¿Está Su Empresa Preparada para Evitar Multas por la Mala Gestión de Datos Personales?

Un tiempo atrás la Superintendencia de Industria y Comercio emitió resolución 10998 contra una organización comercial cuya actuación, según el concepto del órgano de control, no estaba ajustada a las normas establecidas en la  ley 1581 de protección de datos personales.  

¿Pero qué fue lo que sucedió? Todo se resume en un caso de suplantación de identidad, en donde un supuesto comprador se presenta ante la organización y adquiere una serie de productos a crédito, pero dado que dicho comprador no es la persona real que corresponde a la identificación relacionada con la compra, entonces no solo se genera una deuda que nunca se paga, sino que se ocasiona un perjuicio al titular de la información, quien queda registrado en las centrales de riesgo como deudor moroso.

Si bien es cierto que este  caso tiene innumerables  matices y complicaciones, también lo es el hecho de que una suplantación requiere de la participación de diferentes actores para su materialización, entre ellos el vendedor. En los casos de compra a crédito se deben surtir una serie de rigurosidades entre las que se encuentran la verificación de datos, de referencias, la validación de documentos de identificación, claves, etc., de esta manera no solo se es proactivo sino que se protegen los intereses del titular de la información involucrado en la compra.

Y es que producto del análisis de la SIC se concluye que el vendedor no tomó las medidas necesarias para validar la compra, dejó vacíos en los procedimientos documentales, y siguió un protocolo rutinario cuyas actividades comprenden el  notificar a las centrales de riesgo sobre la ocurrencia de un no pago por parte del titular de los datos personales sin verificar que esto se pueda realizar, y a pesar que la ley es muy clara al advertir que se debe garantizar que los datos capturados que generan la transacción sean veraces, completos, exactos, actualizados, comprobables además de comprensibles.

En adición a lo anterior, la SIC encontró que la administración de documentos de las transacciones no es la más adecuada, pues si bien existió una autorización de tratamiento de datos personales por parte del cliente, esta no contaba con consecutivo ni fecha, por lo cual la compra no podía ser adecuadamente atada a tal autorización, impidiendo así que se corroborara la existencia de una relación temporal entre los eventos.

Al sintetizar todos los hechos presentados, se puedo concluir que no solo se cometieron errores administrativos sino que graves infracciones tales como:

• No se contestar de manera oportuna la petición de la persona afectada, recordando con ello que son tan solo 15 días hábiles el tiempo máximo para resolverla y no los 30 días que transcurrieron para que la organización sancionada respondiera.

• No realizar una comunicación previa con el titular, la cual es requisito para que se solicite a las centrales de riesgo la creación de reportes negativos por no pago, ello producto de una información de contacto desactualizada que impide que se localice a dicho titular.

• No disponer de documentos apropiados que demuestren la existencia de la obligación al momento del reporte negativo, lo cual fue justificado porque ya habían pasado 10 años desde la fecha de la compra, y la ley 962 establece que no es necesario guardar los soportes después de ese periodo; sin embargo, no se exime de guardarlos si aún existen elementos que obligan tanto a mantener la relación de las partes, como a realizar el tratamiento de los datos personales.

• No garantizar que la información suministrada a las centrales de riesgo fuera veraz, completa, exacta, actualizada y comprobable, ello dado que los datos entregados correspondían a diferente época y a otras circunstancias.

• No aportar un documento idóneo que demostrara que se contaba con la autorización de la titular para el tratamiento de datos personales, y ello ocurrió a pesar de presentar uno; ello porque un contrato no tiene validez si no cuenta con fecha o un consecutivo, dado que no permitirá que se ligue adecuadamente la compra con la intención del titular.

Así las cosas, la organización investigada recibió una multa que redondea los $150.000.000 (ciento cincuenta millones de pesos), multa que contrasta con los $29.904 que la compañía indica como deuda del titular de la información; lo anterior sin perjuicio del llamado de atención y la exhortación a la empresa comercial para que adopte medidas pertinentes, efectivas y verificables que contribuyan a evitar que se repitan hechos similares en el futuro, a respetar y garantizar los derechos de los titulares de los datos, y a dar estricto cumplimiento a las disposiciones legales establecidas.