Superintendencia de Industria y Comercio
Top bar
.png){kind=small}
logo presidencia
| SANCIONADO/ INVESTIGADO | FECHA | TÍTULO | RESOLUCIÓN | ESTADO |
| UBER TECHNOLOGIES, INC., UBER COLOMBIA SAS Y UBER B.V | 17/06/2019 | UBER B.V. usa “cookies” para recolectar o tratar datos personales en el Territorio de la República de Colombia, las cuales instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia, razón por la cual debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias. Por su parte, Uber Colombia S.A.S. realiza una actividad que involucra el Tratamiento de Datos Personales, en particular, utilizando los Datos de los usuarios de Uber para prestar sus servicios de publicidad. En esa medida, Uber Colombia S.A.S. es corresponsable del Tratamiento de Datos Personales de los usuarios de la plataforma en Colombia y, por tanto, debe ser muy responsable, diligente y muy profesional con el Tratamiento seguro de dichos datos. | EN FIRME | |
| COMUNICATION TECH Y TRANSPORTE S.A "Cotech S.A" | 21/01/2019 | La Política de Tratamiento de Información (PTI) debe redactarse con un lenguaje claro y sencillo, teniendo en cuenta el tipo de audiencia, en particular si se tratan de niños, niñas o adolescentes, personas con alguna discapacidad, mayores adultos, o personas que no hablen el idioma castellano. La PTI debe diferenciarse claramente de aquella no relacionada con la protección de datos, como disposiciones contractuales o términos generales de uso. |
RESOLUCIÓN 1102 APELACIÓN 76915 de 2019 |
EN FIRME |
| Facebook Inc., Facebook Colombia S.A.S. y Facebook Ireland Limited | 24/01/2019 | La Ley Estatutaria 1581 de 2012 es aplicable a Facebook Inc. porque recolecta Datos personales en el territorio de la República de Colombia a través de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia. El Principio de Responsabilidad Demostrada (Accountability) le impone a Facebook Inc. el deber de probar que ha adoptado medidas apropiadas y efectivas para garantizar la seguridad de la información de sus usuarios. En el ciberespacio no desaparecen los derechos humanos ni la ciberseguridad. |
RESOLUCIÓN 321 APELACIÓN 12192 de 2019 |
EN FIRME |
| ABASTECIMIENTO, ASESORÍAS Y ACOMPAÑAMIENTO GAS NATURAL SAS | 08/02/2019 |
El tratamiento de datos personales semiprivados de clientes, prospecto de clientes y empleados requiere de autorización previa, expresa e informada por parte de los Titulares, quienes deben ser informados previamente respecto de la finalidad o finalidades del tratamiento al que serán sometidos los datos recolectados. |
RESOLUCIÓN 2908 REPOSICIÓN 18931 de 2019 |
MODIFICADA |
| BANCOLOMBIA S.A. | 21/02/2019 |
El Responsable del tratamiento de los datos debe atender las solicitudes, peticiones, quejas y reclamos de manera debida, oportuna, de fondo, completa y demostrable. No es aceptable que el ciudadano tenga que realizar varias solicitudes y que deba esperar más de un (1) año para que su petición sea respondida -artículo 15 de la ley 1581 de 2012-. |
RESOLUCIÓN 4082 APELACIÓN 76289 de 2019 |
EN FIRME |
| BANCOLOMBIA S.A. /BRM S.A | 21/02/2019 |
Se vulneran los derechos fundamentales de protección de datos y de petición del titular cuando no se responde una solicitud de supresión de la información dentro de los siguientes quince (15) días hábiles a su realización -artículo 15 ley 1581 de 2012-. |
RESOLUCIÓN 4086 APELACIÒN 76487 de 2019 |
EN FIRME |
| DIRECTV COLOMBIA LTDA | 07/03/2019 |
Las respuestas automatizadas, preestablecidas y estandarizadas que no se refieran al caso específico del ciudadano no son útiles para cumplir debidamente la atención de consultas o reclamos del Titular del dato. No es aceptable que el Titular de la información tenga que realizar reiteradas peticiones al Responsable solicitando la eliminación de sus datos. |
