Superintendencia de Industria y Comercio

Top bar

logo presidencia

Logo SIC y Gobierno de Colombia

Se encuentra usted aquí

Tramites y servicios menu secundario

Sanciones 2020

SANCIONADO/ INVESTIGADO FECHA TÍTULO RESOLUCIÓN ESTADO
ZOOM VIDEO COMMUNICATIONS, INC. 23/11/2020 La Ley 1581 de 2012 fija de manera expresa su ámbito de aplicación “al tratamiento de datos personales efectuado en territorio colombiano”. Para recolectar datos en Colombia no es necesario estar domiciliado en este país. Avances y herramientas tecnológicas permiten que empresas u organizaciones recolecten datos en Colombia sin hacer presencia física en nuestro territorio. Estas organizaciones realizan “presencia tecnológica” mediante el uso de las dichas herramientas o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc.) ubicadas en el territorio colombiano. Esa realidad no puede desconocerse ni ser argumento para eximirse de la aplicación de la regulación colombiano. No es sensato que quien recolecte y trate datos en el territorio de la República de Colombia sin estar domiciliado o residir en el mismo acuda a argumentos clásicos de territorialidad no solo para para evadir sus responsabilidades legales frentes a las autoridades y los titulares de los datos, sino para desconocer el ámbito de aplicación de la citada ley. En este caso, como las web cookies se instalan por parte de Zoom en equipos ubicados en Colombia, el Tratamiento de la información recolectada por este medio se somete al cumplimiento de la Ley 1581 de 2012.

RESOLUCIÓN 74519 de 2020

REPOSICIÓN 54172 de 2021

APELACIÓN 83381 de 2021

EN FIRME
TIK TOK (ByteDance Ltd, TikTok, Inc y TikTok Pte. Ltd.) 05/10/2020
  1. TIK TOK INC debe cumplir las normas sobre recolección y uso de datos de niñas, niños y adolescentes .La Ley colombiana no distingue si el Tratamiento se debe hacer de determinada manera ni excluye ninguna forma, herramienta, tecnología o proceso para recolectar o tratar Datos. Debe recordarse que existe un principio general de interpretación jurídica que señala que: “en donde la ley no distingue, no le es dado al intérprete hacerlo”; principio que en este caso resulta plenamente aplicable porque TIKTOK, Inc. realiza Tratamiento de Datos en el territorio colombiano mediante el uso de cookies Por tanto, la ley Estatutaria 1581 de 2012 es aplicable a TIKTOK, Inc. porque recolecta Datos personales en el territorio de la República de Colombia a través de cookies que instala en los equipos -teléfonos celulares tablets, computadoras o cualquier otro dispositivo que almacene información- de las personas residentes o domiciliadas en Colombia, y no le corresponde a la SIC excluir el uso de cookies como herramienta para realizar dicho Tratamiento.
  2.  Las normas de Protección de Datos nacionales -Ley Estatutaria 1581 de 2012 y sus normas complementarias- son aplicables a TIKTOK PTE. porque recolecta Datos personales por medio de cookies que instala en dispositivos móviles y computadores ubicados en Colombia, es decir, realiza un Tratamiento sobre los mismos. El campo de aplicación de la ley colombiana no ha sido ampliado ni modificado por esta Superintendencia. Tampoco ha sido objeto de una interpretación arbitraria. Simplemente se ha dado cumplimiento a lo que establece el texto de la norma. Para el efecto, se ha utilizado el principio general de interpretación jurídica que establece que: “donde la ley no distingue, no le es dado al intérprete hacerlo”. Si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad excluir el uso de cookies como una de tales herramientas.
  3. La sociedad BYTEDANCE LTD. es corresponsable del Tratamiento de Datos personales que se realiza en la aplicación TikTok. Ello no significa que sea la única propietaria de esa aplicación, sino que, por sí misma o en asocio con otros, decide sobre la Base de Datos y/o el Tratamiento de los Datos que se recolectan y tratan a través de la misma. BYTEDANCE LTD. emplea diversas tecnologías para recolectar Datos personales en el territorio de la República de Colombia, entre las que se incluyen las web cookies. Según un principio general de interpretación jurídica: “en donde la ley no distingue, no le es dado al intérprete hacerlo”; por tanto, si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad excluir el uso de cookies como una de tales herramientas. Por ende, a BYTEDANCE LTD. le es aplicable la Ley Estatutaria 1581 de 2012.

