Propiedades horizontales: sanciones por vulneración a la normativa de protección de datos personales

Por Heidy Balanta

Presentamos un breve extracto de las sanciones que ha impartido la Superintendencia de Industria y Comercio a las Propiedades Horizontales por el incumplimiento al Régimen de Protección de Datos Personales.

1. COSMOCENTRO CIUDADELA COMERCIAL CALI: La Superintendencia de Industria y Comercio dio apertura a una investigación administrativa, la cual surgió por queja presentada por un titular de la información, la cual señalaba que el centro comercial recolectó información personal relacionada con 21 niños incluido su hijo, los cuales participaron en una actividad llamada taller de las cometas, por lo anterior la Superintendencia pudo evidenciar qué el centro comercial no recolectó la autorización para el tratamiento de datos personales conforme lo señala el artículo 9 y 12 de la ley 1581 de 2012; Por otra parte, al revisar el material probatorio aportado Se pudo evidenciar el envío masivo de correos electrónicos con información personal de por lo menos 15 menores de edad, vulnerándose el derecho de los titulares al no conservarse la información bajo las condiciones de seguridad necesaria.La sanción fue por un valor de TREINTA MILLONES OCHOCIENTOS MIL PESOS ($30.8000.000)

Resolución 36901 de 2014 en firme.

2. CENTRO COMERCIAL PUERTA DEL NORTE – PROPIEDAD HORIZONTAL: La Superintendencia de Industria y Comercio dio apertura una investigación administrativa, la cual surgió por una denuncia administrativa presentada por un titular, el cual manifiesta qué realizó unas compras en el centro comercial, las cuales le permitían acceder a participar en la entrega de unas boletas, para la rifa de un automóvil, sin embargo al momento de reclamar las boletas, el personal del centro comercial le hizo saber acerca de la obligatoriedad del otorgamiento de la autorización del manejo de sus datos personales, a pesar, señala el denunciante, que ni en la publicidad ni en la página, se indica que las boletas están sujetas al otorgamiento de la autorización; La Superintendencia una vez agotadas las etapas procesales, evidenció que si bien es cierto el centro comercial informó al denunciante acerca de la finalidad de la recolección de sus datos personales, los formatos diseñados no incorporan de manera clara y expresa los derechos que le asisten al titular. La Sanción fue en principio por un valor SESENTA Y CUATRO MILLONES CUATROCIENTOS TREINTA Y CINCO MIL PESOS ($64.435.000) sin embargo fue modificada, por decisión posterior, por cuanto no hubo recolección de datos del quejoso, se atendieron las reclamaciones presentadas por éste último y la investigada demostró diligencia en la implementación de las normas de protección de datos, la sanción se redujo a un valor de SEIS MILLONES CUATROCIENTOS CUARENTA Y TRES MIL QUINIENTOS PESOS ($ 6.443.500) a lo anterior se le sumo orden administrativa consistente en la eliminación de sus bases de datos cualquier tipo de información personal de sus clientes y también a la modificación del formato mediante el cual se autorizaba el tratamiento de datos personales, sin que este se incluya finalidades ambiguas que atenten contra el principio de libertad en materia de protección de datos personales.

Resolución 79622 de 2015 modificada por la Resolución 76622 de 2016

3. EDIFICIO MONSERRAT 74 PH: La Superintendencia de Industria y Comercio dio apertura a una actuación administrativa, la cual surge, por una denuncia presentada por un titular de datos personales, el cual manifiesta que el edificio vulnera el régimen de Protección de datos personales, como quiera que al ingreso a sus instalaciones solicita la cédula de ciudadanía de los visitantes y acto seguido se procede a la toma de una fotografía, sin que medie el permiso o autorización de los visitantes; La Superintendencia de Industria y Comercio demostró qué la copropiedad realizó el tratamiento de datos de carácter privado, como lo es la fotografía de los titulares que ingresan al edificio, sin obtener lo reglado en la ley, relativo a la autorización para el tratamiento de datos personales. Para el presente asunto la Superintendencia emitió órdenes administrativas tendientes a: (i) la implementación de una política de tratamiento de datos la cuál debe ser aprobada por la gerencia de la propiedad horizontal, (ii) La adecuación del manual interno de políticas y procedimientos, en el cual se contemple el procedimiento interno para la atención de quejas y reclamos, aprobado también por la gerencia de la propiedad.