RESOLUCIÓN 5501 APELACIÒN 76284 de 2019 |
EN FIRME |
| CENTRO EDUCATIVO SUPERIOR INTERAMERICANO S.A.S. | 14/03/2019 |
Tratamiento de datos sensibles y de niños niñas y adolescentes: en los formularios utilizados por las instituciones educativas en los que se recolecten datos de niños, niñas y adolescentes y datos sensibles se debe informar a los titulares que por tratarse de datos sensibles y de menores de edad no están obligados a autorizar su tratamiento e informar de manera explícita y previa cuáles de los datos que recolecta son sensibles, la finalidad del tratamiento, así como obtener su consentimiento expreso. |
RESOLUCIÓN 5848 | EN FIRME |
| CONTACTO SOLUTIONS LTDA. | 18/03/2019 |
El uso de procesos tecnológicos automatizados para el tratamiento de los datos no está exento de cumplir el deber legal de solicitar y conservar copia de la autorización previa y expresa de la persona Titular del dato. Los formularios preestablecidos y el diligenciamiento obligatorio de ciertos campos para permitir un proceso en línea no satisfacen, per se, dicho requisito -artículo 9 de la ley 1581 de 2012-. |
RESOLUCIÓN 6074 APELACIÓN 76291 de 2019 |
EN FIRME |
| CENTRAL MOTOR AMÉRICA S.A.S | 21/03/2019 | No toda información es un dato personal, ni todo dato personal requiere de la autorización para ser tratado. Una dirección de correo electrónico no es, per se, un dato personal y algunas direcciones de correo electrónico son datos personales de naturaleza pública. La recurrente no adoptó las medidas de seguridad necesarias para evitar que 196 direcciones de correo electrónico fuesen conocidas indebidamente por terceros. |
RESOLUCIÓN 6369 APELACIÒN 33267 de 2020 |
MODIFICADA |
| GALVIS ARQUITECTOS EU | 27/03/2019 | La omisión de responder los requerimientos emitidos por la SIC por parte de los Administradores, Responsables y Encargados, es un incumplimiento al régimen de protección de datos personales, incluso cuando omiten responder de forma completa y suficiente los requerimientos de la entidad. | RESOLUCIÓN 6960 | EN FIRME |
| INCOTEL - MÒVIL S.A.S | 27/03/2019 | La omisión de responder los requerimientos remitidos por la Superintendencia da lugar a la imposición de sanción, incluso cuando omiten responder de forma completa y suficiente los requerimientos de la entidad. De conformidad con lo dispuesto en el literal o) del artículo 17 de la ley 1581 de 2012. | RESOLUCIÓN 6955 | EN FIRME |
| BANCO FALABELLA S.A. | 25/04/2019 |
Los Titulares de los datos tienen el derecho de solicitar al Responsable del Tratamiento la exclusión o supresión de sus datos personales. Esta solicitud debe ser atendida oportuna y debidamente sin que el ciudadano tenga que insistir para hacer valer sus derechos. |
RESOLUCIÓN 9766 APELACIÒN 76227 de 2019 |
EN FIRME |
| RAPPI S.A.S | 25/04/2019 |
Rappi incumplió el deber de solicitar y conservar copia de la autorización del Titular del dato y se demoró más de 22 meses en suprimir datos de una persona que tuvo que presentarle dos peticiones para dicho efecto. Los derechos de las personas se deben garantizar oportunamente sin que el ciudadano tenga que rogarles o insistirles a las empresas. |
RESOLUCIÓN 9800 APELACIÓN 74828 de 2019 |
EN FIRME |
| TRAVEL LINK S.A.S. | 25/04/2019 |
La recolección de datos personales acudiendo al mecanismo de “referidos” no habilita al responsable para realizar tratamiento de datos personales en la medida en que se requiere la autorización previa, expresa e informada del Titular cuyos datos van a ser tratados. |
RESOLUCIÓN 9804 | EN FIRME |