RESOLUCIÓN 62132 de 2020

Reposición 14025 de 2021

APELACIÓN 14015 de 2021

REPOSICIÓN 14028 de 2021

APELACIÓN 67413 de 2021

APELACIÓN 75008 de 2021

APELACIÓN 75009 de 2021

EN FIRME
GOOGLE LLC 03/09/2020 GOOGLE LLC debe cumplir las normas sobre recolección y uso de datos de niñas, niños y adolescentes. Existe un principio general de interpretación jurídica según el cual “en donde la ley no distingue, no le es dado al intérprete hacerlo”. En este caso, dicho principio resulta plenamente aplicable porque GOOGLE LLC realiza Tratamiento de Datos en el territorio colombiano mediante el uso de cookies que instalan en los equipos -teléfonos celulares tablets, computadoras o cualquier otro dispositivo que almacene información- de las personas domiciliadas o residentes en Colombia. Si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a la SIC excluir el uso de cookies como una de tales herramientas. Por ende, GOOGLE LLC recolecta datos en el territorio de la República de Colombia y le es aplicable la Ley Estatutaria 1581 de 2012.

RESOLUCIÓN 53593 de 2020

REPOSICIÓN 14010 de 2021

APELACIÓN 60478 de 2021

EN FIRME
GOOGLE COLOMBIA LIMITADA 4/11/2020 No es cierto que esta Delegatura -como lo afirma la apoderada de Google Colombia- haya declarado situación de control entre Google LLC y Google Colombia. Ello se puede corroborar con la simple lectura de la parte resolutiva de la resolución 70315 del 4 de noviembre de 2020 en donde, entre otras, se compulsan copias del expediente a la Superintendencia de Sociedades para lo de su competencia. Como autoridad administrativa respetamos el derecho de defensa de la recurrente, pero nos parece muy grave que se acuda a la mentira como estrategia de defensa jurídica. Ello no es consistente con el decoro, la ética y el profesionalismo que debe guiar la labor de los abogados (as). No es sensato analizar el caso concreto desde una lectura parcial, subjetiva y limitada a ciertas normas o “áreas del derecho”, sino que es imperioso aplicar integralmente diferentes disposiciones de la regulación colombiana y dar primacía a los mandatos constitucionales, tal y como lo ordena el artículo 4 de nuestra Carta Política de 1991. De esta forma, según el artículo 44 de la Constitución: “Los derechos de los niños prevalecen sobre los derechos de los demás” y la protección de estos debe garantizarse en la práctica. Los niños, niñas y adolescentes son Titulares del Derecho Fundamental de Habeas Data y del debido Tratamiento de sus Datos personales. La Autorización para el Tratamiento de esa información debe ser otorgada por el representante legal del niño, niña o adolescente, tal como lo señala el artículo 12 del Decreto 1377 de 2013.

RESOLUCIÓN 70315 de 2020

REPOSICIÓN 38869 de 2021

APELACIÓN 72775 de 2021

EN FIRME
SCOTIABANK COLPATRIA S.A 11/03/2020 Los Titulares de la información tienen el derecho de solicitar la exclusión o supresión de la información que repose en las Bases de Datos de los Responsables o Encargados del Tratamiento, siempre que no exista un deber legal o contractual que lo impida – literal a) del artículo 17 de la Ley Estatutaria 1581 de 2012-. El Titular del dato no tiene que insistir para que sus derechos sean garantizados. Por el contrario, estos deben ser salvaguardados sin dilación alguna por parte de los Responsables o Encargados del Tratamiento.

RESOLUCIÓN 10720 de 2020

APELACIÓN 18314 de 2021

REPOSICIÓN 45747 de 2020

MODIFICADA
COLOMBIA MOVIL S.A. ESP 06/05/2020 El Titular del dato no está obligado a insistir para que se suprima su información de una base de datos -literal e) artículo 8 Ley Estatutaria 1581 de 2012-, sobre todo cuando dicho Titular no tiene una relación contractual con el Responsable. El Titular no debe rogar para que se respeten sus derechos. Es imperativo -no facultativo- respetar y garantizar los derechos constitucionales y legales de las personas.

