María de los Ángeles Ruiz Malaver[1]
En el mes de junio, la SIC, bajo sus funciones administrativas, multó a las cámaras de comercio de Montería, Cúcuta y Villavicencio por dos razones: no solicitar y conservar copia de la autorización del tratamiento de datos personales otorgada por el titular y por no informar debidamente al titular de los datos sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. Esta situación, en conjunto con el panorama nacional en el 2020, genera una alerta que no debe pasar desapercibida.
Sumario:
- Introducción II. Consideraciones de las resoluciones 39504, 39508 y 39514 III. Toma de postura IV. Reflexión final V. Bibliografía
I. Introducción
El 28 de junio del 2021, la Superintendencia de Industria y Comercio (SIC) impuso sanciones de carácter económico a tres cámaras de comercio del país por un valor general aproximado de $225.000.000 a causa de infracciones a los deberes que les asisten en su calidad de responsables del tratamiento de datos personales (Ley 1581 de 2015).
Esta situación no es nueva, dado que, en el 2020 la SIC impuso multas por más de $7.580 millones y fueron emitidas cerca de 2.070 órdenes para que las empresas cumplieran con la legislación de protección de la data[2]. Ello, envía un mensaje de alerta a todas las personas jurídicas o naturales responsables o encargadas del tratamiento de datos personales a que revisen el estatus de cumplimiento en la materia, evitando así la imposición de sanciones a futuro por cuenta del ente administrativo[3].
En las resoluciones No. 39504, 39508 y 39514 del 28 de junio de 2021 se sancionaron a las cámaras de comercio de Montería, Cúcuta y Villavicencio por incumplir los deberes consagrados en los literales b, c y k del Artículo 17 de la Ley 1581 de 2012. La SIC basó su investigación de oficio en los formularios que se encontraban en la página web de cada cámara de comercio, los cuales eran usados para el desarrollo de su actividad. A partir de las consideraciones de las tres resoluciones sancionatorias, se analizará si la SIC revocó, reitero o modificó su línea de pensamiento.
II. Consideraciones de las resoluciones
La investigación de la SIC se realizó a partir de los formularios que utilizan las cámaras de comercio[4] para el ejercicio de sus actividades propias. Estos documentos se encuentran en la página web de cada una de estas entidades y facilitan la recolección información de los usuarios como nombres, cédulas y correos electrónicos. Los argumentos que llevaron a la SIC a imponer las multas descritas en el acápite introductorio son similares en los tres casos. En el primer caso, se trató de una infracción del deber de solicitar y conservar la respectiva autorización otorgada por el titular (liberal b, Art.17). En el segundo caso, no se informó a los titulares sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada (literal c, Art. 17). En el tercer caso, la SIC impuso multa por no adoptar un manual interno de políticas de tratamiento de datos con la información que la Ley 1581 de 2012 y sus normas complementarías lo exigen (literal k, Art 17).
De acuerdo con la SIC, las cámaras de comercio, si bien tienen a su cargo una función pública[5] asignada por la ley[6] bajo el fenómeno de la descentralización por colaboración, su naturaleza jurídica es la de una entidad privada, corporativa y gremial[7]. Por lo tanto, no pertenecen a ninguna de las excepciones establecidas en el Artículo 10 de la Ley 1581 de 2012 y deben, durante el ejercicio de sus funciones, solicitar autorización a los usuarios para el tratamiento de sus datos.
Sobre la base de lo anterior, la SIC sancionó a las tres cámaras de comercio por las siguientes razones:
- En la mayoría de los formularios, no había prueba de la solicitud de autorización a los titulares al momento de la investigación. Sin embargo, la SIC reconoció las acciones de mejora que realizaron las entidades una vez se inició la investigación, pero esto no se puede tener en cuenta como una causal para eximir de responsabilidad.
- La SIC estableció que en ningún formulario se informaba a los titulares, de manera clara y expresa, sobre la finalidad que tendría el tratamiento de los datos, tal como lo exige el Artículo 12 de la Ley 1581 de 2021[8], el Artículo 2.2.2.25.2.1 del Decreto Único Reglamentario 1074 de 2015[9] y reiterada jurisprudencia de la Corte Constitucional[10].