| ACORAL CONSTRUCTORA S.A.S | 06/05/2019 | La política de tratamiento de datos debe cumplir con los requisitos mínimos establecidos en la ley 1581 de 2012, por cuanto: i) debe describir de manera clara y sencilla los procedimientos mediante los cuales los Titulares pueden ejercer sus derechos, ii) informar el término de vigencia de cada una de sus bases de datos y, iii) acreditar el haber puesto a disposición de los Titulares está información. | RESOLUCIÓN 11487 | EN FIRME |
| PASH S.A.S | 06/05/2019 | El Responsable debe recolectar los datos personales habiendo solicitado de manera previa y expresa la autorización del titular para realizar el tratamiento y conservar copia de esta. Adicionalmente, el Responsable deber darles el trámite correspondiente a las solicitudes interpuestas por el quejoso, implementando un procedimiento de atención de consultas y reclamos que garantice el derecho de habeas data. |
RESOLUCIÓN 11505 REPOSICIÒN 23992 de 2019 |
EN FIRME |
| ROYAL FILMS S.A.S | 13/05/2019 | Los Responsables del Tratamiento de la información de los ciudadanos tienen la obligación de mantener la información bajo condiciones de seguridad idóneas, eficaces, oportunas y demostrables, que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales de las personas -literal d) del artículo 17 de la Ley 1581 de 2012. |
RESOLUCIÓN 13526 APELACIÒN 76231 de 2019 |
EN FIRME |
| COMUNICACIÓN CELULAR S A COMCEL S.A | 23/05/2019 | El deber de garantizar el ejercicio efectivo del derecho al habeas data, se viola cuando no se le permite al titular revocar la autorización; también se vulnera este derecho fundamental cuando el administrador no tramita los requerimientos del Titular. |
RESOLUCIÓN 16240 APELACIÓN 76953 de 2019 |
MODIFICADA |
| RED MÁS 365 S.A.S | 29/05/2019 | Deber de solicitar autorización: el número telefónico de uso personal es un dato personal de carácter semiprivado, lo que significa que sólo puede ser tratado cuando se cuente con la autorización previa, informada y expresa. | RESOLUCIÓN 17609 | EN FIRME |
| UNE EPM TELECOMUNICACIONES S.A | 29/05/2019 | El deber de solicitar y conservar copia de la autorización previa, se viola cuando el Responsable recolecta datos personales como números telefónicos y correos, sin adelantar el procedimiento para obtener la autorización previa, expresa e informada. |
RESOLUCIÓN 17615 APELACIÓN 32180 de 2020 |
MODIFICADA |
| MERVICOL S.A.S | 29/05/2019 | Debe ser respetuoso de la regulación de datos personales cualquier tratamiento de números telefónicos mediante “marcadores predictivos”, robocalls, inteligencia artificial y otras tecnologías o procedimientos automatizados para contactar personas. |
RESOLUCIÓN 17629 APELACIÒN 38281 de 2020 |
EN FIRME |
| ASISTENCIA UNIVERSAL S.A.S | 31/05/2019 | El Responsable debe solicitar y conservar copia de la autorización previa, expresa e informada del titular y cumplir con el deber de informar al Titular la finalidad del tratamiento de sus datos personales. El consentimiento puede verse viciado cuando no se especifica la finalidad del tratamiento de los datos. | RESOLUCIÓN 18832 | EN FIRME |
| FOTOGRAFO | 31/05/2019 | La foto que capta la imagen del rostro de una persona es un dato personal sensible porque trata datos biométricos (Artículo 5 de la Ley 1581 de 2012). Para la recolección y uso de este tipo de datos deben observarse las reglas especiales señaladas en el artículo 6 del decreto 1377 de 2013 en concordancia con lo dispuesto en los artículos 9 y 12 de la citada ley. La autorización puede obtenerse mediante cualquiera de los mecanismos autorizados por la ley y sus normas reglamentarias, pero el Responsable debe asegurarse de conservar copia de esta para suministrarla al Titular del dato cuando la requiera en virtud del literal b) del artículo 8 de la citada ley y para dar cumplimiento al literal b) del artículo 17 de la misma. |
RESOLUCIÓN 18848 APELACIÒN 30412 de 2020 |