RESOLUCIÓN 20080 de 2020

APELACIÓN 667 de 2020 

REPOSICIÓN 73824 DE 2020

EN FIRME
AGRUPACION DE VIVIENDA RINCON DE MANDALAY 02/07/2020 El Responsable debe informar la finalidad del tratamiento de los datos personales del Titular al momento de la recolección y solicitud de autorización previa, expresa e informada. Así mismo debe informar los derechos que le asisten como Titular de la información.  RESOLUCIÓN 34648 de 2020 EN FIRME
CONJUNTO RESIDENCIAL CIUDADELA PARQUE CENTRAL DE OCCIDENTE SEGUNDA ETAPA-PROPIEDAD HORIZONTAL 13/07/2020 El Responsable debe demostrar que cuenta con la autorización previa, expresa e informada otorgada por el Titular para el tratamiento de datos personales, e informar la finalidad de la recolección de manera clara y especifica. RESOLUCIÓN 37971 de 2020 EN FIRME
AMARILO S.A.S. 28/07/2020 La Autorización y/o consentimiento que exige la Ley 1581 de 2012 para el Tratamiento de los datos de los ciudadanos es calificado, esto es, debe ser previo, expreso e informado; características anteriores que no fueron acreditadas por la sociedad AMARILLO S.A.S. En particular, porque no demostró haber conservado en condiciones óptimas y verificables, copia de la Autorización que en su momento hubiera otorgado el Titular de la información para el debido Tratamiento de sus Datos.

RESOLUCIÓN 42189 DE 2020

APELACIÓN  82808 de 2020

REPOSICIÓN 69304 de 2020

EN FIRME
ALMACENES EXITO S.A. 31/07/2020 Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales.

RESOLUCIÓN 44019 de 2020

APELACIÓN 27223 DE 2021

REPOSICIÓN 62728 de 2020

EN FIRME
CREDIVALORES - CREDISERVICIOS S.A 11/08/2020 Sin seguridad no existe debido tratamiento de datos personales. CREDIVALORES no cumplió el deber y el principio de seguridad porque suministró a terceros datos personales de la Titular del dato sin su autorización. En otras palabras, no adoptó las medidas de seguridad necesarias para impedir el acceso no autorizado de esos datos -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-. Además, la Titular se vio obligada a radicar dos (2) derechos de petición porque CREDIVALORES no respondió de manera completa y de fondo lo requerido. Con una sola solicitud es suficiente. Los derechos de los titulares son para respetarlos y no para dilatar su cumplimiento o negar su efectividad en la práctica.

RESOLUCIÓN 46328 de 2020

REPOSICIÓN 69299 de 2020 

APELACIÓN de 48960 de 2021

MODIFICADA
GENERAL SERVICE DE COLOMBIA S.A.S 18/08/2020 El Responsable de la información debe solicitar la autorización previa, expresa e informada del Titular previamente al tratamiento de sus datos personales por lo cual, no puede realizar llamadas telefónicas para solicitar datos personales sin antes haber obtenido la debida autorización.  RESOLUCIÓN 47605 de 2020 EN FIRME
EXPEDIENTES SAS 31/08/2020 El Responsable debe garantizar el ejercicio del derecho de habeas data del Titular a través del derecho de petición mediante el cual los Titulares ejercen el control sobre el manejo de sus datos personales.   RESOLUCIÓN 52347 de 2020 EN FIRME
COPERATIVA AUTONOMA DE SEGURIDAD C.T.A. COAUTOMA C.T.A. 02/09/2020 Sin seguridad no hay debido Tratamiento de los datos personales. La regulación de Protección de Datos en Colombia exige a los Responsable del Tratamiento ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas necesarias, útiles, apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley Estatutaria 1581 de 2012 (Responsabilidad Demostrada) -Corte Constitucional Sentencia C-32 de 2021-. En materia de seguridad, dichas medidas deben ser capaces de, en la práctica, evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales.

RESOLUCIÓN 53373 de 2020

REPOSICIÓN 9275 de 2021 

APELACIÓN 55943 de 2021

MODIFICADA
CRC OUTSOURCING S.A.S. 16/09/2020  La recolección, uso, circulación y el tratamiento de los datos personales privados, semiprivados y sensibles sólo puede realizarse cuando exista la autorización previa, expresa e informada del Titular, tal y como lo establece el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012. La sociedad OUTSOURCING S.A.S. actuó ilegalmente, porque no acreditó dicha autorización -artículo 9 de la Ley 1581 de 2012-

RESOLUCIÓN 56699 de 2020

APELACIÓN 82431 de 2021 

REPOSICIÓN 72803 de 2020

EN FIRME
PROPIEDAD HORIZONTAL CONJUNTO RESIDENCIAL PLAZUELAS DE SANTA ANA 17/09/2020

El Responsable tiene el deber de tratar la información que se encuentra almacenada en su base de datos bajo medidas de seguridad idóneas, que garanticen la custodia de los datos personales que tiene a su cargo, por lo cual se deben establecer las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros y datos personales de los residentes y propietarios.

