Datacredito sancionado por violación del régimen de habeas data en Colombia

datacredito

Por Ivan Dario Marrugo Jimenez

Resultó llamativa entre el circulo de profesionales “encariñados” con la protección de datos personales en Colombia, la noticia anunciada por la Superintendencia de industria y comercio el pasado 25 de Octubre, en la que a través de la web de la entidad se advierte sobre la imposición de una sanción a la empresa Experian Computec S.A. – administrador de la central de riesgo Datacredito – suma que asciende a $412.650.000 equivalentes a 700 salarios mínimos.

Analizada la Resolución 62016 del 25 de Octubre de 2013, emanada de la dirección de investigaciones de protección de datos personales de la SIC, encontramos aspectos claves de aplicación de los principios en materia de protección de datos en Colombia. Basta advertir que dicho procedimiento sancionatorio por tratarse de información financiera y crediticia y de un operador de información financiera, sigue los derroteros de la Ley 1266 de 2008 y de hecho en ningún aparte de la resolución se menciona específicamente la Ley 1581 de 2012; no obstante, resulta oportuno mencionar que comienza a vislumbrarse un horizonte impregnado por la generalidad – y no la sectorización – de nuestro marco de protección de datos.

También ha venido a llamar la atención la motivación para la imposición de la sanción al operador Datacredito con relación al régimen de protección de datos personales, ya que la columna vertebral para la imposición de la multa consiste en la violación de los principios de circulación restringida, seguridad y el de confidencialidad. Lo anterior contrasta con las tradicionales sanciones impuestas a otras empresas del sector por errores “tradicionales” en la recolección del dato (fallas en la finalidad del tratamiento y/o falta de consentimiento) o en relacionados con la calidad del dato (Completitud del dato, actualización o rectificación); migrando por tanto a un escenario donde se discute, ahora sí, la naturaleza de las funciones que realizan los operadores de información y su observancia plena a un régimen que contempla una serie obligaciones no solo de medio sino de resultados, imponiendo por tanto un mayor deber de cuidado a quienes administran y operan bancos de datos.

Sin ahondar en los detalles facticos conviene establecer que a juicio de la SIC, Datacredito no observó los deberes contemplados en el Art. 7 de la Ley 1266, específicamente los contenidos en los numerales 3, 6 y 10 que están íntimamente ligados a los principios de Circulación restringida, seguridad y el de confidencialidad. Tales deberes se contraen básicamente a permitir únicamente el acceso a información personal a las personas que la ley permite, conservar con seguridad los registros almacenados para impedir su uso no autorizado y el deber de circular la información dentro de los parámetros de la ley.

Así las cosas quedó evidenciada la falta de observancia a los deberes en la actuación de Datacredito, al permitirse el acceso a información real de historias crediticias en las labores comerciales (El personal apoyaba sus ventas con el uso de demostraciones de cómo funcionan sus servicios) sin que se hubieran tomado medidas como la anonimización de los datos, lo que a juicio de la SIC representa un grave riesgo en materia de protección de datos personales.

Esto resulta de vital importancia, toda vez que mucho ha venido discutiéndose sobre el alcance en materia de imposición de sanciones a la luz de los principios de la Ley 1581 de 2012 y hace eco la decisión adoptada por la SIC en el presente caso, a las constantes advertencias que venimos lanzando, junto con otros profesionales del sector, sobre la necesidad de una verdadera implantación de una cultura de prevención en las organizaciones.

De momento se tiene un serio antecedente en materia de sanciones, sin embargo, falta un largo camino por recorrer en el proceso de maduración de nuestro sistema. El sector está a la espera de la expedición del decreto sobre Registro Nacional de las Bases de datos junto con el cual (no será en el mismo cuerpo normativo) deberán señalarse las medidas de seguridad esperadas de quienes tratan datos personales, lo que poco a poco ira cerrando el círculo sobre los empresarios y sujetos obligados como garantes de nuestra privacidad en un mundo cada vez más turbulento en esta materia.