MODIFICADA |
| DIEZ MEDELLIN S.A.S | 31/05/2019 | Para usar fotos con fines de publicidad o marketing y que captan la imagen facial de una persona, es necesario que el Responsable del Tratamiento solicite la autorización previa, expresa e informada a que se refiere la Ley Estatutaria 1581 de 2012. Esta se puede obtenerse mediante cualquiera de los mecanismos autorizados por la ley y sus normas reglamentarias, pero el Responsable debe asegurarse de conservar copia de esta para suministrarla al Titular del dato cuando la requiera en virtud del literal b) del artículo 8 de la citada ley y para dar cumplimiento al literal b) del artículo 17 de la misma. |
RESOLUCIÓN 18848 APELACIÒN 30489 de 2020 |
MODIFICADA |
| PAZ RODRIGUEZ S.A.S | 31/05/2019 | El Responsable debe cumplir con las órdenes y requerimientos que imparta la SIC, relacionadas con posibles instrucciones o modificaciones solicitadas frente al Registro Nacional de Base de Datos. |
RESOLUCIÓN 18920 APELACIÒN 76228 de 2019 |
EN FIRME |
| COLEGIO RAFAEL POMBO | 31/05/2019 | El Tratamiento de datos personales de menores de edad exige mayor responsabilidad y cuidado. Se deben implementar procesos de seguridad de la información, así como la adopción de un Manual Interno de Políticas y Procedimientos. El cumplimiento de estos debe ser monitoreado con el fin de garantizar que sean útiles, oportunas, idóneas, efectivas y demostrables. |
RESOLUCIÓN 18925 APELACIÒN 76481 de 2019 |
MODIFICADA |
| UNE EPM TELECOMUNICACIONES S.A | 31/05/2019 | No es necesario que el ciudadano presente más de una solicitud para que supriman o eliminen sus datos. Los derechos del Titular del dato deben garantizarse oportunamente. Los Responsables del Tratamiento deben obrar de manera muy profesional, diligente e implementar la responsabilidad demostrada (accountability) en esta materia. |
RESOLUCIÓN 18952 APELACIÓN 35093 de 2020 |
MODIFICADA |
| CASA EDITORIAL EL TIEMPO S.A CON SIGLA CEET S.A | 31/05/2019 | Las medidas de seguridad de los datos deben ser idóneas, oportunas, demostrables y efectivas cuando se realiza el tratamiento de esa información. No basta expedir documentos o políticas, sino que es necesario asegurar que lo escrito en el papel se cumpla en la práctica. |
RESOLUCIÓN 18953 APELACIÒN 76292 de 2019 |
EN FIRME |
| INSTALACIONES HIDROSANITARIAS FUENTES S.A.S | 31/05/2019 | El Responsable debe cumplir con las órdenes y requerimientos que imparta la SIC, relacionadas con posibles instrucciones o modificaciones solicitadas frente al Registro Nacional de Base de Datos. | RESOLUCIÓN 18980 | EN FIRME |
| COLOMBIA TELECOMUNICACIONES S.A E.S.P | 31/05/2019 | COLOMBIA TELECOMUNICACIONES S.A. E.S.P. incluyó a la Titular del dato en una "lista negra"; actuación que está prohibida por constituir un ejercicio abusivo y desproporcionado de la facultad legal de administración de los datos personales, y que es contraria a los principios de libertad, finalidad y legalidad en el tratamiento de dichos datos, ya que constituye un uso no autorizado de la información de los ciudadanos. |
RESOLUCIÓN 19012 APELACIÒN 34913 de 2019 |
MODIFICADA |
| DIRECTV COLOMBIA LTDA | 10/06/2019 | DIRECTV COLOMBIA LTDA no demostró haber adoptado medidas apropiadas y efectivas para cumplir el principio y el deber de seguridad, pues permitió que un tercero no autorizado conociera información privada de otra persona. Por el contrario, sólo ha implementado medidas formales de seguridad, las cuales son insuficientes para garantizar un tratamiento seguro de los datos personales. Sin seguridad no existe debido tratamiento de datos personales y la seguridad no se logra con la mera redacción de políticas, sino con la implementación real de las mismas en todas las actividades que involucran tratamiento de datos personales. |