RESOLUCIÓN 56959 de 2020 EN FIRME
FITNESS PEOPLE CENTRO MÉDICO DEPORTIVO S.A.S 18/09/2020

El Responsable no atendió de manera oportuna y dentro de los 10 días hábiles siguientes la petición presentada por la Titular, vulnerando su derecho fundamental de habeas data. Aunque atendió la integridad de las peticiones, no cumplió con el termino legal impidiéndole al Titular conocer, actualizar y rectificar su información personal.

RESOLUCIÓN 57543 de 2020 EN FIRME
BANCO POPULAR S.A 22/09/2020 El Responsable vulnero el ejercicio del derecho de habeas data al no atender oportunamente su solicitud de supresión de datos personal con el fin de no continuar recibiendo mensajes de texto y correos electrónicos de prospección comercial, tampoco otorgo respuesta en el término legal a la solicitud de supresión. RESOLUCIÓN 58101 de 2020 EN FIRME
SODIMAC COLOMBIA S.A. 24/09/2020 La autorización mediante conductas inequívocas es jurídicamente válida siempre y cuando sea previa e informada. SODIMAC COLOMBIA S.A. no cumplió con el deber de informar al Titular todo lo que ordena la ley, razón por la cual la autorización que manifiesta haber obtenido no cumple los requisitos legales. Los avisos de privacidad no suplen la autorización previa, expresa e informada del Titular de la información. No es una buena práctica en materia de tratamiento de datos personales utilizar mecanismos de obtención del consentimiento en los que tenga el mismo efecto que la persona ACEPTE o NO ACEPTE. No es sensato que dé lo mismo aceptar o no aceptar. Eso es irrespetuoso con los seres humanos porque no importa la autonomía de las personas, ni su voluntad.

RESOLUCIÓN 59001 de 2020

APELACIÓN 82786 de 2021 

REPOSICIÓN 74268 de 2020

EN FIRME
MADERFORMAS SAS 25/09/2020 El Responsable incumplió con el deber de cumplir con los requerimientos e instrucciones que imparta la SIC de manera oportuna, al no dar atender la orden impartida de cargar los archivos de RNBD sin clave de lectura. RESOLUCIÓN 59472 de 2020 EN FIRME
CONJUNTO RESIDENCIAL PARQUE CENTRAL BONAVISTA ETAPA II PROPIEDAD HORIZONTAL 08/10/2020 El Responsable debe dar trámite a las consultas y reclamos realizadas por el Titular frente al tratamiento de su información personal contenida en bases de datos, que considere que debe ser objeto de corrección actualización o supresión. RESOLUCIÓN 63240 de 2020 EN FIRME
GRUPO INNOVA INTERNATIONAL S.A.S 14/10/2020 No todo dato de acceso público es, per se, de naturaleza pública. La naturaleza jurídica de un dato público no depende únicamente de que su acceso sea libre. De ser así, equivocadamente se concluiría que todos los Datos personales que reposan en internet -fotos, videos, direcciones de correo electrónico, historias clínicas- son de naturaleza pública y, por ende, cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato. Recolectar datos personales privados, semiprivados o sensibles en internet no legitima al recolector para apropiarse de dicha información y hacer lo que quiera con la misma.

