La Superintendencia de Industria y Comercio a través de Resolución Número 54923 de 17 de agosto de 2022 impuso sanción pecuniaria contra una reconocida Clínica por la violación de las siguientes disposiciones: (i) el literal k) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal g) del artículo 4 de la norma en mención y; (ii) el literal n) del artículo 17 de la Ley 1581 de 2012, en concordancia con el artículo 19 de la norma en mención, esto es, por no tener implementadas las medidas de seguridad necesarias para conservar la información recolectada bajo condiciones de seguridad y no efectuar reporte de incidente de seguridad ante Registro Nacional de Bases de Datos- RNBD.
La investigación inicia por la denuncia interpuesta por un individuo que afirma haber trabajado en dicha Clínica bajo un contrato de prestación de servicios durante un período comprendido entre los años 2015 y 2018, no obstante, afirma que la entidad no canceló efectivamente el valor de sus honorarios en el transcurso de los últimos meses por lo que requiere a la Clínica cierta información que le permita determinar el monto adeudado por la prestación de sus servicios a la fecha. Sin embargo, la Clínica nunca remitió los datos solicitados pese a los diversos derechos de petición, requerimientos e inclusive el fallo de tutela resuelto a favor del denunciante.
La Clínica en su defensa, argumento que la pérdida de la información fue ocasionada por circunstancias de fuerza mayor o caso fortuito, por cuanto se generó una sobrecarga de voltaje en el sistema de suministro de energía eléctrica que en consecuencia, generó los daños en el disco duro, siendo la Empresa de Energía Eléctrica de Bogotá la responsable al ser esta la encargada de regular los niveles de tensión para la conexión de cargas de clientes, según la capacidad de conexión solicitada por los usuarios.
Así las cosas, después de analizar los elementos materiales probatorios que se lograron recolectar en el caso y de conformidad con la información suministrada por las partes, el Director de Investigación de Protección de Datos Personales logró concluir que la Clínica no acreditó tener implementadas medidas de seguridad tendientes a conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; así como tampoco acreditó que las medidas de seguridad documentadas eran implementadas por la sociedad, lo que llevó a que no se realizaran copias de seguridad de sus equipos, lo cual dio lugar a que, ante un pico de energía eléctrica, se perdiera la información de los discos duros por no haber realizado backup de la información.
En el mismo sentido, se advierte también otra falencia por parte de la Clínica por cuanto esta no reportó el incidente de seguridad narrado en el Registro Nacional de Bases de Datos- RNBD. Se resalta que, tal y como esta previsto en el numeral n) del artículo 17 de la Ley 1581 de 2012 y en los términos del Título V de la Circular Única de la Superintendencia de Industria y Comercio, siempre que se genere un incidente de seguridad debe reportarse/registrarse el mismo ante la entidad.
Es por los argumentos anteriormente expuestos que, el Director de Investigación de Protección de Datos
Personales impuso sanción pecuniaria a la Clínica, en atención a su actuar negligente, por la violación de (i) el literal k) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal g) del artículo 4 de la norma en mención y; (ii) el literal n) del artículo 17 de la Ley 1581 de 2012, en concordancia con el artículo 19 de la misma Ley, sanción que se reitera, puede oscilar hasta el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de esta.
*Fuente: Resolución Número 54923 de 17 de agosto de 2022 de la Superintendencia de Industria y Comercio.
Leave A Comment
You must be logged in to post a comment.