RESOLUCIÓN 20205 APELACIÒN 34638 de 2020 |
MODIFICADA |
| UBER | 17/06/2019 | UBER B.V. usa “cookies” para recolectar o tratar datos personales en el Territorio de la República de Colombia, las cuales instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia, razón por la cual debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias. Por su parte, Uber Colombia S.A.S. realiza una actividad que involucra el Tratamiento de Datos Personales, en particular, utilizando los Datos de los usuarios de Uber para prestar sus servicios de publicidad. En esa medida, Uber Colombia S.A.S. es corresponsable del Tratamiento de Datos Personales de los usuarios de la plataforma en Colombia y, por tanto, debe ser muy responsable, diligente y muy profesional con el Tratamiento seguro de dichos datos. |
RESOLUCIÓN 21478 APELACIÒN 59876 de 2020 |
EN FIRME |
| TRAVELS INTERNATIONAL S.A.S | 18/06/2019 | El responsable del tratamiento debe adoptar los procedimientos adecuados para solicitar y conservar la copia de la autorización del titular, e informar los datos que serán recolectados junto con las finalidades específicas, para los cuales se va a obtener el consentimiento del titular. Por otra parte, los Responsables deben acreditar el deber de desarrollar e implementar un manual para la atención de consultas y reclamos, un manual de políticas de seguridad y un manual para la recolección, uso almacenamiento circulación y supresión de la información. | RESOLUCIÓN 21730 | EN FIRME |
| PAZ RAMÍREZ S.A.S | 19/06/2019 | Los Responsables del Tratamiento de datos de los ciudadanos tienen el deber de acatar de manera debida y oportuna las instrucciones que imparte esta Superintendencia - literal o) del artículo 17 de la Ley 1581 de 2012-. Omitir el cumplimiento de dichas órdenes, requerimientos o instrucciones es una actuación negligente e inaceptable que presta mérito para ser sancionado. |
RESOLUCIÓN 21889 APELACIÒN 76224 de 2019 |
EN FIRME |
| AROLEDA Y CIA S.A.S | 27/06/2019 | Los Responsables del tratamiento, aun cuando no estén obligados a la inscripción de sus bases de datos en el RNBD, tienen que adoptar una política de TDP o de manera subsidiaria un aviso de privacidad que debe conocer el Titular a más tardar al momento de la recolección de sus datos personales, en concordancia con el principio de transparencia, que describa la política de TDP, y los mecanismos que permitan el ejercicio del derecho de habeas data. | RESOLUCIÓN 23969 | EN FIRME |
| PROMOTORA DEINVERSIONES Y COBRANZAS S.A.S | 28/06/2019 | La falta de controles sobre la veracidad de la información que le suministran terceros al Responsable del Tratamiento, puede generar el uso y circulación de información errónea. En caso en que se presente una falla de seguridad que afecte datos personales, los Responsables del Tratamiento deben implementar las medidas necesarias para remediar el incidente y mitigar los posibles efectos o consecuencias negativas para los Titulares concernidos, así como con las medidas correctivas para evitar que ese tipo de fallas vuelvan a suceder a futuro.) |
RESOLUCIÓN 24887 APELACIÒN 76917 de 2019 |
MODIFICADA |
| ROMAL ARQUITECTURA Y CONSTRUCCIÒN S.A.S | 28/06/2019 | El responsable del tratamiento, aun cuando no esté obligado a la inscripción de sus bases de datos en el RNBD, tienen el deber de adoptar una política de TDP o de manera subsidiaria un Aviso de Privacidad que describa la existencia de esta y la forma de ejercer sus derechos, la cual se debe dar a conocer a los titulares, al momento de la recolección de sus datos personales, en concordancia con el principio de transparencia y legalidad. | RESOLUCIÓN 24970 | EN FIRME |
