La Superintendencia de Industria y Comercio, ordenó a Uber fortalecer sus medidas técnicas, humanas y administrativas para garantizar la seguridad de los datos personales de colombianos usuarios y conductores de dicha aplicación móvil. La decisión se tomó mediante la resolución 21478 de 2019.
La orden de carácter preventivo emitida por la SIC tuvo en cuenta las investigaciones y actuaciones de las autoridades de consumidor y de protección de datos de 4 países del mundo (Estados Unidos de América, el Reino Unido de Gran Bretaña e Irlanda del Norte, Francia y el Reino de los Países Bajos) y el acuerdo suscrito con el Fiscal General del Estado de California y del distrito de San Francisco (Estados Unidos de América).
Según las estadísticas de Uber, la aplicación tiene más de 91 millones de usuarios activos en la plataforma y tiene presencia en 63 países y más de 700 ciudades del mundo.
En cuanto a Colombia, Uber cuenta con unos 83.000 conductores y es usado mensualmente por alrededor de 2,1 millones de pasajeros. Por eso tiene la enorme responsabilidad de garantizar la seguridad de la información de todos sus usuarios y conductores, lo cual lo obliga a ser extremadamente diligente en esta labor y a no ahorrar esfuerzos para responder por la seguridad de los datos de las personas.
La SIC precisó que las fallas que presentó Uber en sus protocolos de seguridad durante el año 2016 afectaron las cuentas de 57 millones de usuarios en el mundo, de los cuales 267.000 eran residentes colombianos. Por lo anterior la Entidad ordenó implementar medidas para evitar que sucedan otros incidentes de seguridad como el ocurrido y que afecten la seguridad de los datos de los colombianos.
En la orden se precisó que las medidas deben ser apropiadas, útiles, eficaces y demostrables para evidenciar el cumplimiento de lo que exige el principio y el deber de seguridad en la regulación colombiana, según la cual, Uber debe garantizar la seguridad de los datos personales, evitando lo siguiente respecto de los mismos:
- Acceso no autorizado o fraudulento
- Uso no autorizado o fraudulento
- Consulta no autorizada o fraudulenta
- Adulteración
- Pérdida
Uber debe cumplir lo ordenado dentro de un plazo de cuatro (4) meses. Para demostrar o evidenciar que mejoró sus medidas de seguridad tendrá que presentar una certificación emitida por una entidad, nacional o extranjera, independiente, imparcial, profesional y especializada en temas de seguridad de la información. Quien emita el certificado será seleccionado por Uber, pero debe ser un tercero cuya gestión esté libre de todo conflicto de interés que le reste independencia y ajeno a cualquier tipo de subordinación respecto de Uber.
En adición a la orden de robustecer las medidas de seguridad, la SIC también le solicita a Uber:
- Desarrollar, implementar y mantener un programa integral de seguridad de la información.
- Desarrollar, implementar y mantener un programa de gestión y manejo de incidentes de seguridad en datos personales.
- Desarrollar, implementar y mantener un programa de capacitación y entrenamiento rutinario para su equipo humano.
- Poner en marcha un sistema de monitoreo permanente para verificar si, en la práctica, sus medidas de seguridad son útiles, suficientes y funcionan correctamente. En caso que ello no sea así, adoptar las medidas necesarias para garantizar la seguridad de la información.
- Efectuar una auditoría independiente, dentro de los cuatro (4) meses siguientes a la ejecutoria de la resolución 21478 de 2019, y cada año después de dicha fecha durante los próximos cinco (5) años.