El Habeas Data es un derecho fundamental y autónomo regulado en el artículo 15 de la Constitución Política de 1991, que faculta a cada ciudadano para disponer de información personal, acceder a la misma y solicitar su actualización o exclusión en cualquier momento. Con la entrada en vigencia de la Ley 1581 de 2012, se logró establecer en el país un marco regulatorio para la protección de datos personales de los titulares, en aras de resguardarlos contra malas prácticas y abusos de la información; desmarcando este derecho del enfoque exclusivamente financiero (Ley 1266 de 2008)
Sin embargo, muchas de las empresas lamentablemente, en la actualidad siguen basando sus sistemas de mercadeo en la remisión de mensajes de datos a partir de información contenida en bases de datos que han construido u obtenido sin el lleno de los requisitos legales y vulnerando los derechos de los ciudadanos de alguna forma. Precisamente el pasado 25 de abril de 2019, la Superintendencia de Industria y Comercio, en ejercicio de sus funciones de inspección, vigilancia y control del régimen de protección de datos personales, tomó la decisión de sancionar al Banco Falabella y Rappi con multas de $496 millones y $298 millones respectivamente, debido a diferentes incumplimientos relacionados con la ley de protección de datos personales.
Los casos concretos
Falabella
En el caso del Banco Falabella, la sanción se motivó en la queja de un ciudadano que presentó a la compañía ocho peticiones para que se eliminara su número telefónico de su base de datos y el banco se abstuviera de remitirle mensajes para fines de prospección comercial; solicitud que reiteradamente fue desatendida por esa compañía. Por su parte, la compañía Rappi fue sancionada con base en la queja de un ciudadano que le solicitó directamente a la empresa que dejara de usar su información y que no le enviará correos electrónicos o mensajes de datos para fines comerciales o de marketing; caso en el que la compañía tampoco atendió debidamente las solicitudes.
En cada uno de los casos, la Superintendencia de Industria y Comercio además de imponer sanciones, ordenó a las empresas la adopción de medidas particulares:
Al Banco Falabella le decretó en el término de dos (2) meses contados a partir de la ejecutoria de la decisión, adoptar medidas efectivas, apropiadas y verificables para: “(…) (a) Suprimir de manera definitiva y oportuna los datos personales de los Titulares cuya información es recolectada, usada o tratada por BANCO FALABELLA S.A., una vez cualquier Titular del dato le solicite por cualquier medio la eliminación de sus datos o revoque la autorización del tratamiento de sus datos personales frente a todos los servicios ofrecidos o para servicios específicos que no desea seguir recibiendo, (b) Responder de manera oportuna y de fondo las consultas o reclamos que presenten los Titulares de los datos, eliminando cualquier barrera innecesaria para garantizar los derechos de los titulares y (c) Poner a disposición del Titular mecanismos gratuitos, útiles, de fácil acceso y efectivos para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Dichos mecanismos deben implementarse a través de los mismos medios o canales mediante los cuales el BANCO FALABELLA S.A. se contacta o comunica con los Titulares de los datos.” Adicionalmente, el BANCO FALABELLA deberá implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las anteriores órdenes y demostrarlo.
Rappi
En cuanto a Rappi, la entidad le ordenó igualmente en el término de tres (3) meses contados a partir de la ejecutoria de la decisión, adoptar medidas efectivas, apropiadas y verificables para: “(…) a) Abstenerse de enviar mensajes de texto, correos electrónicos, realizar llamadas telefónicas o comunicarse por cualquier medio con los titulares de los datos respecto de los cuales no tenga plena prueba de la autorización, previa, expresa e informada para dicho efecto. (b) Establecer la identidad plena de los visitantes de su página web o usuarios de sus plataformas cuyos datos son recolectados, usado o tratados por RAPPI S.A.S. (c) Suprimir de manera definitiva y oportuna los datos personales de los titulares cuya información es recolectada, usada o tratada por RAPPI S.A.S., una vez cualquier titular del dato le solicite por cualquier medio la eliminación de sus datos o revoque la autorización del tratamiento de sus datos personales frente a todos los servicios ofrecidos por la plataforma digital de la aplicación Rappi, o para servicios especificos que no desea seguir recibiendo. (d) Conservar prueba de la autorización previa, expresa e informada otorgada por cada uno de los titulares de los datos. (e) Poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Estos deben implementarse a través de los mismos medios o canales mediante los cuales RAPPI S.A.S. se contacta o comunica con los titulares de los datos (…)”. Adicionalmente la investigada deberá implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las anteriores órdenes y acreditarlo debidamente.
Tras conocerse la decisión del órgano de control, ambas compañías han manifestado a través de distintos medios que harán uso de los recursos legales a efectos de apelar estas decisiones.
No obstante lo anterior, sí resulta muy preocupante que después de casi siete años de expedida la Ley 1581 de 2012, sean reiterativas las sanciones de la Superintendencia a las organizaciones, por el incumplimiento de reglas básicas relacionadas con la observancia de la autorización expresa (no tácita) para el tratamiento de los datos personales de los clientes titulares, y los requisitos que la ley exige.
Como se observa, los principales motivos de sanción, se relacionan con casos de envío de correos electrónicos con fines comerciales, sin copia oculta, quedando en evidencia cientos de correos electrónicos personales, envío de correos electrónicos con fines comerciales, sin contar con autorización expresa por parte del titular para el envío de información, llamadas telefónicas para ofertar servicios y/o productos, sin contar con la autorización expresa por parte del titular para el contacto telefónico, no atención de solicitudes de supresión de datos por parte de los titulares, entre otros.
Por lo tanto, es necesario que toda empresa que realice prácticas de mercadeo, relacionadas con campañas masivas de publicidad o de comunicación, tenga previamente claridad de las implicaciones que tiene su rol como responsable de los datos personales que custodia en sus bases de datos, la finalidad para la cual le fueron entregados, el alcance de la autorización y el cumplimiento de los requisitos legales de la misma.
Tech & Law, tiene disponible un equipo de asesores expertos que aseguran a su organización el cumplimiento del Régimen de Protección de Datos Personales. No olvide que del seguimiento y cumplimiento de la normativa dependerá el éxito y los resultados de cualquier campaña publicitaria, ya que el mercadeo ligado a un buen manejo de la información, permite y facilita la recepción de cualquier oferta sin ningún riesgo legal, y mejora notoriamente los resultados de interacción entre el consumidor, la marca, el producto y la empresa.
¡Las reglamentaciones sobre protección de datos personales no buscan distanciar a las empresas de sus clientes, sino aumentar el respeto por sus los derechos!
Si desea consultar las resoluciones sancionatorias mencionadas, podrá hacerlo siguiendo los siguientes enlaces de la página oficial de la SIC:
_____________________