| CREACIONES IRUNA Y CIA. LIDA. | 04/07/2019 | El deber de informar por medio de un Aviso de Privacidad a los Titulares sobre la existencia de la política de tratamiento de datos personales se vulnera cuando no es oportuno, es decir, cuando no se realiza a más tardar al momento de la recolección de los datos personales, y es sancionable cuando la SIC imparte órdenes e instrucciones al respecto y el responsable las omite. | RESOLUCIÓN 26075 | EN FIRME |
| TCC S.A.S | 10/07/2019 | Transcribir o parafrasear lo que dice la ley no cumple con lo ordenado por el literal k) del artículo 17 de la Ley 1581 de 2012 porque en el Manual Interno se deben establecer las "políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley". Adicionalmente, lo mencionado en dicho Manual debe ser útil, oportuno, idóneo y demostrable para proteger los derechos de los Titulares de la información. |
RESOLUCIÓN 27116 APELACIÒN 49321 de 2020 |
MODIFICADA |
| CREDIMPORTACIONES BOGOTA LTDA | 23/07/2019 | El Responsable tiene el deber de solicitar la autorización previa, expresa e informada del Titular, antes de dar tratamiento a sus datos personales mediante llamadas a su teléfono celular, de igual manera, al momento de la recolección se debe informar la finalidad especifica del tratamiento. | RESOLUCIÓN 30029 | EN FIRME |
| ISABEL HENAO DE MENESES E HIJOS CIA S. EN C. | 31/07/2019 | Deber de implementar y desarrollar un Aviso de privacidad, para dar a conocer la existencia de políticas de tratamiento de información. Deber de cumplir con los requerimientos e instrucciones impartidas por la SIC, aunque no se esté en la obligación de registrar su información en el RNBD. |
RESOLUCIÓN 31883 REPOSICIÒN 68499 de 2019 |
MODIFICADA |
| WORKING BUSINESS S.A.S | 31/07/2019 | Deber de contar con una autorización previa y expresa por parte de los titulares de la información, para no vulnerar su derecho a la autodeterminación informática y decidir sobre su tratamiento. Deber de adoptar una "política de tratamiento de datos personales" para garantizar la seguridad de la información. | RESOLUCIÓN 32121 | EN FIRME |
| CAJA COLOMBIANA DE SUBSIDIO FAMILIAR - COLSUBSIDIO | 01/08/2019 | Deber de cumplir las observaciones y requerimientos realizados por la SIC, aportando prueba técnica de la supresión de la información del titular. |
RESOLUCIÓN 32457 APELACIÒN 76920 de 2019 |
MODIFICADA |
| IMPULSADORA HOTELERA Y TURISTICA LTDA. HOTURIS LTDA. | 08/08/2019 | Es deber de los Responsables de contar con una política (o manual) interno para la atención de consultas y reclamos que presenten los Titulares de la Información - literal k) del artículo 17 de la Ley 1581 de 2012-. Dicha política debe incluir un mecanismo de monitoreo para evaluar su efectividad en la práctica y cumplir el principio de responsabilidad demostrada (accountability) |
RESOLUCIÓN 34889 APELACIÒN 76913 de 2019 |
MODIFICADA |
| AMERICAN BUSSINES S.A.S | 13/08/2019 | AMERICAN BUSSINES realizó el tratamiento de datos personales, sin acreditar que contaba con la autorización previa, expresa e informada del Titular; lo cual restringió su derecho a la autodeterminación informática y a decidir sobre el tratamiento de sus datos personales. Desde luego, el Responsable tampoco contaba con la copia de la autorización, pese a que esta se debe conservar mientras subsista en tratamiento. | RESOLUCIÓN 35959 | EN FIRME |
| SAMARA REPRESENTACIONES HOTELERAS S.A.S | 15/08/2019 | SAMSARA REPRESENTACIONES HOTELERAS S.A.S. al momento de recolectar los datos personales de los titulares de manera virtual, no solicitó su autorización, ni informó las finalidades específicas del tratamiento. El Responsable debe dar respuesta oportuna a los requerimientos de la SIC, puesto que de lo contario estaría obstaculizando la facultad de inspeccionar y velar por el cumplimiento del Régimen de protección de datos personales. |
