ministerio de comercio, industria y turismo ......artículo 17 de la ley 1581 de 2012, en...

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

RESOLUCIÓN NÚMERO 38512 DE 2021

(23 JUNIO DE 2021)

“Por la cual se impone una sanción y se imparten órdenes”

VERSIÓN PÚBLICA

REPUBLICA DE COLOMBIA

I

Radicación 20-103460

EL DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DE DATOS PERSONALES

En ejercicio de sus facultades legales, en especial las conferidas por los artículos 19 y 21 de la Ley 1581 de 2012, y los numerales 5 y 9 del artículo 17 del Decreto 4886 de 2011 y

CONSIDERANDO

PRIMERO: Que mediante Resolución No. 40759 del 23 de julio de 20201 la Dirección de Investigación de Protección de Datos Personales resolvió iniciar investigación administrativa, y en consecuencia, formular pliego de cargos contra la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., en adelante, “la investigada”, identificada con Nit. 800.153.993-7, por la presunta violación de las normas de protección de datos personales, en particular las contenidas en las siguientes disposiciones:

i) El literal d) del artículo 17, en concordancia con el literal g) del artículo 4 de la Ley 1581 de 2012;

ii) El literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4de la Ley en mención.

En virtud de lo anterior, esta entidad le concedió un término de quince (15) días hábiles a la investigada para que rindiera los respectivos descargos y aportara o solicitara las pruebas que pretendía hacer valer dentro de la presente actuación administrativa.

SEGUNDO: Que la Resolución No. 40759 del 23 de julio de 2020 fue notificada mediante Aviso No. 17431 al señor XXXXXXXXXXXXXXXXXXXXX, en representación de la sociedad COMUNICACIÓN CELULAR S.A – COMCEL S.A., el día 05 de agosto de 2020, según consta en la certificación expedida por la Secretaría General Ad-Hoc de esta Superintendencia, expediente digital radicado 20-103460-9 de 25 de agosto de 2020.

TERCERO: Que, por conducto de su apoderado especial la investigada, encontrándose dentro del término establecido para el efecto, mediante escrito radicado bajo el número 20-103460-10 y 20-103460-11 del 27 de agosto de 2020, presentó escrito de descargos, aduciendo lo siguiente:

“En la Resolución 40759 de 2020, la SIC inició la investigación administrativa dentro del caso que nos ocupa, por la presunta infracción a lo dispuesto en (i) el literal d) del artículo 17 en concordancia con el literal g) del artículo 4; (ii) El literal g) del artículo 17 de la Ley 1581 de 2012 en concordancia con el literal d) del artículo 4 el literal o) del artículo 17 de la Ley 1581 de 2012, de conformidad con lo establecido en la parte motiva de dicha resolución. (…)

Al respecto, mediante comunicación 16-238923-03 del 19 de octubre de 2016 el Titular informó lo siguiente:

“Por medio de la presente les anexo material probatorio sobre la reincidencia del compartimiento (sic) de mis datos personales y confidencial por parte de Comcel con terceros; esta prueba la obtuve de un complemento de información del 14 de octubre de 2016 que Comcel anexo a la SIC sobre un SAP (16-161831) que está en la investigación sobre un caso diferente, en este se ve que están enviando nuevamente a terceros datos personales míos, siendo que en el Derecho de Petición del 31 de Agosto (sic) de 2016 con CUN 16-0001892698 se les indico que esa dirección jamás se autorizó ni me pertenece ni ha sido informada por mí.

2 HOJA N ,



En relación a lo anterior, mediante oficio 16-238923-11 del 17 de octubre de 2017 la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. aportó derecho de petición del 31 de agosto de 2016 con CUN 16-0001892968 en la que el Titular solicitó lo siguiente:

“(...) Comcel ha estado enviando información mía con mis datos personales a una dirección en Bogotá que JAMAS (sic) he registrado, ni brindado a Comcel, y la cual JAMAS (sic) he tenido vínculo alguno, por ende la desconozco” (…)

En virtud de lo anterior, se encuentra que, la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. preliminarmente estaría trasgrediendo lo establecido en el literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4.

Sobre lo antes expuesto y los cargos formulados, es importante efectuar las siguientes precisiones:

1. Tal y como se indicó en el escrito de explicaciones dentro de la actuación con radicado16-238923, a nombre del señor XXXXXXXXXXXXXXXXXXXXXXXXX se encuentra registrada la línea XXXXXX referenciada a la obligación XXXXXXXX, por la que se suscribió Contrato Único de Servicios Móviles Pospago No. XXXXX el día 30 de abril de 2016.

2. El día 05 de mayo de 2016 el usuario presentó derecho de petición mediante radicadoNo. 4488160000956764 por inconformidad con el proceso de portabilidad, ya que desde el día 30 de abril de 2016 solicitó portabilidad de su línea celular XXXXXXXX y a la fecha de la radicación no se había efectuado la misma. Frente a lo anterior, COMCEL mediante comunicado XXXXXXXXXXXX del 13 de mayo de 2016 informó al usuario lo siguiente:

“(…) (i) Nos permitimos informarle que no se ha efectuado vulneración alguna de su derecho a efectuar la portabilidad numérica dado que la línea XXXXXXXXXX se encuentraactiva en COMCEL S.A. desde el 11 de mayo de 2016 con el plan Sin Limite 1000 MB Mx SM 2016. (ii) Resaltamos que a partir del 29 de Julio de 2011, todos los usuarios de la telefonía móvil celular tienen el derecho a conservar su número al cambiar a otro operador, ya sean en modalidad prepago o pospago.(iii) El proceso de portabilidad de la línea XXXXXXXX a COMCEL S.A. fue efectivo desde el 11 de mayo de 2016(iv) El tiempo máximo de una portación es de 3 días hábiles de acuerdo con lo

estipulado en el reglamento definidos de lunes a viernes no festivos, entre las 8:00 AM y

las 4:00 PM, hay que tener en cuenta que estas serán procesadas solo hasta el día hábil siguiente y es a partir de ese día que se empiezan a contar los cinco días para el proceso de portabilidad (v) No es procedente acceder a su solicitud de compensación, dado que el trámite de portabilidad de la línea XXXXXXXX a COMCEL S.A. fue efectivo desde el 11 de mayo de 2016 y por lo tanto la línea se encuentra activa en nuestro sistema con el plan Sin Limite 1000 MB Mx SM 2016 (…)” 3. El comunicado XXXXXXXXXXXXX fue enviado a las siguientes direcciones:a.) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX b.) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX c.) correo electrónico: XXXXXXXXXXXXXXXXXXX 4. Al respecto, es importante manifestar que la línea celular XXXXXX fue activadainicialmente en COMCEL por parte del señor XXXXXXXXXXXXXXXXXXXXXX en modalidad pospago desde el día 16 de junio de 2007, y luego cambió a modalidad prepago el día 25 de septiembre del año 2010, por solicitud del titular; la línea celular XXXXXXXX referenciada a la obligación XXXXXXXXX en plan prepago registraba como dirección de

Sic

Highlight

3

HOJA N ,



correspondencia en el sistema de COMCEL: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXX Anexamos historial de la línea celular XXXXXX en COMCEL bajo la titularidad del señor XXXXXXXXXXXXXXXXXXXXXXXXX:

Por lo anterior, la compañía envió el comunicado XXXXXXXXXXXX a la dirección XX XX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX, en razón a que se encontraba como dirección de correspondencia del titular; no obstante lo anterior, indicamos que la compañía en cumplimiento de la Ley 1581 de 2012, efectuó las correcciones correspondientes de la dirección de correspondencia del titular, tal y como se evidencia en la impresión del sistema que se adjunta a estos descargos, en la cual consta que las obligaciones a nombre del señor XXXXXXXXXXXXXXXXXXXXXX tienen como dirección de correspondencia: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX

“En cuanto al segundo cargo: La presunta transgresión de la investigada en su calidad de Responsable del tratamiento, al deber contemplado en el literal g) del artículo 17 de la Ley 1581 de 2012 en concordancia con el literal d) del artículo 4, y de acuerdo a lo manifestado por la SIC: “ no obstante, con posterioridad la solicitud de supresión de dato correspondiente a la dirección XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXX la investigada presuntamente envío la comunicación XXXXXXXXXXXXXXX del 12 de octubre de 2016 a este domicilio”, debemos reiterar que la compañía en cumplimiento de la Ley 1581 de 2012, efectuó las correcciones correspondientes de la dirección de correspondencia del titular, tal y como se manifestó en el numeral anterior, hecho que se evidencia en la impresión del sistema que se adjunta a estos descargos; no obstante lo anterior, por un error humano el comunicado XXX XXXXXXXX del 12 de octubre de 2016 fue enviado a la dirección XXXXXXXXXXXXXXXX XXXX XXXXXXXXXXXXXXXXXXXXXXXXX, dirección que se encontraba registrada cuando el señor XXXXXXXXXXXXX solicitó modificación del servicio de pospago a prepago, según consta en el sistema de COMCEL. Por lo anteriormente expuesto, de manera atenta se solicita que el despacho al momento de evaluar el presente caso, de aplicación a lo dispuesto en el literal f) del artículo 24 de la Ley 1581 de 2012 e imponga como máximo la amonestación, ya que, tal y como se desprende de los hechos antes narrados, y de las pruebas aportadas, la compañía efectuó las correcciones pertinentes relacionadas con la modificación de la dirección de correspondencia del titular, pero por un error humano y que sería comprensible, dado que esa dirección SI registraba en el sistema de COMCEL. IV.- SOLICITUD Por lo anteriormente expuesto, se solicita respetuosamente a ese Despacho el cierre y archivo de la presente investigación, y que en caso de considerar que es procedente alguna sanción, imponga como máximo la amonestación.”

4

HOJA N ,



CUARTO: Que mediante Resolución No. 70719 de 6 de noviembre de 2020, esta Dirección corrigió un error de digitación, incorporó las pruebas obrantes en la totalidad del expediente radicado bajo el número 20-103460, con el valor legal que le corresponda, declarando agotada la etapa probatoria, corriendo traslado a la investigada para que rindiera los respectivos alegatos de conclusión. QUINTO: Que dentro del plazo otorgado, mediante la comunicación de fecha 23 de noviembre de 2020 expediente digital radicado 20-103460-15 páginas 1 a 8, 20-103460-16 páginas 1 a 6 y 20-103460-17 páginas 1 a 8 y 20-103460-18 páginas 1 a 6 la sociedad investigada presentó alegatos de conclusión argumentando lo siguiente:

“En relación con el pliego de cargos formulado así como frente a los hechos que sustentan esta investigación, es preciso reiterar lo manifestado en el escrito de descargos en razón a que la línea celular XXXXXXXX fue activada inicialmente en COMCEL por parte del señor XXXXXXXXXXXXXXXXXXXXXXXXXX en modalidad pospago el día 16 de junio de 2007, la cual por solicitud del titular de la línea celular fue cambiada a modalidad prepago el día 25 de septiembre del año 2010; la línea celular XXXXXX referenciada a la obligación XXXXXXXX en plan pos pago registraba como dirección de correspondencia en el sistema de COMCEL: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX XXXXXXX Anexamos historial de la línea celular XXXXXXXX en COMCEL bajo la titularidad del señor XXXXXXXXXXXXXXXXXXXXXXXXX:

Por lo anterior, la compañía envió el comunicado XXXXXXXXXXX a la dirección XXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX, la cual se encontraba como dirección de correspondencia del titular; no obstante lo anterior, de manera atenta nos permitimos manifestar que la compañía en cumplimiento a lo establecido en de la Ley 1581 de 2012, efectuó las correcciones correspondientes relacionadas con la dirección de correspondencia del titular, tal y como se evidencia en la impresión del sistema que se adjunta a éste escrito, en la cual consta que las obligaciones a nombre del señor XXXXXXXXXXXXXXXXXXXXXXXXX tienen como dirección de correspondencia: XXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX En cuanto al segundo cargo: La presunta transgresión de la investigada en su calidad de Responsable del tratamiento, al deber contemplado en el literal g) del artículo 17 de la Ley 1581 de 2012 en concordancia con el literal d) del artículo 4, y de acuerdo a lo manifestado por la SIC: “ no obstante, con posterioridad la solicitud de supresión de dato correspondiente a la dirección XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXX la investigada presuntamente envío la comunicación XXXXXXXXXXXXXXX del 12 de octubre de 2016 a este domicilio”, debemos reiterar que la compañía en cumplimiento de la Ley 1581 de 2012, efectuó las correcciones correspondientes relacionadas con la dirección de correspondencia del titular, tal y como se manifestó en el numeral anterior, hecho que se evidencia en la impresión del sistema que se adjuntó en los descargos; no obstante lo anterior, por un error humano el comunicado XXXXXXXXXXXX del 12 de octubre de 2016 fue enviado a la dirección XXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX, dirección que se encontraba registrada cuando se solicitó la modificación del servicio de pospago a prepago, según consta en el sistema de COMCEL.

De acuerdo con lo anterior es importante reiterar que tal y como se desprende de los hechos antes narrados, la compañía efectuó las correcciones pertinentes relacionadas con la modificación de la dirección de correspondencia del titular. En este punto es importante establecer que de conformidad a lo estableció en el principio de seguridad de la información contenido en el literal g) del artículo 4 de la Ley 1581 de 2012, la compañía como Responsable del Tratamiento de los datos personales tiene establecidos controles e

5

HOJA N ,



implementadas políticas de seguridad de la información que incluyen lineamientos y controles de seguridad encaminados a proteger la confidencialidad, integridad y disponibilidad de la información, construidos bajo los mejores estándares y prácticas de seguridad existentes en la materia. Dichas políticas son regularmente revisadas y actualizadas y son de estricto cumplimiento por los funcionarios directos e indirectos que desempeñan alguna labor o actividad al interior de la compañía. Puntualmente, con ocasión de la expedición de la Ley 1581 de 2012 y el Decreto reglamentario 1377 de 2013 se revisaron y actualizaron las políticas internas de seguridad de la información y se publicó en la página web de la compañía, el documento de Políticas de Tratamiento de la información, que puede ser consultado en www.claro.com.co. Anexamos documento publicado de las Políticas de Tratamiento de la Información. Adicionalmente, en los contratos de los colaboradores de la compañía se incluye una cláusula de confidencialidad en la cual se obligan a guardar estricta reserva de todo lo que llegue a su conocimiento en razón de su oficio y que sea de naturaleza reservada y/o confidencial. Finalmente, el Código de Ética suscrito por todos los empleados de la compañía dispone sobre el particular: “Información confidencial suscriptores y clientes: es obligación de todos los empleados, la de respetar las intimidad de los suscriptores y tratar como estrictamente confidencial cualquier información oral o escrita, personal o comercial acerca de ellos que llegue por cualquier vía a su conocimiento. La compañía no tolerará ninguna fuga de información concerniente a sus clientes y suscriptores y tomará las medidas legales del caso contra el empleado que directa o indirectamente tolere, gestione, facilite o colabore con esto tipo de asuntos” Finalmente es importante manifestar que la compañía realiza continuamente capacitaciones a sus colaboradores, para resaltar la importancia de la confidencialidad de los datos personales de los Titulares de la información. Por lo anteriormente expuesto, de manera atenta se solicita que el despacho al momento de evaluar el presente caso, de aplicación a lo dispuesto en el literal f) del artículo 24 de la Ley 1581 de 2012 e imponga como máximo la amonestación, ya que, tal y como se desprende de los hechos antes narrados, y de las pruebas aportadas, la compañía efectuó las correcciones pertinentes relacionadas con la modificación de la dirección de correspondencia del titular, pero por un error humano y que sería comprensible, dado que esa dirección SI registraba en el sistema de COMCEL se envió el comunicado a esta dirección, no obstante lo anterior reiteramos que la compañía efectuó las gestiones pertinentes y realizó las correcciones a la dirección del titular.”