RESOLUCIÓN 64258 de 2020

REPOSICIÓN 78818 de 2021 

APELACIÓN 62974 de 2021

EN FIRME
CONJUNTO RESIDENCIAL ALMEIRA TORRES 1,2,3,4 Y 5 PROPIEDAD HORIZONTAL 14/10/2020 El Responsable debe solicitar la autorización, previa, expresa e informada de los Titulares antes de realizar el tratamiento de sus datos personales como el envío de correos electrónicos masivos, y conservar copia de esta, así mismo debe informar al momento de la recolección la finalidad específica del tratamiento. RESOLUCIÓN 64277 de 2020 EN FIRME
EDITORA RED PREFERENCIAL S.A.S. 14/10/2020 Las Sociedades deben implementar un mecanismo efectivo para obtener la autorización previa expresa e informada de los Titulares; y suprimir, de manera definitiva, de sus bases de datos la totalidad de los datos personales que no hayan sido obtenidos y tratados con el consentimiento de su respectivo Titular. RESOLUCIÓN 64262 de 2020 EN FIRME
COMSERVICE ASISTENCIA S.A.S 14/10/2020 Las Sociedades deben implementar un mecanismo efectivo para obtener la autorización previa expresa e informada de los Titulares; y suprimir, de manera definitiva, de sus bases de datos la totalidad de los datos personales que no hayan sido obtenidos y tratados con el consentimiento de su respectivo Titular. RESOLUCIÓN 64262 de 2020 EN FIRME
GENERAL SERVICE DE COLOMBIA S.A.S 14/10/2020 La Responsables deben informar previamente a los Titulares sobre las finalidades del tratamiento de la información y adoptar un Manual de Políticas de seguridad con las medidas apropiadas y efectivas para que la información de los Titulares permanezca bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado. RESOLUCIÓN 64262 de 2020 EN FIRME
CCG SOLUCIONES SAS 14/10/2020 Las Sociedades deben suprimir, de manera definitiva, de sus bases de datos la totalidad de los datos personales que no hayan sido obtenidos y tratados con el consentimiento de su respectivo Titular y adoptar un Manual de Políticas de seguridad para evitar el acceso de terceros no autorizados.  RESOLUCIÓN 64262 de 2020 EN FIRME
SOLUCIONES VIDA FÁCIL SAS 15/10/2020 La Ley Estatutaria 1581 de 2012 faculta a esta Superintendencia para imponer a los Responsables y Encargados del Tratamiento sanciones no solo de carácter pecuniario sino también aquellas que suspenden las actividades relacionadas con el Tratamiento. Dicha facultad sancionadora está encaminada a asegurar el adecuado manejo de la información personal por parte de los sujetos obligados conforme lo ordena la Ley Estatutaria 1581 de 2012. Imponer una sanción de este tipo no resulta desproporcionada, pues lo que busca es que se corrijan las medidas al interior de la sociedad que dieron lugar a la violación de las normas contenidas en la Ley.

RESOLUCIÓN 64884 de 2020

REPOSICIÓN 80433 de 2021 

APELACIÓN 64268 de 2021

EN FIRME
BANCO DE BOGOTÁ S.A 28/10/2020 Si una persona va a suministrar a terceros los datos de contacto de sus amigos, familiares, etc, deberá previamente informar de ello al Titular del dato y solicitar su autorización. Los Responsables del Tratamiento deben asegurarse de que quien les suministra información está legitimado porque, de lo contrario, se estaría avalando que terceros suministren datos de otras personas a empresas sin observar lo que ordena la Ley. En este caso, la ciudadana que fue incluida como “Referencia Personal” en una solicitud de crédito no autorizó al BANCO DE BOGOTÁ para que usara su información para adelantar gestión de cobro de cartera de un tercero. Es obligación de los deudores pagar oportunamente sus obligaciones dinerarias y es lícita la gestión de cobro y recuperación de cartera de crédito. No obstante, el fin no justifica los medios. Quien pretenda cobrar una suma de dinero no debe hacerlo de cualquier manera, sino con estricto cumplimiento de lo establecido en la Ley.

RESOLUCIÓN 68380 de 2020

APELACIÓN 47280 de 2021

EN TRÁMITE
HOTEL VILLA DE LEYVA PLAZA 28/10/2020 Los Responsables del tratamiento deben atender los diferentes llamados de la Superintendencia y demostrar el cumplimiento de los deberes de protección de datos personales, a través de los requerimientos, ordenes e instrucciones que emite la entidad.  RESOLUCIÓN 68389 de 2020 EN FIRME
ALMACENES ÉXITO E INDUSTRIAS ÉXITO S.A.S 28/10/2020 Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales. Almacenes Éxito S.A. trata Datos de más de 29’957.549 de ciudadanos y Éxito Industrias S.A.S. de 941 ciudadanos. Lo anterior las obliga a ser extremadamente diligentes y a garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos.