- Finalmente, se le ordenó a la Cámara de Comercio de Villavicencio que actualizara la política de tratamiento de datos su página web, pues no contaba con todos los requisitos que exigen los artículos 2.2.2.25.3.1 y 2.2.2.25.3.6 del Decreto 1074 de 2015[11], a las demás cámaras no se les hizo tal requerimiento.
III. Toma de postura
La SIC, como ente administrativo sancionador, está facultada para imponer las sanciones que supongan infracción bajo los parámetros establecidos en los artículos 23 y 24 de la Ley 1581 de 2012. Estas sanciones no solo se limitan a multas de carácter económico, que pueden ser a cargo personal o institucional, sino también por la suspensión de las actividades relacionadas con el tratamiento de datos hasta por 6 meses, el cierre temporal de las operaciones relacionadas con el tratamiento si no se acatan las órdenes de la SIC o el cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
A causa de la exposición a un riesgo sancionatorio que puede tener una empresa que incumpla con el tratamiento de datos personales, se considera importante que estos sujetos conozcan, en primera medida, si son responsables o encargados del tratamiento de datos personales y, en segunda medida, qué aspectos deben tener en cuenta para que la SIC no tenga mérito en sancionarlos. Estas advertencias podrían contribuir a disminuir las estadísticas mostradas al principio de esta columna.
Para empezar, se debe tener claridad sobre las labores del responsable del tratamiento de datos personales, rol que ostenta cualquier persona natural o jurídica pública o privada que recolecta y almacena información determinada que vincula a una persona. Por otro lado, hay un encargado que es quién decide qué hacer con la información recaudada. Los deberes de cada uno se establecen en los artículos 17 y 18 de la Ley 1581 de 2012.
Además, hay tres conceptos para tener en cuenta relacionados con lo revisado por la SIC en las resoluciones analizadas: la finalidad del tratamiento, la responsabilidad demostrada y la política de tratamiento de datos personales. A continuación, se dará una explicación de cada uno.
Sin embargo, antes de entrar a definir los conceptos mencionados, el responsable debe comprender que la autorización que le solicita al titular debe venir precedida de una información completa, clara y comprensible respecto de los derechos del usuario, el tratamiento al que serán sometidos sus datos y la finalidad, entre otros aspectos consignados en el Artículo 12 de la Ley 1581 de 2012[12]. En otras palabras, el responsable debe decirle al titular para qué va a utilizar sus datos y el periodo por el cual se van a conservar, que no debe sobrepasar el necesario para alcanzar el fin propuesto.
Así, en primer lugar, se tiene el concepto de finalidad el cual se refiere a un aspecto significativamente importante y, de hecho, se trata de la reiteración central que hizo la SIC en los tres casos expuestos y uno de los motivos principales de sanción. La finalidad a la que se someta la recolección de determinados datos debe ser legítima (acorde con la constitución y a las leyes), exclusiva (solo para el motivo comunicado al titular) y autorizada expresamente por el titular. Si hay cambios en la finalidad, en el tiempo de conservación o en otro aspecto, esto debe ser comunicado al usuario y, por lo tanto, se debe autorizar nuevamente el tratamiento de los datos.
En segundo lugar, se tiene el concepto de responsabilidad demostrada que se refiere a que el responsable del tratamiento de datos debe ser capaz de demostrar ante la SIC que ha implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la ley 1581 de 2012, tal como lo establece el artículo 2.2.2.25.6.1 del decreto 1074 de 2015.