De igual modo, la Investigada aporta los siguientes documentos:

• DOCUMENTOS POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN1

• CERTIFICADO DE LA CÁMARA DE COMERCIO2

• ESTADOS FINANCIEROS3

SEXTO: Competencia de la Superintendencia de Industria y Comercio

El artículo 19 de la Ley 1581 de 2012, establece la función de vigilancia que le corresponde a la Superintendencia de Industria y Comercio para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la mencionada Ley. SÉPTIMO: Análisis del caso 7.1 Adecuación típica

La Corte Constitucional mediante sentencia C-748 de 20114, estableció lo siguiente en relación con el principio de tipicidad en el derecho administrativo sancionatorio:

“En relación con el principio de tipicidad, encuentra la Sala que pese a la generalidad de la ley, es determinable la infracción administrativa en la medida en que se señala que la

1 Expediente digital radicado 20-103460-15 Página 6

2 Expediente digital radicado 20-103460-15 Página 7

3 Expediente digital radicado 20-103460-16 Páginas 2 a 5

4 Corte Constitucional, Magistrado Ponente Jorge Ignacio Pretelt Chaljub, seis (6) de octubre de dos mil once (2011).

6

HOJA N ,



constituye el incumplimiento de las disposiciones de la ley, esto es, en términos específicos, la regulación que hacen los artículos 17 y 18 del proyecto de ley, en los que se señalan los deberes de los responsables y encargados del tratamiento del dato”.

Atendiendo los parámetros señalados por la citada jurisprudencia, para el caso específico se tiene que: (i) El artículo 17 de la Ley 1581 de 2012 establece los deberes que les asisten a los Responsables del tratamiento respecto del manejo de los datos personales de los titulares. El incumplimiento de tales requisitos dará lugar a la aplicación de las sanciones definidas específicamente en el artículo 23 de la Ley 1581 de 2012.

(ii) De conformidad con los hechos alegados por las reclamantes y el acervo probatorio que obra en el expediente, se puede establecer que la conducta desplegada por la investigada se concreta en la posible vulneración a i) El literal d) del artículo 17, en concordancia con el literal g) del artículo 4; ii) El literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012.

En ese orden de ideas, corresponde a este Despacho establecer si la conducta desplegada por la investigada dará lugar o no a la imposición de una sanción para lo cual se deberán tener en cuenta los hechos narrados por las denunciantes, así como las razones de hecho y de derecho aducidas por la investigada en los escritos de descargos y los alegatos de conclusión, así como el conjunto de pruebas allegadas al expediente. 7.2 Valoración probatoria y conclusiones 7.2.1 Respecto del deber de conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento Respecto del deber se conservar la información bajo las medidas de seguridad necesarias, la Ley 1581 de 2012 establece:

“Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad (…) d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; (…) Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios: (…) g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

Al represento la Corte Constitucional en sentencia de control de constitucionalidad C-748 de 2011 señaló respecto del principio de seguridad:

“Principio de seguridad: Al amparo de este principio, la información sujeta a tratamiento por el responsable o encargado, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

7

HOJA N ,



De este principio se deriva entonces la responsabilidad que recae en el administrador del dato. El afianzamiento del principio de responsabilidad ha sido una de las preocupaciones actuales de la comunidad internacional, en razón del efecto “diluvio de datos”[240], a través del cual día a día la masa de datos personales existente, objeto de tratamiento y de ulterior transferencias, no cesa de aumentar. Los avances tecnológicos han producido un crecimiento de los sistemas de información, ya no se encuentran sólo sencillas bases de datos, sino que surgen nuevos fenómenos como las redes sociales, el comercio a través de la red, la prestación de servicios, entre muchos otros. Ello también aumenta los riegos de filtración de datos, que hacen necesarias la adopción de medidas eficaces para su conservación. Por otro lado, el mal manejo de la información puede tener graves efectos negativos, no sólo en términos económicos, sino también en los ámbitos personales y de buen nombre. En estos términos, el Responsable o Encargado del Tratamiento debe tomar las medidas acordes con el sistema de información correspondiente. Así, por ejemplo, en materia de redes sociales, empieza a presentarse una preocupación de establecer medidas de protección reforzadas, en razón al manejo de datos reservados. En el año 2009, el Grupo de Trabajo Sobre Protección de Datos de la Unión Europea señaló que en los Servicios de Redes Sociales” o “SRS debe protegerse la información del perfil en el usuario mediante el establecimiento de “parámetros por defecto respetuosos de la intimidad y gratuitos que limiten el acceso a los contactos elegidos”.[241]”

Existe entonces un deber tanto de los Responsables como los Encargados de establecer controles de seguridad, de acuerdo con el tipo de base de datos que se trate, que permita garantizar los estándares de protección consagrados en esta Ley Estatutaria. Así mismo, indicó que respecto al deber establecido en el literal d) del artículo 17 de la Ley 1581 de 2012:

“(iii) Adoptar las medidas para garantizar la seguridad del dato, a efectos de que no se pierda, no se adultere, no se utilice o acceda por fuera de la autorización, lo cual es desarrollado en el literal d) en concordancia con el principio de seguridad en la transferencia del dato. Por tanto, el responsable está obligado a exigir y controlar las condiciones de seguridad que está empleando el encargado del tratamiento -literal a), como informar oportunamente a la autoridad encargada de la protección del dato sobre violaciones a los códigos de seguridad y la existencia de riesgos en la administración de la información de los titulares- literal n); siendo estos deberes, sin lugar a dudas, también desarrollo del

principio de seguridad jurídica.”