RESOLUCIÓN 68369 de 2020

REPOSICIÓN 8345 de 2021 

APELACIÓN 72788 de 2021

EN FIRME
ÉXITO INDUSTRIAS S.A.S. 28/10/2020 Los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Responder un reclamo extemporáneamente es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos de los Titulares de los Datos personales. Almacenes Éxito S.A. trata Datos de más de 29’957.549 de ciudadanos y Éxito Industrias S.A.S. de 941 ciudadanos. Lo anterior las obliga a ser extremadamente diligentes y a garantizar la efectividad real (no formal) de los derechos de los Titulares de los Datos.

RESOLUCIÓN 68369 de 2020

REPOSICIÓN 8345 de 2021 

APELACIÓN 72788 de 2021

EN FIRME
GIROS & FINANZAS COMPAÑÍA DE FINANCIAMIENTO S.A. 29/10/2020 No existe la obligación legal de las personas de recibir mensajes de datos, llamadas o correos electrónicos con fines de publicidad, marketing o prospección comercial. Quienes sean objeto de esas conductas comerciales pueden solicitar en cualquier momento al Responsable del Tratamiento la supresión de su información. En este caso, la sociedad Giros y Finanzas Compañía de Financiamiento S.A. no cumplió debida y oportunamente el deber legal de eliminar la información del Titular. No puede convertirse en una práctica empresarial que el Titular del dato tenga que insistir varias veces para que se garantice el respeto de sus derechos. Los derechos son para respetarlos y no para dilatar su cumplimiento o negar su efectividad en la práctica.

RESOLUCIÓN 69303 de 2020

REPOSICIÓN 3145 de 2021 

APELACIÓN 47748 de 2021

EN FIRME
IMPERIAL TOUR S.A.S. 30/10/2020 Los Responsables deben garantizar el cumplimiento de las ordenes de eliminación de datos personales que emite la SIC, mediante procedimientos de eliminación de datos personales efectivos debidamente certificados, en aras de evitar que se vulnere reiteradamente el derecho fundamental de habeas data. RESOLUCIÓN 69671 de 2020 EN FIRME
COBROACTIVO S.A.S. 6/11/2020 Los Encargados del tratamiento deben garantizar el ejercicio del derecho de habeas data y de petición, suministrando una solución dotada de claridad y congruencia entre lo pedido y lo resuelto, que la respuesta sea oportuna y que sea puesta en conocimiento del Titular. De igual forma, el Encargado debe informarle al interesado acerca del traslado de la solicitud al Responsable.

RESOLUCIÓN 70712 de 2020

EN FIRME
COOPERATIVA BELEN AHORRO Y CRÉDITO  6/11/2020 Informar una dirección de correo electrónico para que las personas ejerzan sus derechos y no monitorear su correcto funcionamiento es una medida que no es efectiva ni es útil porque no sirve para el propósito que se creó, esto es, recibir y responder las peticiones de los Titulares de los Datos Personales. No debe olvidarse que la regulación sobre Tratamiento de datos busca que se garantice una protección real y efectiva de los derechos de las personas y no una protección formal o simbólica.

RESOLUCIÓN 70712 de 2020

APELACIÓN 23194 de 2021 

REPOSICIÓN 8363 DE 2021

EN FIRME
TENNIS S.A. EN REORGANIZACIÓN  10/11/2020 El Responsable debe solicitar la autorización previa, expresa e informada del Titular, para el envío de prospección comercial a su dirección de correo electrónico personal y al número de línea móvil. De igual manera, debe garantizar el ejercicio del derecho de habeas del Titular y respetar su voluntad en cuanto no continuar recibiendo publicidad.

RESOLUCIÓN 71760 de 2020

REPOSICIÓN 10378 de 2021 

EN FIRME 
ACIERTOS RECREATIVOS S.A.S. 11/11/2020 El Responsable debe tener especial cuidado frente al tratamiento de datos personales de menores de edad, por lo que debe solicitar la autorización previa, expresa e informada de sus representantes legales e informar las finalidades específicas del tratamiento, como es el caso del uso de fotografías de menores con fines publicitarios, en virtud del derecho de seguridad y privacidad.  RESOLUCIÓN 71978 de 2020 EN FIRME
TOUR VACATION HOTELES AZUL
S A S
 
17/11/2020 Esta entidad puede iniciar investigaciones de oficio, esto es, sin que sea necesario que el Titular del dato agote el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento. Por su parte, los derechos de las personas deben respetarse y garantizarse conforme con los mandatos legales y de manera oportuna. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. No respetar los derechos de los titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos.