Otro punto importante que deben tener en cuenta los responsables del tratamiento es una política que regule la materia, ya sea en formato físico o electrónico. Este instrumento deberá tener como mínimo la siguiente información: (i) nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable; (ii) tratamiento al cual serán sometidos los datos y finalidad cuando esta no se informe mediante el aviso de privacidad; (iii) derechos que le asisten al titular; (iv) persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar, suprimir los datos o revocar la autorización; (v) procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información o revocar la autorización, y (vi) fecha de entrada en vigencia de la política de tratamiento de la información y periodo de vigencia de las bases de datos.[13]
Por otro lado, de acuerdo con la SIC, se recomienda que la política del tratamiento de datos esté habilitada para consulta de los titulares, que sea legible y en un leguaje comprensible. Además, se debe informar el tipo de tratamiento realizado, los fines y el periodo de vigencia de la base de datos en la cual se recolecta la información. Las acciones anteriores deben trascender de la esfera meramente formal y concretarse en medidas reales y demostrables ante la SIC (como lo ordena el principio de la responsabilidad demostrada). Por ejemplo, el diseño de un programa integral de gestión de datos en el que se establezcan compromisos y acciones concretas dirigidas a los directivos de la organización, así como controles y evaluaciones.[14]
Entonces, si se comprenden y se aplican estos conceptos y se crean las herramientas necesarias establecidas en el régimen de tratamiento de datos al interior de la empresa, el responsable podrá invertir su dinero y sus esfuerzos para cumplir la norma y evitará alguna erogación por el pago de una multa.
IV. Reflexión final
Si bien la SIC está facultada por la ley para imponer sanciones cuando algún responsable o encargado infringe sus deberes, un primer paso fundamental es promover y divulgar los derechos de las personas en relación con el tratamiento de datos personales, por ejemplo, a través de campañas para capacitar e informar a los ciudadanos acerca del ejercicio de sus derechos. En efecto, la SIC también debería promover la capacitación continua de los responsables y encargados del tratamiento de datos personales. Ello, debido a que se considera que lo que se necesita en estos momentos es estimular y motivar a las empresas a que un rubro de dinero que tendrían que perder en el pago de una multa, lo inviertan en el fortalecimiento de las políticas, controles y acciones concretas que satisfaga las exigencias de criterios como la responsabilidad demostrada.
Por otro lado, además del análisis de las resoluciones que sancionan a 3 cámaras de comercio, es necesario reflexionar sobre el uso que la SIC le da a sus facultades sancionatorias y la conveniencia, tanto económica como simbólica (en términos de disuasión de la comisión de conductas que vulneren datos personales), que podría traer la imposición de multas sin un riguroso análisis del caso concreto. Lo anterior debería llevar a cuestionar la efectividad de las multas para la protección real del interés general de la sociedad, en contraposición con el riesgo de deteriorar el desarrollo y crecimiento empresarial que podría afectar la confianza en el orden económico y social.
Lo mencionado podría verse en los casos analizados, puntualmente en las mejoras que presentaron las entidades sancionadas en el transcurso del proceso y la relevancia que le dio la SIC en la cuantificación final de las multas. Esto, porque si bien, por cuestiones procesales y sustanciales, rectificar el error en el transcurso de la investigación no puede ser interpretado como causal eximente de responsabilidad, se considera que se debió interpretar, por parte de la autoridad sancionatoria, en beneficio del investigado e ir más allá de un castigo duro para generar conciencia pública.
Bibliografía
COLOMBIA. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 39504 del 28 de junio de 2021
COLOMBIA. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 39508 del 28 de junio de 2021
COLOMBIA. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 39514 del 28 de junio de 2021
COLOMBIA. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Guía para la implementación del principio de responsabilidad demostrada (Accountability)
COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley estatutaria 1581 (17, octubre, 1581). Por la cual se dictan disposiciones generales para la protección de datos personales Diario oficial. Octubre, 2012.No. 48.587.
COLOMBIA. MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO. Decreto 1574 (26, mayo, 2015).
COLOMBIA. CORTE CONSTITUCIONAL. Sentencia C- 748 (6, octubre, 2011) MP Jorge Ignacio Pretelt Chaljub. Bogotá. Corte Constitucional.
COLOMBIA. CORTE CONSTITUCIONAL Sentencia C-1011 (16, octubre, 2008) MP Jaime Córdoba Triviño. Bogotá. Corte Constitucional.