Teniendo en cuenta lo anterior, este Descacho evidenció preliminarmente que la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. habría enviado en reiteradas ocasiones comunicaciones en cuyo contenido se encontraban datos personales del Titular (número telefónico, información financiera y comercial) a direcciones físicas y electrónicas que no le pertenecían. Lo anterior, podría conllevar a un uso o acceso no autorizado de la información del Titular vulnerando la seguridad de sus datos. Al respecto, revisando el material probatorio obrante en el expediente se encuentra que el 19 de octubre de 2016 mediante comunicación expediente digitar radicado 16-238923-03, el titular XXXXXXXXXXXXXXXXXXXXXXXXXX informó a esta Dirección que, las comunicaciones enviadas por la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. estaban siendo remitidas a una dirección física que no corresponde con la autorizada por él. Lo anterior, de acuerdo con los documentos adjuntos al radicado anteriormente mencionado, en el que se pone de presente una comunicación enviada a la dirección XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX, tal como aparece a continuación:

about:blank#_ftn240

about:blank#_ftn241

8

HOJA N ,



De igual modo, se evidenció que mediante radicado 16-238923-05 del 10 de noviembre de 2016 el Titular informó que en comunicación dirigida el 03 de noviembre de 2016, la sociedad investigada remitió un correo electrónico al e-mail XXXXXXXXXXXXXX el cual no reconoce y no le pertenece, ni le perteneció, tal como aparece a continuación:

Por otro lado, bajo el escrito, radicado 16-238953-21 expediente digital, del 22 de noviembre de 2018 el Titular adjuntó copia del contrato suscrito con la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. el 15 de junio de 2007 en el cual aparece de manera clara que la dirección del Titular es la xxxxxxxxxxxxxxxxxxxxxxxxx, tal como aparece a continuación:

A su vez, se evidenció que la investigada, COMUNICACIÓN CELULAR S.A. – COMCEL S.A. tanto en respuesta del 17 de octubre de 2017 al requerimiento realizado por esta Dirección, como en el escrito de alegatos de conclusión de 23 de noviembre de 2020, indicó lo siguiente:

“3. El comunicado GRC 2016137457 fue enviado a las direcciones: XXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXX de Servientrega, igualmente fue enviado al correo electrónico jurí[email protected]”.5

5 Expediente digital radicado 16-238923-11

9

HOJA N ,



“(…) la compañía envió el comunicado XXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX XXXXX XXXXXXXXXX XXXXXX XXX, la cual se encontraba como dirección de correspondencia del titular; no obstante lo anterior, de manera atenta nos permitimos manifestar que la compañía en cumplimiento a lo establecido en de la Ley 1581 de 2012, efectuó las correcciones correspondientes relacionadas con la dirección de correspondencia del titular, tal y como se evidencia en la impresión del sistema que se adjunta a éste escrito, en la cual consta que las obligaciones a nombre del señor XXXXXXXXXXXXXXXXXXXXXXXXX tienen como dirección de correspondencia: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX de Bogotá.”6

En virtud de lo expuesto, se encuentra demostrado que la sociedad investigada permitió el acceso a los datos personales (número telefónico, información financiera y comercial) del denunciante a terceros no autorizados mediante el envío de estos a direcciones en físico y correos electrónicos que no corresponden al denunciante. Ahora bien, teniendo en cuenta la fecha se produjo la vulneración de la norma y al encontrase probado el actuar negligente por parte de la investigada al enviar en reiteradas ocasiones, comunicaciones que contenían datos personales del Titular, como el número telefónico, información financiera y comercial a direcciones físicas y electrónicas de terceros no autorizados, se impartirá una orden administrativa en virtud de las facultades otorgadas a la autoridad de protección de datos personales establecidas en la Ley 1581 de 2012. 8.2.2 Respecto del deber de rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento

Respecto del deber de rectificar la información cuando sea incorrecta, la ley 1581 de 2012 establece lo siguiente:

“Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: (…) g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento “Artículo 4. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios: (...)

6 Expediente digital radicado 20-103460-15 página 15

10

HOJA N ,



d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error”

La Corte Constitucional ha señalado respecto del principio de veracidad:

“Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

La ley recoge dos de los principios desarrollados por la jurisprudencia: (i) el de veracidad y (ii) el principio de integridad de los datos. Según el primero, los datos personales deben obedecer a situaciones reales, actualizadas y comprobables. Bajo el segundo, se prohíbe que el manejo de los datos sea incompleto y pueda inducir a error.” Así mismo, respecto del deber establecido en el literal g) del artículo 17 de la Ley 1581 de 2012 “(v) Rectificar e informar de forma oportuna al encargado del tratamiento sobre ese particular -literal g), para efectos de actualización”. Por lo anterior, es claro que el deber de rectificar la información que obre en las bases de datos del responsable e informar oportunamente a sus encargados es el que permite que los datos personales se mantengan actualizados y en consecuencia que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.

Por eso, los Responsables y Encargados, deben, entre otras, garantizar los derechos de los titulares de los datos para que se pueda predicar que estamos frente a un tratamiento lícito de la información en comento. En este sentido, la Corte Constitucional, ha señalado lo siguiente:

“En efecto, el artículo 15 de la Constitución Política señala que “En la recolección, tratamiento y circulación de datos se respetaran la libertad y demás garantías consagradas en la Constitución.” El hábeas [sic] data confiere en palabras de la Corporación “según la norma constitucional citada, un grupo de facultades al individuo para que, en ejercicio de la cláusula general de libertad, pueda controlar la información que de sí mismo ha sido recopilada por una central de información”. Este control, no sólo se predica de la autorización previa para el Tratamiento del dato, sino que el individuo también es libre de decidir cuales informaciones desea que continúen y cuáles deben sean excluidas de una fuente de información, siempre y cuando no exista un mandato legal que le imponga tal deber, o cuando exista alguna obligación contractual entre la persona y el controlador de datos, que haga necesaria la permanencia del dato. Considerar lo contrario significaría que los administradores de la información, pudieran disponer libremente y sin término definido, de los datos personales del sujeto concernido y, en consecuencia, aquel quedaría privado materialmente de la posibilidad de ejercer las garantías previstas a su favor por el Texto Constitucional(…)”7

Al respecto, este Despacho preliminarmente encontró que posterioridad a la solicitud de supresión del dato correspondiente a la dirección del denunciante la investigada presuntamente envío la comunicación GRC-2016271433-2016 del 12 de octubre de 2016 a este domicilio. En consecuencia presuntamente no se habría rectificado la información en sus bases de datos de acuerdo a la solicitud del titular.

Al respecto se encuentra que el 19 de octubre de 2016, mediante comunicación 16-238923-03 del expediente digital, el Titular informó lo siguiente:

“Por medio de la presente les anexo material probatorio sobre la reincidencia del compartimiento (sic) de mis datos personales y confidencial por parte de Comcel con terceros; esta prueba la obtuve de un complemento de información del 14 de octubre de 2016 que Comcel anexo a la SIC sobre un SAP (16-161831) que está en la investigación sobre un caso diferente, en este se ve que están enviando nuevamente a terceros datos

7 Sentencia C-748 de 2011. Control constitucional al Proyecto de Ley Estatutaria No. 184 de 2010 en Senado; 046 de 2010 en

Camara de Representante, “por la cual se dictan disposiciones generales para la proteccion de datos personales” (Ley 1581 de 2012).

11

HOJA N ,



personales míos, siendo que en el Derecho de Petición del 31 de Agosto (sic) de 2016 con CUN 16-0001892698 se les indico que esa dirección jamás se autorizó ni me pertenece ni ha sido informada por mí.”

De igual modo, esta Delegatura evidencia que el 17 de octubre de 2017, la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., aportó el derecho de petición de 31 de agosto de 20168, donde el Titular solicitó lo siguiente:

“(...) Comcel ha estado enviando información mía con mis datos personales a una dirección en Bogotá que JAMAS (sic) he registrado, ni brindado a Comcel, y la cual JAMAS (sic) he tenido vínculo alguno, por ende la desconozco”

”9

No obstante lo anterior, con posterioridad a la solicitud de supresión del dato correspondiente a la dirección XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX, la investigada envío la comunicación XXXXXXXXXXXX XXX del 12 de octubre de 2016 a este domicilio, tal como se aprecia a continuación:

8 Expediente digital radicado 16-238923-11 folios 79 a 83

9 Ibídem

12

HOJA N ,



En referencia a lo anterior, en el escrito de alegatos de conclusión10, la Investigada aceptó el error mencionando lo siguiente:

“(…) debemos reiterar que la compañía en cumplimiento de la Ley 1581 de 2012, efectuó las correcciones correspondientes relacionadas con la dirección de correspondencia del titular, tal y como se manifestó en el numeral anterior, hecho que se evidencia en la impresión del sistema que se adjuntó en los descargos; no obstante lo anterior, por un error humano el comunicado XXXXXXXXXXX del 12 de octubre de 2016 fue enviado a la dirección XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX, dirección que se encontraba registrada cuando se solicitó la modificación del servicio de pospago a prepago, según consta en el sistema de COMCEL.”

