Futurlex

Sancionan a Falabella por enviar correos electronicos sin autorizaciĆ³n.

Por reiteraciĆ³n de correos electrĆ³nicos no solicitados, Falabella recibe sanciĆ³n por $137 Millones de pesos en Colombia.[i]

Por medio de la ResoluciĆ³n 85652[1] del pasado 13 de Diciembre de 2016, la Direccion de investigaciones de la Delegatura de Proteccion de datos personales de la Superintendencia de Industria y Comercio sanciono a la Sociedad Falabella de Colombia S.A., por violaciĆ³n al rĆ©gimen de protecciĆ³n de datos en Colombia a raĆ­z de una investigaciĆ³n por denuncia de un ciudadano que no habĆ­a autorizado el envĆ­o de correos electrĆ³nicos.

Los Hechos

A partir de una compra realizada en el portal www.falabella.com.co el denunciante narro que al momento del diligenciamiento de sus datos, expresamente desmarco las casillas para envĆ­o de contenidos publicitarios tanto al correo electrĆ³nico como por medio de mensajes de texto. Mediante varios correos el quejoso elevo peticiones a la empresa con el fin de ser excluido del envĆ­o de mensajes no autorizados, los cuales fueron desatendidos, como se desprende de la investigaciĆ³n, por Falabella de Colombia S.A. El material probatorio recaudado en el curso de la investigaciĆ³n permite concluir, prima facie, que la sociedad sancionada siguiĆ³ remitiendo comunicaciones de tipo publicitarios hasta dos meses despuĆ©s de haber recibido la oposiciĆ³n inicial por parte del titular de los datos.

El fondo del asunto

La AutorizaciĆ³n: Como hemos reiterado en distintas ocasiones, la autorizaciĆ³n en Colombia es pieza fundamental para el tratamiento de los datos. Siguiendo el derrotero filosĆ³fico de la anterior directiva de protecciĆ³n de datos europea, el consentimiento materializa la expresiĆ³n de los principios de libertad, legalidad y finalidad contenidos en la Ley 1581 de 2012. Es por ello que reviste de capital importancia atender procedimientos adecuados frente a este punto; lejos de ser una cuestiĆ³n menor, este elemento es el que ha puesto en aprietos a las empresas Colombianas en el cumplimiento de la Ley de protecciĆ³n de datos. En efecto, la correcta administracion de las autorizaciones supone una actividad permanente y dedicada, que en ocasiones comporta problemas logĆ­sticos ā€“ cuando se trata de millones de titulares ā€“ y que impone un deber de cuidado mayĆŗsculo para las empresas. Guardar prueba de la autorizaciĆ³n en ocasiones no es sencillo y los requerimiento de titulares frente a este punto puede generar dolores de cabeza, si la empresa no ha dispuesto (o es dĆ©bil en), los procedimientos para atenderlos.

Al parecer y esta sanciĆ³n puede ser un ejemplo de ello, las empresas continĆŗan restĆ”ndole importancia al tema de las autorizaciones y con el Registro de las Bases de datos, esta situaciĆ³n se estĆ” haciendo palmaria.

Deber de conservaciĆ³n de informaciĆ³n: Uno de los argumentos esbozado por la sociedad investigada fue el deber que tenia de conservar informaciĆ³n aun posterior al proceso de eliminado de informaciĆ³n. RecuĆ©rdese que el rĆ©gimen de protecciĆ³n de datos no deroga otras normas sustantivas sobre administracion y gestion documental. Es claro que por simples hechos como la generaciĆ³n de copias de seguridad y el almacenamiento y conservaciĆ³n con fines histĆ³ricos, hace necesario que las empresas guarden informaciĆ³n personal aun cuando esta es objeto de debate por el titular de los datos. La eliminaciĆ³n total de los datos personales es un supuesto que rara vez ocurre y en ocasiones esta pretensiĆ³n se ve satisfecha con la inactivaciĆ³n de ciertos elementos del registro en la base de datos o el marcado con ciertas condiciones del mismo en la tabla a la que pertenece. Estas cuestiones tĆ©cnicas tienen una mayor preponderancia cuando se trata de reclamaciones en el uso de informaciĆ³n y requieren de una labor coordinada entre las Ć”reas de privacidad y el Ć”rea de soporte tecnolĆ³gico o infraestructura en las organizaciones.

