Por reiteraciĆ³n de correos electrĆ³nicos no solicitados, Falabella recibe sanciĆ³n por $137 Millones de pesos en Colombia.[i]
Por medio de la ResoluciĆ³n 85652[1] del pasado 13 de Diciembre de 2016, la Direccion de investigaciones de la Delegatura de Proteccion de datos personales de la Superintendencia de Industria y Comercio sanciono a la Sociedad Falabella de Colombia S.A., por violaciĆ³n al rĆ©gimen de protecciĆ³n de datos en Colombia a raĆz de una investigaciĆ³n por denuncia de un ciudadano que no habĆa autorizado el envĆo de correos electrĆ³nicos.
Los Hechos
A partir de una compra realizada en el portal www.falabella.com.co el denunciante narro que al momento del diligenciamiento de sus datos, expresamente desmarco las casillas para envĆo de contenidos publicitarios tanto al correo electrĆ³nico como por medio de mensajes de texto. Mediante varios correos el quejoso elevo peticiones a la empresa con el fin de ser excluido del envĆo de mensajes no autorizados, los cuales fueron desatendidos, como se desprende de la investigaciĆ³n, por Falabella de Colombia S.A. El material probatorio recaudado en el curso de la investigaciĆ³n permite concluir, prima facie, que la sociedad sancionada siguiĆ³ remitiendo comunicaciones de tipo publicitarios hasta dos meses despuĆ©s de haber recibido la oposiciĆ³n inicial por parte del titular de los datos.
El fondo del asunto
La AutorizaciĆ³n: Como hemos reiterado en distintas ocasiones, la autorizaciĆ³n en Colombia es pieza fundamental para el tratamiento de los datos. Siguiendo el derrotero filosĆ³fico de la anterior directiva de protecciĆ³n de datos europea, el consentimiento materializa la expresiĆ³n de los principios de libertad, legalidad y finalidad contenidos en la Ley 1581 de 2012. Es por ello que reviste de capital importancia atender procedimientos adecuados frente a este punto; lejos de ser una cuestiĆ³n menor, este elemento es el que ha puesto en aprietos a las empresas Colombianas en el cumplimiento de la Ley de protecciĆ³n de datos. En efecto, la correcta administracion de las autorizaciones supone una actividad permanente y dedicada, que en ocasiones comporta problemas logĆsticos ā cuando se trata de millones de titulares ā y que impone un deber de cuidado mayĆŗsculo para las empresas. Guardar prueba de la autorizaciĆ³n en ocasiones no es sencillo y los requerimiento de titulares frente a este punto puede generar dolores de cabeza, si la empresa no ha dispuesto (o es dĆ©bil en), los procedimientos para atenderlos.
Al parecer y esta sanciĆ³n puede ser un ejemplo de ello, las empresas continĆŗan restĆ”ndole importancia al tema de las autorizaciones y con el Registro de las Bases de datos, esta situaciĆ³n se estĆ” haciendo palmaria.
Deber de conservaciĆ³n de informaciĆ³n: Uno de los argumentos esbozado por la sociedad investigada fue el deber que tenia de conservar informaciĆ³n aun posterior al proceso de eliminado de informaciĆ³n. RecuĆ©rdese que el rĆ©gimen de protecciĆ³n de datos no deroga otras normas sustantivas sobre administracion y gestion documental. Es claro que por simples hechos como la generaciĆ³n de copias de seguridad y el almacenamiento y conservaciĆ³n con fines histĆ³ricos, hace necesario que las empresas guarden informaciĆ³n personal aun cuando esta es objeto de debate por el titular de los datos. La eliminaciĆ³n total de los datos personales es un supuesto que rara vez ocurre y en ocasiones esta pretensiĆ³n se ve satisfecha con la inactivaciĆ³n de ciertos elementos del registro en la base de datos o el marcado con ciertas condiciones del mismo en la tabla a la que pertenece. Estas cuestiones tĆ©cnicas tienen una mayor preponderancia cuando se trata de reclamaciones en el uso de informaciĆ³n y requieren de una labor coordinada entre las Ć”reas de privacidad y el Ć”rea de soporte tecnolĆ³gico o infraestructura en las organizaciones.