Así mismo, corrigieron la información el 9 de septiembre de 2020, tal como aparece a continuación:

Al respecto, se procede a analizar el término establecido en la Ley para efectivamente rectificar los datos del titular una vez se genera una solicitud: Sea lo primero aclarar que si bien el literal g) del artículo 17 de la Ley 1581 de 2012 dispone que Los Responsables del Tratamiento deberán “Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento", el artículo enunciado, no señala un término para contabilizar el tiempo en que debe procederse con dicha rectificación, por lo que resulta pertinente aplicar el artículo 15 de la Ley 1581 de 2012 a la presente actuación administrativa teniendo en cuenta que el Responsable de información debió proceder a rectificar y/o suprimir la información del Titular desde el momento en que este presentó la solicitud por parte del titular.

10 Expediente Digital radicado 20-103460-15

13

HOJA N ,



Para el caso bajo estudio es procedente analizar lo establecido en el artículo 15 de la Ley 1581 de 2012 el cual dispone lo siguiente:

“Artículo 15. Reclamos. El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas: 1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. 2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. 3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.”

De conformidad con lo anterior, en este caso particular la supresión de información por parte del Responsable debió efectuarse a más tardar el día 21 de septiembre de 2016, es decir dentro de los 15 días hábiles de presentada la petición de supresión del Titular, no obstante lo anterior, está solo se efectuó hasta el 9 de septiembre de 2020, tal como se expuso anteriormente. Teniendo en cuenta lo anterior, se concluye que se encuentra probado el actuar negligente por parte de la investigada al no rectificar la información incorrecta y comunicar lo pertinente al Encargado del Tratamiento, vulnerando así la seguridad de los datos del Titular, incumpliendo con el deber contemplado en literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012. En consecuencia, se impondrá una sanción por el cargo objeto de estudio y se impartirá una orden administrativa. NOVENO: En este orden de ideas, de acuerdo a los argumentos de hecho y de derecho expuestos por la investigada, una vez analizadas las pruebas obrantes en el expediente, y en virtud del literal e) del artículo 21 de la Ley 1581 de 2012, mediante el cual se le asigna, entre otras funciones, esta Superintendencia el “(…)Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disipaciones previstas en la presente Ley (…)”, esta Instancia procederá a impartir las siguientes instrucciones:

(i) La sociedad COMUNICACIÓN CELULAR S.A – COMCEL S.A. deberá desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad, confidencialidad e integridad de los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito, ser sujeto a pruebas periódicas para evaluar su efectividad e indicadores de cumplimiento y tener en cuenta, como mínimo, lo siguiente:

a. Los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;

b. El tamaño y la complejidad de las operaciones de COMUNICACIÓN CELULAR S.A. – COMCEL S.A.;

c. La naturaleza y el ámbito de las actividades de COMUNICACIÓN CELULAR S.A. – COMCEL S.A.;

14

HOJA N ,



d. La categoría y cantidad de titulares; e. La naturaleza de los datos personales; f. El tipo de tratamiento de los datos personales; g. El alcance, contexto y/o fines del Tratamiento; h. El acceso a los datos por parte de los empleados o contratistas de COMUNICACIÓN

CELULAR S.A. – COMCEL S.A.; i. El uso de los datos personales de los usuarios por parte de terceros, entre ellos aliados

comerciales, empresas asociadas, etc; j. El uso innovador o aplicación de nuevas soluciones tecnológicas; k. Los riesgos internos y externos para la seguridad, confidencialidad y disponibilidad de los

datos personales; y, l. Los riesgos para los derechos y libertades de las personas.

(ii) La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. deberá desarrollar,

implementar y mantener un programa de gestión y manejo de incidentes de seguridad de los datos personales, que contemple procedimientos para informar sin dilación indebida a esta Autoridad de Protección de Datos y a los Titulares de los mismos cuando se presenten incidentes que afecten la confidencialidad, disponibilidad o integridad de los datos.

(iii) La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. deberá desarrollar, implementar y mantener un programa de capacitación rutinario para sus empleados y contratistas sobre su política de seguridad de la información, su política de gestión de incidente de seguridad de datos personales y su política de tratamiento de datos personales (o privacidad).

(iv) La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. deberá implementar un procedimiento para la rectificación de los datos a partir de la solicitud del titular o en los casos en que evidencien un dato que no es veraz, actualizado, completo, o comprensible, con el fin de que la rectificación se realice dentro del término legal establecido y de ser el caso, se informe a los Encargados del Tratamiento.

De lo anteriormente ordenado la sociedad COMUNICACIÓN CELULAR S.A – COMCEL S.A deberá remitir a este Despacho las acciones correctivas adoptadas, dentro del término señalado en la parte resolutiva del presente acto administrativo. DÉCIMO: Imposición y graduación de la sanción 10.1 Facultad sancionatoria

La Ley 1581 de 2012 le confirió a la Superintendencia de Industria y Comercio una potestad sancionatoria que se concreta en el artículo 23 de la Ley 1581 de 2012, el cual señala lo siguiente:

“Artículo 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó; b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar; c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio; d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles; (…)”.

Por su parte, La Corte Constitucional a través de sentencia C-557 de 2000, señaló que la ley

aprobatoria del Plan Nacional de Desarrollo tiene la siguiente naturaleza:

15

HOJA N ,



“Partiendo de la concepción que entiende la planeación como el instrumento fundamental para el manejo económico del Estado, y con base en lo dispuesto por el inciso tercero del artículo 341 de la Constitución Política según el cual “(e)l Plan Nacional de Inversiones se expedirá mediante una ley que tendrá prelación sobre las demás leyes”, y que “sus mandatos constituirán mecanismos idóneos para su ejecución y suplirán los existentes sin necesidad de la expedición de leyes posteriores”, la jurisprudencia ha destacado que la Ley del Plan de Desarrollo, que debe expedirse en cada período presidencial, determina el contenido de las leyes anuales de presupuesto, de otras leyes que tocan el tema económico, social o ambiental (…)”

El Plan Nacional de Desarrollo por ser una ley de iniciativa gubernamental y de un amplio consenso -tanto en la elaboración del proyecto de Ley como en su trámite legislativo- su cumplimiento debe hacerse de manera inmediata por parte de todas las entidades de orden nacional11. Su cumplimiento se mide en la ejecución que se haga del Plan Nacional de Desarrollo dentro las competencias que le sean propias a cada una de las entidades del orden nacional observando los criterios de concurrencia, complementariedad y subsidiariedad.

En consecuencia, cualquier norma que se incluya dentro del Plan Nacional de Desarrollo debe ser de obligatorio cumplimiento por las entidades que conforman la rama ejecutiva del nivel nacional a través del respectivo plan de acción institucional como lo establece el inciso 1 del artículo 26 de la ley 152 de 1994.