COLOMBIA. CONGRESO DE LA REPÚBLICA. Decreto 410 (27, marzo, 1971). Por medio del cual se expide el Código de Comercio. Diario oficial. Junio, 1971. No. 33.339
[1] Abogada de la firma MPa Derecho Punitivo & Riesgos Corporativos. Candidata al título de Especialista en Derecho Comercial del Colegio Mayor de Nuestra Señora del Rosario. Graduada con título honorífico Cum Laude de la Universidad Santo Tomás. Obtuvo mención especial por mejor promedio acumulado de la carrera. Al interior de la firma, se desempeña principalmente en el área de litigios.
[2] Portafolio “En 2020, SIC puso multas por $7.580 millones”(enero, 2021) Consultado el 21 de julio de 2021 Véase en: https://www.portafolio.co/economia/por-incumplimiento-en-proteccion-de-datos-personales-sic-puso-multas-a-empresas-por-7580-millones-548649
[3] Recordemos que, de acuerdo con el Artículo 19 de la Ley 1581 de 2012, la SIC, a través de la Delegatura de Protección de Datos, personales es la autoridad competente para ejercer la vigilancia sobre el debido tratamiento de datos personales, conforme lo previsto en la ley.
[4] Los formularios investigados en la Cámara de Comercio de Montería fueron los siguientes: Regístrese en la CCM y solicitud de PQR. En la Cámara de Comercio de Cúcuta, se revisaron los siguientes: (i) quejas, reclamos, sugerencias y felicitaciones; (ii) contacto para revisión de actas, y (iii) preinscribirme. Finalmente, en la Cámara de Comercio de Villavicencio, se investigaron los siguientes documentos: (i) asesorías jurídicas especializadas; (ii) competitividad y proyectos-coordinación de gestión internacional; (iii) acompañamiento cultura digital; (iv) diseño de paquetes y diseño de experiencias; y (v) módulo PQR.
[5] Se trata de la función registral que se circunscribe en la administración del registro mercantil y el registro único empresarial y social (RUES). Esta función se compone del registro único de proponentes, registro de las ESALES, registro nacional del turismo, registro de entidades de la economía solidaria, registro de veedurías ciudadanas, registro nacional de veedores de juegos de suerte y azar y el registro de entidades privadas extranjeras sin ánimo de lucro.
[6] COLOMBIA. CONGRESO DE LA REPÚBLICA. Decreto 410 (27, marzo, 1971). Por medio del cual se expide el Código de Comercio. Artículo 86. Diario oficial. Junio, 1971. No. 33.339
[7] COLOMBIA. MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO. Decreto 1574 (26, mayo, 2015). Artículo 2.2.2.38.1.1.
[8] COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley estatutaria 1581 (17, octubre, 1581). Por la cual se dictan disposiciones generales para la protección de datos personales Diario oficial. Octubre, 2012.No. 48.587. “ARTÍCULO 12. DEBER DE INFORMAR AL TITULAR. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
- a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo;
- b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;
- c) Los derechos que le asisten como Titular;
- d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
PARÁGRAFO. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta.
[9] COLOMBIA. MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO. Decreto 1574 (26, mayo, 2015).”Artículo 2.2.22.25.2.1. Recolección de los datos Personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del Titular.
A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimiento usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.
No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales”
[10] COLOMBIA. CORTE CONSTITUCIONAL. Sentencia C- 748 (6, octubre, 2011) MP Jorge Ignacio Pretelt Chaljub y Sentencia C-1011 (16, octubre, 2008) MP Jaime Córdoba Triviño. Bogotá. Corte Constitucional.
[11] Los requisitos mínimos que exige este artículo son los siguiente: nombre o razón social del responsable, domicilio, dirección, correo electrónico y teléfono; el tratamiento al cual serán sometidos los datos y su finalidad; los derechos que le asisten al titular; persona o área encargada de recibir quejas, solicitudes o reclamos por parte del titular y el correspondiente procedimiento, y fecha de la entrada en vigor de la política y la base de datos.
[12] COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley estatutaria 1581 (17, octubre, 1581). Por la cual se dictan disposiciones generales para la protección de datos personales Diario oficial. Octubre, 2012.No. 48.587.
[13]COLOMBIA. MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO. Decreto 1574 (26, mayo, 2015). Artículo 2.2.2.25.3.1
[14] COLOMBIA. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Guía para la implementación del principio de responsabilidad demostrada (Accountability)