(Actualización) Multa de 241 Millones a Súper Giros S.A por no proteger datos personales

Nota Aclaratoria: (Actualizado  4 de Agosto de 2016)

La Sanción no se encuentra en firme, pues la entidad en uso legítimo de su Derecho de Defensa y del Debido Proceso, adelanta el correspondiente trámite jurisdiccional ante la Superintendencia de Industria y Comercio, entidad que deberá, luego de estudiar los argumentos y pruebas presentadas por la empresa a través de los correspondientes Recursos de Ley, decidir de fondo en las instancias correspondientes sobre el asunto. Fuente: Súper Giros S.A

Súper Giros S.A fue sancionada el pasado 24 de Febrero de 2016, con multa de $241.309.250 millones de pesos,  por tener información incorrecta, específicamente, el número de cédula de ciudadanía del denunciante estaba vinculada a otra persona. La persona que hace la denuncia, se da cuenta de tal hecho, toda vez que una tercera persona le iba a enviar un giro, pero aparecia el nombre de otra persona.

Los motivos de la multa son:

  1. Súper Giros S.A no respondió el trámite de consulta en  los tiempos establecidos por la Ley 1581 de 2012, que es de quince (15) días hábiles, contados a partir del día siguiente del recibo de la solicitud por parte del denunciante solicitando información sobre las inconsistencias sobre sus datos personales.
  2. No tener la autorización del titular del dato. Respecto a este punto, en reiteradas ocasiones he manifestado el error que caen la mayoría de las empresas, tanto en sus sitios web, (de hecho, de abogados), o en autorizaciones físicas, cuando el texto, consigna que el titular, acepta las políticas de tratamiento de datos personales, esto es un grave error, pues no cumple con los requisitos que debe contener la autorización para el tratamiento de datos personales, según lo establece la ley 1581 de 2012 y el Decreto 1377 de 2013,  no se aceptan las políticas, sino que se autoriza el tratamiento de datos personales.  Si bien, la autorización de Súper Giros S.A no fue la mejor, creo que le faltó una mejor defensa judicial, toda vez, que por los servicios que esta organización ofrece, esta obligada a la captura de datos personales, y el artículo 7 del Decreto 1377 de 2012, establece que uno de los modos de obtener la autorización, (..) “es mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización” En este caso, considero que es una conducta inequívoca, no podemos considerar a rajatabla, que el titular no quería dar la autorización, tanto para quien pone un giro, como para quien lo recibe, tal vez, con este argumento, la SIC no  quitaría el cargo, pero “tal vez” hubiera considerado cumplido parcialmente la obligación, y “tal vez” la multa pudiera haber sido menor. Sin embargo, considero que la Superintendencia actúo de manera adecuada tanto en este punto, como en el resto de los cargos que tuvieron en cuenta para imponer la sanción, toda vez, que hay un clarísimo incumplimiento en los requisitos que debe tener la autorización para el tratamiento de datos personales.  Dentro de este aspecto, la SIC le recrimina a Súper Giros S.A porque en el formato de autorización le dice al titular que podrá compartir información con terceros, otro de los errores comunes que las organizaciones establecen en sus políticas, o autorizaciones, toda vez que el tercero debe estar determinado, tiene que informarle al titular exactamente el nombre o razón social del tercero, y no ser indeterminado, pues el titular tiene todo el derecho de saber quien tiene sus datos. 
  3. Veracidad de la información. La ley exige que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible, en este caso Súper Giros S.A no cumplió, al tener información errada del ciudadano denunciante. Si bien, en la etapa de investigación, Súper Giros S.A manifestó que fue un error de la digitadora al ingresar al sistema la cédula del denunciante, la Superintendencia a través de la inspección, pudo determinar que era falso tal argumento, y que realmente si tenían vinculada la cédula del denunciante con el de otra persona.

Nota: Si bien, la SIC entregó esta resolución intentando estar “anonimizada” realmente no se logró el cometido, en algunas oportunidades tachan la cédula del denunciante y en otras no, así como dejan al descubierto el nombre de la persona que aparecía referenciada con el número de la cédula del denunciante, no lo veo tan grave, pero es reflejo de cuánto camino nos falta por recorrer a las instituciones que deben velar por este derecho, a las empresas,  a los ciudadanos,  y más a  nosotros los abogados, los cuales nuestro primer deber es que las empresas se apropien de esta norma, entre otros, a través de cambios culturales, y no solo  verlo como la oportunidad del momento.

Autor: Heidy Balanta

Abogada. Especialista en Derecho Informático y Nuevas Tecnologías

Compartir este post en