En ese orden de ideas, el artículo 49 de la Ley 1955 de 2019, mediante la cual se expide el Plan Nacional de Desarrollo 2018-2022, establece lo siguiente:

ART. 49. —Cálculo de valores en UVT. A partir del 1º de enero de 2020, todos los cobros, sanciones, multas, tasas, tarifas y estampillas, actualmente denominados y establecidos con base en el salario mínimo mensual legal vigente, SMMLV, deberán ser calculados con base en su equivalencia en términos de la unidad de valor tributario, UVT. En adelante, las actualizaciones de estos valores también se harán con base en el valor de la UVT vigente.

PAR. —Los cobros, sanciones, multas, tasas, tarifas y estampillas, que se encuentren ejecutoriados con anterioridad al 1º de enero de 2020 se mantendrán determinados en SMMLV.

De esta manera y de conformidad con la norma antes señalada, si el valor de los cobros, sanciones o multas se encuentran establecidos en salarios mínimos, estos deberán ser calculados con base en su equivalencia en términos de la unidad de valor tributario UVT. Por lo cual, las multas de carácter personal e institucional dispuestas en la Ley 1581 de 2012, serán determinadas de la siguiente manera:

𝑆𝑀𝑀𝐿𝑉

UVT vigente 2020= 𝑆𝑀𝑀𝐿𝑉 𝑒𝑥𝑝𝑟𝑒𝑠𝑎𝑑𝑜 𝑒𝑛 𝑈𝑉𝑇′𝑆

𝑆𝑀𝑀𝐿𝑉 𝑒𝑥𝑝𝑟𝑒𝑠𝑎𝑑𝑜 𝑒𝑛 𝑈𝑉𝑇′𝑆 ∗ 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑆𝑀𝑀𝐿𝑉 𝑎 𝑐𝑜𝑛𝑣𝑒𝑟𝑡𝑖𝑟 = 𝑆𝑎𝑛𝑐𝑖ó𝑛 𝑒𝑥𝑝𝑟𝑒𝑠𝑎𝑑𝑎 𝑒𝑛 𝑈𝑉𝑇′𝑆

De otra parte, dentro del marco de la Ley 1581 de 2012, con relación a la imposición de la sanción, el artículo 24 ibidem establece unos criterios de graduación que permiten garantizar el respeto de las garantías del artículo 29 Constitucional12 y que, por lo tanto, esta Dirección deberá analizar para el caso concreto y así determinar cuáles debe tener en cuenta. Esos criterios, según la sentencia C-748 de 2012, hacen referencia a cinco circunstancias de agravación, entre los literales a) y e), y a una circunstancia de atenuación o disminución de la sanción, correspondiente al literal f). De igual forma, respecto a las sanciones que se imponen por la infracción al Régimen de Protección de Datos, debe precisarse que conforme al principio de proporcionalidad que orienta el derecho administrativo sancionador, esta Superintendencia debe ejercer su potestad sancionatoria de forma razonable y proporcionada, de modo que logre el equilibrio entre la sanción y la finalidad que la norma vulnerada que establezca, así como la proporcionalidad entre la gravedad de la infracción y la sanción aplicada. Sobre la aplicación de este principio, la Corte Constitucional ha señalado:

11 Las entidades territoriales tienen sus propios Planes de Desarrollo, artículos 31 y ss., de la Ley 152 de 1994. Sin perjuicio, a la participación que éstas tienen en la elaboración del PND. 12 Artículo 29. El debido proceso se aplicará a toda clase de actuaciones judiciales y administrativas. (…) (negrita añadida)

16

HOJA N ,



“En cuanto al principio de proporcionalidad en materia sancionatoria administrativa, éste exige que tanto la falta descrita como la sanción correspondiente a las mismas que resulten adecuadas a los fines de la norma, esto es, a la realización de los principios que gobiernan la función pública. Respecto de la sanción administrativa, la proporcionalidad implica también que ella no resulte excesiva en rigidez frente a la gravedad de la conducta, ni tampoco carente de importancia frente a esa misma gravedad”13

Siendo así, para la correcta adecuación de los hechos y la sanción aplicable, el operador jurídico en materia de protección de datos personales debe analizar todos los criterios de graduación del artículo 24 de la Ley 1581 de 2012 con la finalidad de establecer cómo se aplican al caso concreto y, de esa forma, seleccionar y graduar la sanción que se impondrá. Para esta finalidad, también se pueden tener en cuenta para la dosificación de la sanción, el tamaño de la empresa, sus ingresos operacionales, patrimonio y, en general, su información financiera, como también su rol dentro del cumplimiento la Ley de habeas data financiero, de tal forma que la sanción resulte disuasoria más no confiscatoria. Es necesario precisar que las sanciones que se imponen dentro de procesos administrativos sancionatorios no constituyen ninguna cuantificación de perjuicios materiales o morales, es decir no se trata de la cuantificación de un daño subjetivo, como sucede en el régimen civil de responsabilidad. Por el contrario, las sanciones que impone esta Superintendencia, en virtud del artículo 23 y siguientes de la Ley 1581 de 2012, es una consecuencia negativa impuesta en contra de la persona natural o jurídica que viole las disposiciones de la Ley 1581 de 2012. Esta consecuencia negativa tiene como finalidad promover y garantizar el cumplimiento de la Ley de habeas data financiero y, de esa forma, proteger el derecho fundamental a la protección de datos personales, entre otros14. La imposición de sanciones por violación de la Ley 1581 de 2012 tiene como fin central proteger y promover el respeto del derecho fundamental a la protección de datos personales, derecho humano (universal, inalienable, indivisible, irrenunciable e imprescriptible) que fue positivizado por el Constituyente Primario en el artículo 15 de la Constitución de 1991, y que en muchas ocasiones es conexo a otros derechos fundamentales de gran relevancia constitucional como la dignidad humana, el buen nombre, la intimidad, etc. Del mismo modo, la vulneración del derecho fundamental a la protección de datos personales no solo afecta los derechos de una persona en particular, sino que pone en riesgo los derechos fundamentales de toda la sociedad. Por eso, las sanciones de dichas conductas no pueden, ni deben tratarse, como una cuestión insignificante o de poca monta. La transgresión flagrante a los derechos humanos de un ciudadano es, por sí sólo, un hecho muy grave que no necesita de forzosos razonamientos para evitar un desentendimiento de la importancia de lo sucedido. Recuérdese que, según la Declaración Universal de los Derechos Humanos, “el desconocimiento y el menosprecio de los derechos humanos han originado actos de barbarie ultrajantes para la conciencia de la humanidad”15. Por eso, según dicho documento, se considera “esencial que los derechos humanos sean protegidos por un régimen de Derecho”. No debe olvidarse que el respeto de los derechos humanos es un elemento esencial de la democracia16. La Ley 1581 de 2012 le confirió a la Superintendencia de Industria y Comercio potestad sancionatoria que se concreta en el artículo 2317 de la misma ley. Asimismo, el artículo 24 de la

13 Corte Constitucional, Sala Plena, C-125 del 18 de febrero de 2003, Magistrado Ponente Marco Gerardo Monroy Cabra. 14 Las sanciones impuestas en función del derecho administrativo sancionatorio pretenden asegurar el orden público y el correcto funcionamiento de la administración. Al respecto ver: Corte Constitucional, Sala Plena, C-703 de 2010, Magistrado Ponente Gabriel Eduardo Mendoza, Considerando 5; Corte Constitucional, Sala Plena, C-010-03, Magistrada Ponente Clara Inés Vargas.