RESOLUCIÓN 72805 de 2020

REPOSICIÓN9382 de 2021 

APELACIÓN 76920 de 2021

EN FIRME
RAPPI S.A.S.
S A S
 
6/05/2021

Es imperativo -no facultativo- que los Responsables o Encargados del Tratamiento de Datos personales garanticen oportuna y debidamente los derechos constitucionales y legales de las personas. Se trata de un asunto muy importante sobre el cual las organizaciones deben obrar de manera profesional, diligente y efectiva porque ello es parte central del mandato constitucional previsto en el artículo 15 de la Constitución. En este caso, la recurrente fue negligente al no suprimir el dato del Titular dentro del término máximo establecido por la ley -15 días hábiles desde la presentación del reclamo-, sobrepasando ese tiempo en casi 6 meses. 

RESOLUCIÓN 27348 de 2021

REPOSICIÓN 40814 DE 2021

APELACIÓN 14457 DE 2022 

EN FIRME
CONJUNTO RESIDENCIAL EL TESORO I- PROPIEDAD HORIZONTAL 2/12/2020 Los Responsables deben adoptar medidas apropiadas y pertinentes para evitar que los correos electrónicos personales sean difundidos masivamente y conocidos indiscriminadamente por todos los destinatarios. Es necesaria la implementación de medidas de seguridad para impedir la consulta y acceso no autorizado. RESOLUCIÓN 77893 de 2020 EN FIRME
BANCA DE SERVICIOS FINANCIEROS SAS 4/12/2020 Los Responsables deben exigir a los Encargados del Tratamiento el respeto a las condiciones de seguridad y privacidad de la información personal de los Titulares. Dicho deber no se limita únicamente al establecimiento de cláusulas contractuales; su cumplimiento implica que ir más allá porque las medidas deben ser necesarias, útiles, apropiadas y efectivas para evitar afectaciones a la seguridad de los datos de las personas -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-.

RESOLUCIÓN 78239 de 2020

REPOSICIÓN 16847 de 2021

APELACIÓN 41580 de 2021

EN FIRME
FONDO DE EMPLEADOS GRANFONDO -FEG 4/12/2020 Los Responsables deben exigir a los Encargados del Tratamiento el respeto a las condiciones de seguridad y privacidad de la información personal de los Titulares. Dicho deber no se limita únicamente al establecimiento de cláusulas contractuales; su cumplimiento implica que ir más allá porque las medidas deben ser necesarias, útiles, apropiadas y efectivas para evitar afectaciones a la seguridad de los datos de las personas -literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012-.

RESOLUCIÓN 78239 de 2020

REPOSICIÓN 16847 DE 2021

APELACIÓN 41580 de 2021

EN FIRME
SCOTIABANK COLPATRIA S.A 4/12/2020 Es deber del Responsable del Tratamiento garantizar, en todo tiempo el pleno y efectivo goce del derecho fundamental de habeas data a los Titulares de la información, atendiendo efectivamente las solicitudes de supresión de información en sus bases de datos, sin que el Titular deba reiterar sus solicitudes por diferentes medios electrónicos por falta de diligencia por parte del Responsable. RESOLUCIÓN 78221 de 2020 EN FIRME
CASA EDITORIAL EL TIEMPO S A 18/12/2020 La regulación sobre datos personales impone cargas probatorias a los Responsables del Tratamiento, en particular, el deber de demostrar que han adoptado medidas efectivas para cumplir las normas sobre la materia - Responsabilidad Demostrada, artículo 26 del decreto 1377 de 2013-. Dentro de las obligaciones legales de los Responsables está la de contestar de manera oportuna, respetuosa y de fondo las consultas o reclamos de los Titulares. Las personas no tienen por qué rogar o insistir ante las empresas para que les respeten sus derechos humanos. No respetar los derechos de los Titulares de los datos es censurable e inadmisible. De ninguna manera se debe tolerar como un comportamiento “normal”, porque sería tanto como “normalizar” la ilegalidad y la violación de los derechos humanos. En este caso, Casa Editorial El Tiempo S.A. no respondió oportunamente un reclamo formulado por el Titular del dato, vulnerando así su derecho a la protección de datos personales.

