Las multas a las empresas ascienden a 864 millones de pesos por incumplir las Leyes de protección de datos anunció la Superintendencia de Industria y Comercio.
La SIC exigió a las empresas fortalecer la seguridad de los datos que manejan, medida que beneficiará a más de 36 millones de personas.
La Superintendencia impuso multas a las empresas Comcel y Avantel, por consultar, sin autorización previa, las historias crediticias de sus clientes, violando así lo establecido por la Ley de Habeas Data Financiero (Ley 1266 de 2008) y a DIRECTV por enviar información de un cliente a un tercero, infringiendo así la Ley 1581 de 2012.
Las cuatro multas impuestas por la Superindustria alcanzan los 864 millones de pesos y tienen, además, un componente preventivo importante ya que se les exigió a las empresas que fortalezcan las medidas de seguridad necesarias para evitar filtraciones de datos personales o que se realicen consultas ante las centrales de riesgo sin autorización expresa de los clientes.
Caso Avantel
Mediante Resolución 24801 de 2019, la Superintendencia de Industria y Comercio impuso una multa de $176.388.708 a AVANTEL S.A. La anterior decisión se tomó tras la queja presentada por un ciudadano mediante la cual manifestó que su historia de crédito registraba una “huella de consulta” realizada por AVANTEL.
La SIC concluyó que Avantel consultó la historia de crédito del titular sin tener autorización para ello. Falló en establecer los controles internos de seguridad necesarios para monitorear las consultas que se realizan desde sus cuentas a las historias de crédito de los titulares.
Casos COMCEL
La Superindustria impuso dos multas a Comcel. La primera de $248.434.800 y la segunda $ 215.310.160 por suministrar información desproporcional sobre un cliente y efectuar consultas no autorizadas ante las centrales de riesgo.
Las anteriores decisiones, se adoptaron con ocasión de quejas presentadas por dos ciudadanos que informaron a la SIC que Comcel, había fallado en establecer las medidas de seguridad necesarias para evitar una consulta no autorizada y una divulgación excesiva (o desproporcional) para responder un requerimiento de una autoridad administrativa en una controversia contractual.
La SIC concluyó que un funcionario de Comcel, sin autorización, consultó la historia de crédito de un titular y dicha empresa falló en establecer los controles de seguridad necesarios para evitar consultas no autorizadas a centrales de riesgo por parte de sus funcionarios.
Comcel, suministró información excesiva para responder un requerimiento sobre las cuentas de un cliente con esa empresa, porque entregó a una entidad administrativa todo el historial crediticio respecto de COMCEL y otras organizaciones, dando a conocer información personal no solicitada por la autoridad ni pertinente para lo que se requería.
Caso DIRECTV
Mediante Resolución 20205 del 10 de junio de 2019, la Superintendencia de Industria y Comercio impuso una multa de $223.913.320 a DIRECTV Colombia LTDA por vulnerar el principio seguridad de la información. La anterior decisión se profirió con ocasión de la queja de un ciudadano mediante la cual puso de presente que DIRECTV le envió información sobre él a una dirección de correo electrónico de otra persona.
La SIC concluyó que un funcionario de DIRECTV envió información de uno de sus clientes a un tercero, vulnerando el principio de seguridad porque suministró información privada de una persona a otra persona.
Falló en establecer los controles de seguridad necesarios para evitar el envío de información personal a terceros no autorizados.
En las 4 decisiones la Superindustria le ordenó a las empresas sancionadas adoptar las medidas de seguridad necesarias para evitar que se realicen consultas no autorizadas a las historias crediticias de los titulares para fines o propósitos diferentes al cálculo del riesgo crediticio de que trata la Ley 1266 de 2008.
Adicionalmente y en aras de garantizar la seguridad jurídica de los más de 36 millones de usuarios que tienen las tres compañías, la SIC les pidió que desarrollen, implementen y mantengan un programa de seguridad interno para evitar que sus funcionarios efectúen consultas no autorizadas a las historias de crédito de los titulares; que garanticen que los datos recolectados y procesados sean correctos, y que cuenten con los mecanismos necesarios para reducir al máximo los riesgos de entrega de información privada a terceros no autorizados.
Las cuatro decisiones son susceptibles de presentación de recursos de reposición y apelación.