Procesos de AtenciĆ³n de Derechos de los titulares: Nuevamente una falla en la correcta atenciĆ³n al titular de los datos, genera una sanciĆ³n por el rĆ©gimen de protecciĆ³n de datos. El literal j de la Ley 1581 de 2012 seƱala expresamente que el Responsable del tratamiento tiene el deber de Tramitar las consultas y reclamos formulados en los tĆ©rminos seƱalados en la Ley. Este deber se ve reflejado en la construcciĆ³n y mantenimiento de un Sistema de AtenciĆ³n al Titular de los datos frente al ejercicio de los derechos derivados del Art. 8 de la Ley. Existe un manejo descuidado, con cierta generalizaciĆ³n en las empresas, afincado en el entendido que este asunto es algo sin importancia. Grave error cometen las empresas ā€“ sobre todo aquellas que administran muchos datos de usuarios, clientes o asociados- cuando no tienen procesos robustos para la atenciĆ³n de las consultas y reclamaciones y peor aun cuando los procesos de PQRS no estĆ”n alineados con los de protecciĆ³n de datos. Estas inconsistencias pueden derivar en que no se atiendan en tiempo (RecuĆ©rdese que los tĆ©rminos de la Ley y su reglamento son perentorios y en ocasiones difieren de otros sistemas como los de servicio al cliente) o que no se resuelva el fondo de la peticiĆ³n, lo que activa el derecho de presentar una queja a la Superintendencia de Industria y Comercio. Por otra parte, el caso especĆ­fico tambiĆ©n nos muestra algo que ocurre en muchas organizaciones: El corto circuito que existen entre distintas Ć”reas cuando de administracion de datos personales se trata. Alguien en Falabella falto al deber de cuidado en desmarcar una opciĆ³n para envĆ­o de correos electrĆ³nicos a ese titular de datos; tal como ocurriĆ³ en un caso anterior con otra empresa de comunicaciones en Colombia, el envĆ­o de mensajes representa imposiciones de sanciones pecuniarias con ciertos montos que impactan no solo el tema financiero, sino la reputaciĆ³n de las empresas.

La sanciĆ³n

Considero la SIC a travĆ©s de la Delegatura de protecciĆ³n de datos, que la sociedad sancionada no podĆ­a alegar imposibilidad en la supresiĆ³n de los datos del titular. Si bien con seguridad la relaciĆ³n entre ambos se suponĆ­a en un entorno contractual (Compraventa de un bien), tambiĆ©n es importante seƱalar que el titular simplemente se oponĆ­a al envĆ­o de informaciĆ³n publicitaria a su correo electrĆ³nico. Esto es algo que las empresas deben prestarle la debida atenciĆ³n; en ocasiones estas actividades se realizan con terceros que estĆ”n en la obligaciĆ³n de garantizar el cumplimiento de los mecanismos dispuestos por la Ley y que el Responsable del tratamiento debe velar porque se cumplan.

En el caso en comento, la Sociedad Falabella de Colombia S.A., no atendiĆ³ en tiempo la solicitud de supresiĆ³n de los datos del titular a pesar que desde Julio de 2014 el titular comunico su primera objeciĆ³n al envĆ­o de los emails comerciales, solo hasta Octubre Ā de ese mismo aƱo expreso la ausencia de autorizaciĆ³n y procediĆ³ con la eliminaciĆ³n de los datos en Noviembre de 2014.

Por lo anterior considerĆ³ la entidad la investigada debĆ­a ser sancionada con el equivalente a DOSCIENTOS (200) salarios mĆ­nimos legales mensuales, esto es la suma de $137.891.000 de pesos.

[1] https://www.dropbox.com/s/fxghfpzulw39fff/RE85652-2016.pdf?dl=0

[i] Ivan Dario Marrugo Jimenez: Abogado. Especialista en Derecho de las Telecomunicaciones. Experto en Derecho de TecnologĆ­as, ProtecciĆ³n de datos y Seguridad de la informaciĆ³n. Socio y Director General de Marrugo Rivera & Asociados-FuturLex ā€“ www.marrugorivera.com

SuscrĆ­bete a nuestro blog:

Mantente al tanto de todos nuestros artĆ­culos

[email-subscribers-form id="1"]

Al suscribirte aceptas nuestra PolĆ­tica de tratamiento de datos

Otros temas:

Acceso Panel

Accede al administrador de la web