RESOLUCIÓN 36967 | EN FIRME |
| ASEGÚRATE FÁCIL LTDA | 04/09/2019 | Asegúrate Fácil LTDA no demostró que había solicitado y conservada prueba del consentimiento previo, expreso e informado del Titular para tratar los datos personales que le conciernen. El silencio, las casillas “pre marcadas” por defecto y la inacción no constituye consentimiento bajo la Ley 1581 de 2012. Al utilizarse herramientas en páginas web o aplicaciones tecnológicas, resulta imprescindible que el Responsable verifique que la persona que autorizará el Tratamiento es realmente quien dice ser y no que se trata de un tercero o de un suplantador de identidad. |
RESOLUCIÓN 42629 APELACIÒN 76538 de 2019 |
EN FIRME |
| VIA PACIFICO S.A.S | 18/09/2019 | VÍA PACIFICO SAS debe informar las finalidades del Tratamiento de la información personal de los Titulares, en los formatos de autorización previa. Así mismo, en su política de tratamiento de DP debe señalar el periodo de vigencia de las bases de datos que utiliza dentro de sus operaciones. |
RESOLUCIÓN 47027 REPOSICIÒN 68606 de 2019 |
EN FIRME |
| ENTIDAD PROMOTORA DE SALUD SERVICIO OCIIDENTAL DE SALUD S.A. SOS | 25/09/2019 | La Entidad Promotora de Salud Servicio Occidental de Salud S.A. SOS, no respondió de manera completa la solicitud del Titular del Dato. Dicha entidad, como Responsable del Tratamiento de la información de los ciudadanos, tiene el deber de atender y responder de manera completa, debida, de fondo y oportuna, las solicitudes de los Titulares de la información, conforme lo estable el artículo 17 de la Ley 1581 de 2012. |
RESOLUCIÓN 49160 APELACIÒN 61173 de 2020 |
MODIFICADA |
| TRAVELS LINE S.A.S | 30/09/2019 | El incumplimiento del deber de atender los requerimientos e instrucciones de la SIC referentes al tratamiento de datos personales; permite concluir que TRAVELS LINE SAS no cuenta con: a) una política de tratamiento de datos personales con los requisitos mínimos establecidos en la ley 1581 de 2012, b) no solicitó y ni conservó copia de la autorización del Titular para el tratamiento de datos personales c) tampoco acreditó la implementación de un manual de políticas de seguridad, ni un manual para la atención de consultas y reclamos. | RESOLUCIÓN 51078 | EN FIRME |
| CAJA DE COMPENSACIÓN FAMILIAR COMFENALCO SANTANDER | 30/09/2019 | El principio de seguridad y confidencialidad se vulnera cuando se remite un correo electrónico que permite a una o varias personas ver o conocer las direcciones de correo electrónico de los destinatarios de dicho mensaje. En el tratamiento de datos personales de naturaleza pública se deben aplicar los principios rectores del artículo 4 de la ley 1581 de 2012, salvo los de libertad y confidencialidad. |
RESOLUCIÓN 51294 APELACIÒN 76480 de 2019 |
MODIFICADA |
| WINNER GROUP S.A | 29/10/2019 | La Autorización y/o consentimiento que exige la Ley 1581 de 2012 para el Tratamiento de los datos de los ciudadanos es calificado, esto es, debe ser previo, expreso e informado; características anteriores que deben acreditarse y demostrarse por el Responsable del Tratamiento aún en el supuesto de que dicho consentimiento sea otorgado por el Titular a través de conductas inequívocas, lo que en el caso concreto no demostró la sociedad Winner Group S.A. La autorización mediante conductas inequívocas también debe ser previa e informada. |
RESOLUCIÓN 58043 APELACIÒN 74223 de 2019 |
MODIFICADA |
| GRUPO REDDIAL S.A.S | 31/10/2019 | GRUPO REDDIAL SAS, no solicitó ni conservó copia de la autorización de los Titulares para el tratamiento de datos personales, situación que impide el ejercicio del derecho de autodeterminación informática en concordancia con el principio de libertad, según el cual los Titulares son quienes autorizan que su información personal sea incluida en alguna base de datos. | RESOLUCIÓN 59220 | EN FIRME |