15 Organización de las Naciones Unidas (1948). Declaración Universal de los Derechos Humanos

16 Artículo 3 de la Carta Democrática Interamericana la cual se puede consultar en: http://www.oas.org/OASpage/esp/Documentos/Carta_Democratica.htm

17Ley 1581 de 2012, artículo 18: “La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó; Texto del Proyecto de Ley Anterior

17

HOJA N ,



norma en mención indica los criterios a seguir para graduar las sanciones en los siguientes términos:

“Artículo 24. Criterios Para Graduar Las Sanciones. Las sanciones por infracciones a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables: a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley; b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción; c) La reincidencia en la comisión de la infracción; d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio; e) La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de Industria y Comercio; f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.”

Por lo tanto, atendiendo dichos criterios, este Despacho entrará a determinar cuáles deberá tener en cuenta en el caso en concreto, así:

10.1.1 Literal a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la ley

De la lectura de la norma citada, resulta claro que para que haya lugar a la imposición de una sanción por parte de este Despacho, basta que la conducta desplegada por la investigada haya puesto en peligro los intereses jurídicos tutelados por la Ley 1581 de 2012.

Respecto a las sanciones que se imponen por la infracción al Régimen de Protección de Datos, debe precisarse que conforme al principio de proporcionalidad que orienta el derecho administrativo sancionador, la autoridad administrativa debe ejercer su potestad sancionatoria en forma razonable y proporcionada, de modo que logre el equilibrio entre la sanción y la finalidad de la norma que establezca, así como la proporcionalidad entre el hecho constitutivo de la infracción y la sanción aplicada. Sobre la aplicación de este principio, la Corte Constitucional ha señalado:

“En cuanto al principio de proporcionalidad en materia sancionatoria administrativa, éste exige que tanto la falta descrita como la sanción correspondiente a las mismas que resulten adecuadas a los fines de la norma, esto es, a la realización de los principios que gobiernan la función pública. Respecto de la sanción administrativa, la proporcionalidad implica también que ella no resulte excesiva en rigidez frente a la gravedad de la conducta, ni tampoco carente de importancia frente a esa misma gravedad”18

De esta forma, para la correcta adecuación de los hechos y la sanción aplicable, el operador jurídico en materia de protección de datos personales, debe en primera medida, analizar la dimensión del daño o peligro a los intereses jurídicos tutelados, así como el posible beneficio económico, para

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar; c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio; d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles; PARÁGRAFO. Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva. .”

18 Corte Constitucional, Sala Plena, Sentencia C-125 del 18 de febrero de 2003, Exp. Rad. D-4059, Magistrado Ponente Dr. Marco Gerardo Monroy Cabra.

18

HOJA N ,



luego analizar otras circunstancias concurrentes de graduación, tales como la capacidad económica del investigado, la reiteración de la infracción, colaboración del investigado para esclarecer los hechos investigados19. También se tendrán en cuenta para la dosificación de la sanción, el tamaño de la empresa, sus ingresos operacionales, patrimonio y, en general, su información financiera, de tal forma que la sanción resulte disuasoria más no confiscatoria. Así como, la conducta de la investigada durante el trámite de la investigación administrativa. De este modo, quedó demostrado que la sociedad investigada actuó negligentemente frente al tratamiento de los datos en su calidad de Responsable, al no cumplir con su deber de rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento, conducta que afectó de forma real y concreta los derechos fundamentales del señor XXXXXXXX XXXXXXXXXXXXXXXXX. En consecuencia, esta Dirección impondrá, dentro del margen que le otorga el literal a) del artículo 23 de la Ley 1581 de 2012, una multa de DOSCIENTOS DIEZ Y SIETE MILLONES OCHOCIENTOS CUARENTA Y OCHO MIL PESOS (217.848.000 pesos) M/CTE, correspondiente a (6.000)unidades de valor tributaria- UVT20, por la vulneración del literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012. 10.1.2 El reconocimiento o aceptación de la comisión de una aceptación El criterio de atenuación señalado en el literal f) del artículo 24 de la Ley 1581de 2012 se aplicará toda vez que la investigada, en el escrito de alegatos de conclusión, expediente digital radicado 20-103460-15, reconoció la comisión de infracción al deber contemplado en el literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012, tal como se aprecia a continuación:

“(…) debemos reiterar que la compañía en cumplimiento de la Ley 1581 de 2012, efectuó las correcciones correspondientes relacionadas con la dirección de correspondencia del titular, tal y como se manifestó en el numeral anterior, hecho que se evidencia en la impresión del sistema que se adjuntó en los descargos; no obstante lo anterior, por un error humano el comunicado xxxxxxxxxxxxxxxxxx del 12 de octubre de 2016 fue enviado a la dirección xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx dirección que se encontraba registrada cuando se solicitó la modificación del servicio de pospago a prepago, según consta en el sistema de COMCEL.”

En virtud de lo expuesto, se procederá a reducir la sanción impuesta en el cargo segundo por la vulneración al deber establecido en el literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012 en TRES MIL QUINIENTAS (3.500) unidades de valor tributario vigentes, por el reconocimiento de la infracción. 10.1.3 Otros criterios de graduación Por último se aclara que los criterios de graduación de la sanción señalados en los literales b), c), d) y e) del artículo 24 de la Ley 1581 de 2008 no serán tenidos en cuenta debido a que (i) dentro de la investigación realizada no se encontró que la investigada hubiera obtenido beneficio económico alguno por la comisión de la infracción, (ii) no hubo reincidencia en la comisión de la

19 Ley 1581 de 2012 “Artículo 23. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó; b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar; c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio; d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles; Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.”

20 Ibidem

19

HOJA N ,



infracción, (iii) no hubo resistencia u obstrucción a la acción investigativa de la Superintendencia y, (iv) no hubo renuencia o desacato a cumplir las órdenes e instrucciones del Despacho. DÉCIMO PRIMERO: CONCLUSIÓN

(i) Se comprobó que la sociedad investigada infringió abiertamente la norma sobre protección de datos personales consagrada en el literal d) del artículo 17, en concordancia con el literal g) del artículo 4 de la Ley 1581 de 2012 y por tanto se impartirá una orden.

(ii) Se comprobó que la sociedad investigada infringió abiertamente la norma sobre protección de datos personales consagrada en el literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012 y por tanto se procederá a imponer una sanción y se impartirá una orden.

(iii) Se encuentra probado el actuar negligente por parte de la investigada al enviar en reiteradas

ocasiones, comunicaciones que contenían datos personales del Titular, vulnerando así el derecho de habeas data del señor XXXXXXXXXXXXXXXXXXXXXXXXXX, permitiendo un uso o acceso no autorizado de la información del Titular vulnerando la seguridad de sus datos, incumpliendo con el deber contemplado en el literal d) del artículo 17, en concordancia con el literal g) del artículo 4 de la Ley 1581 de 2012.

(iv) Quedó plenamente demostrado que la sociedad investigada aceptó el incumplimiento del deber consagrado en el literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012 y por tal razón esta Delegatura estima procedente aplicar una atenuante a la sanción.

(v) Respecto del cargo primero no se impone una sanción por la fecha de la vulneración y la duración de la misma en el tiempo, no obstante se imparten órdenes en virtud de las facultades conferidas en la Ley 1581 de 2012.

