atención a las limitaciones temporales en el Tratamiento de Datos personales, ¿Cuál ha sido el procedimiento establecido por esa organización para suprimir la información que se recolecte mediante su sitio web?
- De conformidad con lo establecido en el artículo 4 del Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015) ¿Qué procedimientos se establecieron para determinar que la información solicitada en la página web, es pertinente y adecuada para la finalidad del registro?
- Así pues, por favor explique, ¿Por qué razón cada uno de los Datos recolectados son indispensables para cumplir la finalidad informada?
- Finalmente, teniendo en cuenta los procedimientos fijados informe si, ¿se tuvo en cuenta lo dispuesto por el artículo 6 de la Ley 1581 de 2012, en concordancia con el artículo 6 del Decreto 1377 de 2013, sobre el Tratamiento de Datos personales sensibles de los Titulares?, en la medida que “ninguna actividad podrá condicionarse a que el Titular suministre Datos personales sensibles”.
A nivel general la SIC encontró que mediante diversos formularios que utilizan en sus páginas web se recolectan datos personales, pero, en algunos casos, las citadas Cámaras de Comercio:
- No solicitan la autorización de las personas para recolectar y usar sus datos personales.
- No informan al titular del dato todo lo que exige el Artículo 12 de la Ley Estatutaria 1581 de 2012.
- No informan a las personas la finalidad de la recolección y tratamiento de sus datos personales.
- La Política de Tratamiento de Información (PTI) no cumple los mínimos requisitos que exige la regulación colombiana.
Adicionalmente, en los casos de las Cámara de Comercio de Villavicencio y de Cúcuta la SIC impartió órdenes administrativas para que cumplan los mandatos legales sobre tratamiento de datos personales y ajusten su Política de Tratamiento de Información.
Contra las decisiones proceden los recursos de reposición y apelación.
Con nuestra solución integral PRODATI que incluye software de gestión en la nube, diagnostico de seguridad informática, capacitación y acompañamiento especializado, le facilitamos el trabajo y documentación, reducimos el tiempo, los costos y los riesgos de un mal procedimiento que termine en sanción.
Esta seguro que su empresa cumple con la ley 1581 de protección de datos y seguridad de información ?