Resolución 60460 en firme

4. RIPLEY COMPAÑÍA DE FINANCIAMIENTO S.A y CENTRO COMERCIAL OVIEDO PH: La Superintendencia de Industria y Comercio, inicio investigación administrativa al conocer que un titular, recibió correos electrónicos, llamadas y mensajes de texto a su número de celular por parte de la tienda ripley, lo anterior para que accediera a una tarjeta de crédito y participará en el sorteo de un vehículo, sin embargo el titular manifiesta que solamente sus datos personales reposan en la base de datos del centro comercial oviedo, para el presente asunto la Superintendencia evidenció que la sociedad ripley no vulneró las disposiciones contenidas en la ley 1581 2012, como quiera que no ostenta la calidad de responsable del tratamiento de datos personales, sin embargo en lo que respecta al centro comercial, se pudo evidenciar que no contaba con prueba de la autorización para el tratamiento de los datos personales del titular. La sanción fue por un valor de VEINTIDÓS MILLONES CIENTO TREINTA Y UN MIL QUINIENTOS DIEZ PESOS ($22.131.510)

Resolución 27708 en firme

5. EDIFICIO CARRERA SÉPTIMA PROPIEDAD HORIZONTAL: La Superintendencia de Industria y Comercio en desarrollo de una visita de inspección al Edificio Carrera Septima, evidencio una serie de irregularidades al régimen de protección de datos consistentes en lo siguientes: (i) se evidenció que el edificio efectuaba el tratamiento de datos personales y biométricos como fotos y vídeos, sin que se informara al titular a través de un aviso de privacidad, la identificación del responsable, la finalidad, los derechos que le asisten, la existencia y lugar en donde se pudiera acceder a la política de tratamiento de datos personales, (ii) se pudo determinar que a través de un software se realizaba el registro de la entrada de personas al edificio (iii) Se encontró que el contrato de la persona que accedía a la información personal de los registros del edificio, no contenía cláusulas de confidencialidad así como tampoco de la autorización para el tratamiento de sus datos, (iv) se evidenció que el edificio no tenía implementado un manual interno de políticas y procedimientos (v) se determinó que tampoco contaba con una política adecuada para el tratamiento de datos personales ni de seguridad de la información. La sanción fue por un valor de CIENTO VEINTICUATRO MILLONES NOVECIENTOS NOVENTA Y OCHO MIL SETECIENTOS VEINTE PESOS ($ 124.988.720) asimismo se ordenó al edificio a cumplir con el régimen de Protección de Datos, adoptando los mecanismos para obtener la autorización para el tratamiento de datos personales, así como la implementación a la política de tratamiento de datos personales y al manual interno de procedimientos.

Resolución 43530 en trámite.

6. EDIFICIO GENERALI – PROPIEDAD HORIZONTAL La Superintendencia de Industria y Comercio en desarrollo de una visita de inspección al edificio, pudo establecer lo siguiente: (i) Que a través del sistema denominado “águila control de acceso de visitantes y empleados”Se generaban reportes de información recopilada acerca de las entradas y salidas de los visitantes y empleados, (ii) Se evidenció que el edificio no tenía implementado una política para el tratamiento de datos personales ni para la atención de quejas y reclamos, (iii) se pudo determinar que contaba con alrededor de 32 cámaras de videovigilancia cuyo aviso de privacidad no contaba con los requisitos señalados en la norma de Protección de datos personales (iv) Se constató qué el sistema recolectaba datos personales los cual es necesitaban la autorización previa de su titular, por último, (v) se pudo constatar que en el contrato celebrado entre el edificio y las compañías de vigilancia privada no se evidenciaba una cláusula de confidencialidad relacionada con los datos personales a los que los guarda de seguridad tienen conocimiento. La Superintendencia de Industria y Comercio impuso una sanción por un valor de SESENTA Y DOS MILLONES CUATROCIENTOS NOVENTA Y NUEVE MIL TRESCIENTOS SESENTA Y DOS PESOS (62.499.362).

Resolución 29407 en trámite.