Así las cosas, una vez analizada toda la actuación administrativa, la información y documentos que conforman el expediente, encuentra este Despacho procedente imponer la sanción correspondiente a NOVENTA MILLONES SETECIENTOS SETENTA MIL PESOS ($90.770.000) M/CTE, correspondiente a (2.500) unidades de valor tributaria- UVT, por la violación literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012, a la sociedad COMUNICACIÓN CELULAR S.A – COMCEL S.A. DÉCIMO SEGUNDO: Que, en virtud de la situación actual, teniendo en cuenta la Emergencia Sanitaria decretado por el Ministerio de Salud, se ha restringido el ingreso a las instalaciones de la Superintendencia, en consecuencia, se establecieron las medidas pertinentes para permitir el acceso completo a los expedientes, por lo que la sociedad debe:

(i) Enviar un correo electrónico a [email protected] o [email protected], solicitando el acceso al expediente a través de la plataforma servicios en línea, indicando: número de radicado, nombre completo de la persona que va a consultar el expediente, número de identificación y correo electrónico autorizado;

(ii) Una vez reciba respuesta positiva respecto de la solicitud de acceso, la sociedad debe registrarse en servicios en línea link https://servicioslinea.sic.gov.co/servilinea/ServiLinea/Portada.php y a través del mismo link posteriormente al registro puede consultar el expediente de manera digital.

No obstante, en aras de garantizar los derechos de defensa y contradicción de la sociedad, en el caso en que la misma considere necesario el acceso del expediente en físico, deberá enviar un correo electrónico a la dirección de correo [email protected], solicitando que le asignen una cita para que pueda examinar el expediente, con el número de la referencia, en las instalaciones de la Superintendencia de Industria y Comercio en la ciudad de Bogotá. Lo anterior por cuanto se deben garantizar el ingreso a las instalaciones con las adecuadas medidas de bioseguridad. En mérito de lo expuesto este Despacho,

20

HOJA N ,



RESUELVE ARTÍCULO PRIMERO: IMPONER una sanción pecuniaria a la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., identificada con Nit. 800.153.993-7, de NOVENTA MILLONES SETECIENTOS SETENTA MIL PESOS ($90.770.000) M/CTE, correspondiente a (2.500) unidades de valor tributaria- UVT, por la violación del literal g) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal d) del artículo 4 de la Ley 1581 de 2012. PARÁGRAFO: El valor de la sanción pecuniaria que por esta resolución se impone, deberá consignarse en efectivo o cheque de gerencia en el Banco Popular, Cuenta No. 050000249, a nombre de Dirección del Tesoro Nacional – Fondos Comunes, Código Rentístico No. 350300, Nit. 899999090-2. El pago deberá efectuarse dentro de los cinco (5) días hábiles siguientes a la ejecutoria de esta resolución y acreditarse en la ventanilla de Tesorería de esta Superintendencia con el original de la consignación, donde le expedirán el recibo de caja aplicado a la resolución sancionatoria. Vencido este plazo se cobrarán intereses por cada día de retraso, liquidados a la tasa del 12% efectivo anual. ARTÍCULO SEGUNDO: IMPARTIR las siguientes órdenes administrativas a la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., identificada con Nit. 800.153.993-7 así:

(v) La sociedad COMUNICACIÓN CELULAR S.A – COMCEL S.A. deberá desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad, confidencialidad e integridad de los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito, ser sujeto a pruebas periódicas para evaluar su efectividad e indicadores de cumplimiento y tener en cuenta, como mínimo, lo siguiente:

m. Los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;

n. El tamaño y la complejidad de las operaciones de COMUNICACIÓN CELULAR S.A. – COMCEL S.A.;

o. La naturaleza y el ámbito de las actividades de COMUNICACIÓN CELULAR S.A. – COMCEL S.A.;

p. La categoría y cantidad de titulares; q. La naturaleza de los datos personales; r. El tipo de tratamiento de los datos personales; s. El alcance, contexto y/o fines del Tratamiento; t. El acceso a los datos por parte de los empleados o contratistas de COMUNICACIÓN

CELULAR S.A. – COMCEL S.A.; u. El uso de los datos personales de los usuarios por parte de terceros, entre ellos aliados

comerciales, empresas asociadas, etc; v. El uso innovador o aplicación de nuevas soluciones tecnológicas; w. Los riesgos internos y externos para la seguridad, confidencialidad y disponibilidad de los

datos personales; y, x. Los riesgos para los derechos y libertades de las personas.

(vi) La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. deberá desarrollar,

implementar y mantener un programa de gestión y manejo de incidentes de seguridad de los datos personales, que contemple procedimientos para informar sin dilación indebida a esta Autoridad de Protección de Datos y a los Titulares de los mismos cuando se presenten incidentes que afecten la confidencialidad, disponibilidad o integridad de los datos.

(vii) La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. deberá desarrollar, implementar y mantener un programa de capacitación rutinario para sus empleados y contratistas sobre su política de seguridad de la información, su política de gestión de incidente de seguridad de datos personales y su política de tratamiento de datos personales (o privacidad).

(viii) La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A. deberá implementar un procedimiento para la rectificación de los datos a partir de la solicitud del titular o en los casos en que evidencien un dato que no es veraz, actualizado, completo, o comprensible, con el fin de

21

HOJA N ,



que la rectificación se realice dentro del término legal establecido y de ser el caso, se informe a los Encargados del Tratamiento.

PARÁGRAFO PRIMERO: La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., identificada con Nit. 800.153.993-7 deberá dar cumplimiento de lo ordenado dentro de los tres (3) meses siguientes hábiles siguientes a la ejecutoria de la presente decisión. PARÁGRAFO SEGUNDO: La sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., identificada con Nit. 800.153.993-7 deberá acreditar el cumplimiento de lo ordenado en el presente artículo ante esta Superintendencia dentro de los cinco (5) días hábiles siguientes a la expiración del plazo previsto para su acatamiento. Para ello deberá remitir a esta entidad una certificación de cumplimiento de las órdenes impartidas por mandato de este acto administrativo. Dicha certificación debe ser emitida por un auditor interno o externo con conocimientos o especializado en los temas que involucra la implementación de cada orden, y suscrita por el representante legal de la sociedad. PARÁGRAFO TERCERO: El incumplimiento de lo ordenado en el presente acto administrativo, hará a la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., identificada con Nit. 800.153.993-7, acreedora de las sanciones previstas en la ley. ARTÍCULO TERCERO: NOTIFICAR personalmente el contenido de la presente resolución a la sociedad COMUNICACIÓN CELULAR S.A. – COMCEL S.A., identificada con Nit. 800.153.993-7 a través de su representante legal, en calidad de investigada, entregándole copia de la misma e informándole que contra ella procede recurso de reposición, ante el Director de Investigación de Protección de Datos Personales y de apelación ante el Superintendente Delegado para la Protección de Datos Personales dentro de los diez (10) días siguientes a su notificación. ARTÍCULO CUARTO: COMUNICAR al señor XXXXXXXXXXXXXXXXXXXXXXXX de la presente Decisión.

NOTIFÍQUESE, COMUNÍQUESE Y CÚMPLASE Dada en Bogotá, D.C.,23 JUNIO DE 2021

El Director de Investigación de Protección de Datos Personales,

CARLOS ENRIQUE SALAZAR MUÑOZ

Proyectó: JBG Revisó: AMVJ Aprobó: CESM

NOTIFICACIÓN: Investigada: COMUNICACIÓN CELULAR S.A – COMCEL S.A. Identificación: 800.153.993-7 Representante Legal: XXXXXXXXXXXXXXXXXXXX Identificación: C.E. XXXXXX Dirección: Carrera 68ª No. 24B - 10 Correo electrónico: [email protected] Ciudad: Bogotá D.C. COMUNICACIÓN: Señor (a): XXXXXXXXXXXXXXXXXXXXXXXX Identificación: C.C. XXXXXXXXXXXXX Dirección: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Mail: XXXXXXXXXXXXXXXXXXX Ciudad: XXXXXXXXXX

ministerio de comercio, industria y turismo ......artículo 17 de la ley 1581 de 2012, en...

Documents