| STAR SEGUROS VIP LTDA | 15/11/2019 | El tratamiento de datos personales sólo puede ser autorizado por el Titular de estos para una finalidad específica, por lo tanto, el Responsable debe adoptar los procedimientos adecuados para solicitar y conservar copia de la autorización del Titular e informar los datos que serán recolectados junto con las finalidades de su uso. | RESOLUCIÓN 63206 | EN FIRME |
| ENTIDAD PROMOTORA DE SALUD SAITAS S.A.S - E.P.S SANITAS S.A.S | 19/11/2019 | La adulteración del formulario de afiliación del Titular bajo custodia de la E.PS SANITAS S.A.S, sin su autorización, además de ilegal, constituye una vulneración al literal d) del artículo 16 de la Ley Estatuaria 1581 de 2012, que ordena “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. Una empresa que se dedica a la prestación del servicio de salud (derecho fundamental) como la E.P.S. Sanitas S.A.S., y que trata Datos de más de cuarenta y tres millones y medio (43’500.000) de personas, debe ser extremadamente diligente y garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos. |
RESOLUCIÓN 64328 APELACIÒN 77049 de 2019 |
MODIFICADA |
| PAYMENT SOLUTION S.A.S | 29/11/2019 | Deber de solicitar la respectiva autorización otorgada por el Titular: los Responsables no pueden conformar sus bases de datos a través del sistema de referidos, pues la autorización debe ser previa al tratamiento, y con el hecho de utilizar el número telefónico por primera vez se estaría realizando tratamiento del dato anterior al otorgamiento de la autorización. | RESOLUCIÓN 68469 | EN FIRME |
| RAPPI S.A.S | 29/11/2019 | La autorización otorgada por el Titular en virtud del contrato laboral suscrito con el Responsable vulneró sus derechos de habeas data y autodeterminación informática, puesto que no autorizó de manera expresa la difusión de su imagen/fotografías para fines publicitarios. Por consiguiente, la autorización para el tratamiento de datos personales no debe generar confusión, por el contrario, dicho documento debe informar claramente los datos que serán recolectados y las finalidades del tratamiento | RESOLUCIÓN 68533 | EN FIRME |
| CREDIVALORES CREDISERVICIOS S.A | 29/11/2019 | Los datos personales no podrán ser obtenidos ni divulgados sin previa autorización del titular, o en ausencia de mandato legal o judicial que releve el consentimiento. Esto impide que la información ya registrada de un ciudadano, obtenida bajo su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos a los autorizados inicialmente, puesto que el titular tiene el derecho a determinar cuáles de sus datos dar a conocer como parte de su imagen corporativa. |
RESOLUCIÓN 68616 |
EN FIRME |
| PREPAGO DE COLOMBIA PREPACOL S.A.S | 29/11/2019 | El Responsable debe cumplir las órdenes emitidas por la SIC referentes a la inscripción de las bases de datos en el Registro Nacional de Bases de Datos, así mismo es su deber atender de forma integral los requerimientos realizados por dicha autoridad. | RESOLUCIÓN 68554 | EN FIRME |
| CONJUNTO RESIDENCIAL HACIENDA PEÑALISA OCOBO | 04/12/2019 | Los edificios de oficinas o conjuntos residenciales que se someten al régimen de propiedad horizontal son personas jurídicas Responsables del Tratamiento de los datos personales que recolectan, almacenan o usan sobre todas las personas que ingresan a sus instalaciones. Por lo tanto, están obligados a obtener la autorización previa e informada de las personas de las cuales realicen tratamiento de datos, y deben demostrar que informaron todo lo que ordena el artículo 12 de la Ley 1581 de 2012. |
RESOLUCIÓN 69438 APELACIÒN 43198 de 2020 |
MODIFICADA |