Procesos de AtenciĆ³n de Derechos de los titulares: Nuevamente una falla en la correcta atenciĆ³n al titular de los datos, genera una sanciĆ³n por el rĆ©gimen de protecciĆ³n de datos. El literal j de la Ley 1581 de 2012 seƱala expresamente que el Responsable del tratamiento tiene el deber de Tramitar las consultas y reclamos formulados en los tĆ©rminos seƱalados en la Ley. Este deber se ve reflejado en la construcciĆ³n y mantenimiento de un Sistema de AtenciĆ³n al Titular de los datos frente al ejercicio de los derechos derivados del Art. 8 de la Ley. Existe un manejo descuidado, con cierta generalizaciĆ³n en las empresas, afincado en el entendido que este asunto es algo sin importancia. Grave error cometen las empresas ā sobre todo aquellas que administran muchos datos de usuarios, clientes o asociados- cuando no tienen procesos robustos para la atenciĆ³n de las consultas y reclamaciones y peor aun cuando los procesos de PQRS no estĆ”n alineados con los de protecciĆ³n de datos. Estas inconsistencias pueden derivar en que no se atiendan en tiempo (RecuĆ©rdese que los tĆ©rminos de la Ley y su reglamento son perentorios y en ocasiones difieren de otros sistemas como los de servicio al cliente) o que no se resuelva el fondo de la peticiĆ³n, lo que activa el derecho de presentar una queja a la Superintendencia de Industria y Comercio. Por otra parte, el caso especĆfico tambiĆ©n nos muestra algo que ocurre en muchas organizaciones: El corto circuito que existen entre distintas Ć”reas cuando de administracion de datos personales se trata. Alguien en Falabella falto al deber de cuidado en desmarcar una opciĆ³n para envĆo de correos electrĆ³nicos a ese titular de datos; tal como ocurriĆ³ en un caso anterior con otra empresa de comunicaciones en Colombia, el envĆo de mensajes representa imposiciones de sanciones pecuniarias con ciertos montos que impactan no solo el tema financiero, sino la reputaciĆ³n de las empresas.
La sanciĆ³n
Considero la SIC a travĆ©s de la Delegatura de protecciĆ³n de datos, que la sociedad sancionada no podĆa alegar imposibilidad en la supresiĆ³n de los datos del titular. Si bien con seguridad la relaciĆ³n entre ambos se suponĆa en un entorno contractual (Compraventa de un bien), tambiĆ©n es importante seƱalar que el titular simplemente se oponĆa al envĆo de informaciĆ³n publicitaria a su correo electrĆ³nico. Esto es algo que las empresas deben prestarle la debida atenciĆ³n; en ocasiones estas actividades se realizan con terceros que estĆ”n en la obligaciĆ³n de garantizar el cumplimiento de los mecanismos dispuestos por la Ley y que el Responsable del tratamiento debe velar porque se cumplan.
En el caso en comento, la Sociedad Falabella de Colombia S.A., no atendiĆ³ en tiempo la solicitud de supresiĆ³n de los datos del titular a pesar que desde Julio de 2014 el titular comunico su primera objeciĆ³n al envĆo de los emails comerciales, solo hasta Octubre Ā de ese mismo aƱo expreso la ausencia de autorizaciĆ³n y procediĆ³ con la eliminaciĆ³n de los datos en Noviembre de 2014.
Por lo anterior considerĆ³ la entidad la investigada debĆa ser sancionada con el equivalente a DOSCIENTOS (200) salarios mĆnimos legales mensuales, esto es la suma de $137.891.000 de pesos.
[1] https://www.dropbox.com/s/fxghfpzulw39fff/RE85652-2016.pdf?dl=0
[i] Ivan Dario Marrugo Jimenez: Abogado. Especialista en Derecho de las Telecomunicaciones. Experto en Derecho de TecnologĆas, ProtecciĆ³n de datos y Seguridad de la informaciĆ³n. Socio y Director General de Marrugo Rivera & Asociados-FuturLex ā www.marrugorivera.com