RESOLUCIÓN 81372 de 2020

REPOSICIÓN 17141 DE 2021

APELACIÓN 82428 de 2021

EN FIRME
CÁMARA DE COMERCIO DE BOGOTÁ 21/12/2020 Sin seguridad no hay debido Tratamiento de la información. La seguridad de los datos personales no se logra con la mera expedición de manuales y políticas de seguridad. Es necesario pasar de la seguridad en el papel (documentos, políticas, etc) a la seguridad en la práctica. En el presente caso, la falla de seguridad no solo se originó por error o negligencia humana sino porque el archivo que contenía la información de 413 personas no tenía ningún tipo de seguridad técnica (Ej. documento cifrado con clave de acceso -cifrado de archivos-) para que, en caso de que el mismo llegará a destinatarios no deseados, ellos no pudiesen ver el contenido.

RESOLUCIÓN de 81697 de 2020

REPOSICIÓN 28378 de 2021

APELACIÓN 76851 DE 2021

EN FIRME
FARROW MÉXICO S.A.P.I. de C.V 30/12/2020 Existe un principio general de interpretación jurídica según el cual en donde la ley no distingue, no le es dado al intérprete hacerlo, entonces, si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad hacerlo. Farrow Ventures y Farrow México S.A.P.I. de C.V mediante mecanismos electrónicos -aplicativo móvil PIG.GI- recolectan Datos personales en el territorio de la República de Colombia. Así, ese Tratamiento de Datos personales está sujeto a la legislación colombiana. Por su parte, la regulación sobre de datos personales impone cargas probatorias a los Responsables del Tratamiento, esto es, el deber demostrar que ha adoptado medidas efectivas para cumplir la ley (Deber de Responsabilidad demostrada) -artículo 26 del decreto 1377 de 2013-. En este caso, las recurrentes utilizaron la versión 3.2.1 de la aplicación pig.gi para recolectar y tratar datos personales sin solicitar autorización previa, expresa e informada a las personas Titulares de esa información. Por ende, fue ilícita la recolección de datos realizada mediante dicha herramienta. 

RESOLUCIÓN 82702 de 2020

REPOSICIÓN 57230 de 2021

APELACIÓN 83340 DE 2021

MODIFICADA
FARROW VENTURES INC 30/12/2020 Existe un principio general de interpretación jurídica según el cual en donde la ley no distingue, no le es dado al intérprete hacerlo, entonces, si la ley colombiana no distingue la forma ni los mecanismos como se realiza el Tratamiento en el territorio colombiano, no le corresponde a esta autoridad hacerlo. Farrow Ventures y Farrow México S.A.P.I. de C.V mediante mecanismos electrónicos -aplicativo móvil PIG.GI- recolectan Datos personales en el territorio de la República de Colombia. Así, ese Tratamiento de Datos personales está sujeto a la legislación colombiana. Por su parte, la regulación sobre de datos personales impone cargas probatorias a los Responsables del Tratamiento, esto es, el deber demostrar que ha adoptado medidas efectivas para cumplir la ley (Deber de Responsabilidad demostrada) -artículo 26 del decreto 1377 de 2013-. En este caso, las recurrentes utilizaron la versión 3.2.1 de la aplicación pig.gi para recolectar y tratar datos personales sin solicitar autorización previa, expresa e informada a las personas Titulares de esa información. Por ende, fue ilícita la recolección de datos realizada mediante dicha herramienta. 

RESOLUCIÓN 82702 de 2020

REPOSICIÓN 57230 de 2021

APELACIÓN 83340 DE 2021

MODIFICADA
A2P COLOMBIA S.A.S. 31/12/2020 Frente al tratamiento de números telefónicos de los usuarios que han solicitado la portabilidad de su número de un operador de telefonía a otro, al ser éste un dato semiprivado que no es público se debe solicitar y conservar la autorización previa, expresa e informada de los Titulares antes de realizar labores de marketing mediante el acceso a bases de datos con información personal. 
El Responsable del tratamiento de datos personales viola el Régimen General de Datos Personales cuando no ha adoptado una Política de Tratamiento de Datos, no ha documentado e implementado un Manual de Seguridad de la información y cuando incumple las instrucciones impartidas por la Autoridad de Protección de Datos Personales 
 
RESOLUCIÓN 82795 de 2020 EN FIRME