SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO SANCIONA EMPRESA POR LLEVAR A CABO CONDUCTAS CONTRARIAS AL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES.

La Superintendencia de Industria y Comercio a través de Resolución Número 77654 de 03 de noviembre de 2022 impuso sanción pecuniaria contra una empresa de servicios técnicos en limpieza por la transgresión a lo dispuesto en el literal k) del artículo 17 de La Ley 1581 de 2012, en concordancia con el artículo 25 inciso 3 de la misma Ley, y el Decreto Único Reglamentario 1074 de 2015 artículo 2.2.2.25.3.1. y el literal k) del artículo 17 de La Ley 1581 de 2012, en concordancia con lo establecido en el artículo 4 literal g) de la misma Ley, y el Decreto Único Reglamentario 1074 de 2015, artículo 2.2.2.25.6.1.

La investigación inició por denuncia radicada en fecha 09 de marzo de 2020 por un grupo de personas que puso en conocimiento del Director de Investigación de Protección de Datos Personales y su despacho que, dicha compañía presuntamente habría llevado a cabo conductas contrarias al Régimen de Protección de Datos Personales.

En tal orden de ideas, con el fin de verificar el cumplimiento de los deberes a cargo de la sociedad, la
Superintendencia de Industria y Comercio se permitió requerir cierta información y documentación a dicha empresa para corroborar o desmentir las acusaciones realizadas. Requerimiento que, merece la pena resaltar, la compañía respondió de forma parcial al no pronunciarse sobre la mayoría de los hechos indagados y limitarse a remitir únicamente solo dos documentos.

Ahora bien, con relación a los documentos remitidos, uno de ellos contentivo de la Política de Tratamiento de Datos Personales de la compañía, se pudo evidenciar que la misma carecía de diversos elementos y requisitos mínimos exigidos en la norma para su implementación, puntualmente con lo establecido en el Decreto Único Reglamentario 1074 de 2015, artículo 2.2.2.25.3.1. numerales 1,2,4,5 e inciso final. Este análisis permitió concluir que, si bien la empresa de servicios técnicos en limpieza implementó una política para el tratamiento de datos personales, esta no cumple con los requisitos mínimos establecidos por la normatividad relativa a la Protección de Datos Personales en materia de desarrollo de Políticas de Tratamiento de la Información; situación que desconoce lo establecido en la Ley 1581 de 2012 literal k) en concordancia con lo establecido en el artículo 25 inciso 3 de la misma Ley, y el Decreto Único Reglamentario 1074 de 2015, artículo 2.2.2.25.3.1.

Sumado a lo anterior, la empresa investigada guardó silencio respecto a la petición de remisión al manual de seguridad adoptado por esta, donde se describieran las medidas humanas técnicas y administrativas adoptadas para impedir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información administrada, razón por la cual se evidencia el incumplimiento de la investigada al deber previsto en el literal k) del artículo 17 de La Ley 1581 de 2012, en concordancia con lo establecido en el artículo 4 literal g) de la misma Ley, y el Decreto Único Reglamentario 1074 de 2015.

Es importante resaltar que, con relación a los cargos formulados, la sociedad investigada no presentó escrito de descargos y en el escrito de alegatos de conclusión radicado el 9 de septiembre de 2022, no presentó argumentos relacionados con dichos cargos; simplemente, se limitó a afirmar que la compañía había tomado acciones correctivas, sin aportar soporte alguno que diera cuenta de ello.

Es así como, en atención a los hechos advertidos en líneas superiores, el Director de Investigación de
Protección de Datos concluyó que la investigada violó las normas ya citadas y, en consecuencia, impuso una sanción pecuniaria contra la empresa de servicios técnicos de limpieza, que se recuerda, puede oscilar hasta el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción y exhorto a la misma a ajustar la Política de Tratamiento de Datos Personales conforme a lo preceptuado en las normas y adoptar un manual de seguridad de la información para la empresa.

*Fuente: Resolución número 77654 de 03 de noviembre de 2022 de la Superintendencia de Industria y Comercio.