¡Multa de 80 millones a empresa del sector hotelero por enviar sin consentimiento y, de forma errónea, información de terceros a uno de sus clientes!

Conforme a nuestra política de asesoría respecto a sanciones impuestas por la Superintendencia de Industria y Comercio – SIC- en materia de Protección de Datos y Habeas Data, analizaremos un caso en el cual le fue impuesta una sanción a una empresa del sector hotelero por infringir la Ley 1581 de 2012 y sus normas reglamentarias.

HECHOS:

  • Después de realizar una compra de un paquete turístico con la empresa hotelera, el Titular expresa haber recibido de forma repetitiva correos y llamadas respecto a reservas realizadas por otras personas, de las cuales no tiene información ni vínculo alguno.
  • Ante esta situación, el Titular pidió que sus datos fueran suprimidos de las bases de la empresa investigada.
  • A pesar de su solicitud, el Titular alega que la empresa hotelera continuó enviándole mensajes, correos y llamadas promocionales sobre reservas realizadas por otras personas.
  • Por lo anterior, la persona realiza una denuncia ante la Superintendencia de Industria y Comercio, con el fin de que la investigada elimine sus datos personales de sus bases de datos y, por lo tanto, no sean utilizados para el envío de comunicaciones de servicios que no están relacionados con él.
  • La sociedad investigada presentó sus descargos alegando, entre otros, que el titular envió sus solicitudes a una dirección de correo aleatoria y no a la informada en la política de privacidad y confidencialidad de datos personales y que esta fue la razón principal por la que se le siguió enviando comunicaciones promocionales, al no haber seguido el debido proceso para la supresión de sus datos.
  • Así mismo, la investigada dejó demostradas por medio de imágenes, las respuestas automáticas de la dirección de correo a la que envió sus solicitudes el Titular, alegando que fue tiempo después que el cliente se comunicó a una dirección de correo válida para atender su solicitud y que, una vez ejecutado el debido proceso de solicitud por parte del Titular la empresa procedió a dar respuesta y realizar el trámite correspondiente.

NORMAS VIOLADAS:

  • El literal a) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal e) del artículo 8 de la misma disposición y con el artículo 2.2.2.25.2.6. del Decreto Único Reglamentario 1074 de 2015.
  • El literal j del artículo 17 de la Ley 1581 de 2012 en concordancia con el artículo 15.

ANÁLISIS DEL CASO:

Frente a los descargos presentados por la sociedad investigada, la Superintendencia de Industria y Comercio concluyó, entre otros aspectos, lo siguiente:

  • Que uno de los pilares fundamentales de la regulación en materia de Protección de Datos Personales es la exigencia de contar con la autorización previa, expresa e informada del Titular.
  • Señala la SIC, que es la ‘’voluntad inequívoca otorgada por el mismo para que sus datos personales sean recolectados, ingresen a la base de datos del caso y se utilicen para los fines que fueron autorizados.’’ Agrega sobre el particular que el consentimiento que en algún momento fue brindado por el Titular, no es inamovible, pues este puede ser revocado por el mismo.
  • Esto, debido a que, en sus descargos, la empresa investigada aseguraba que al existir un deber legal o contractual para mantener en sus bases los datos del Titular, no podían proceder con la solicitud de retiro o supresión.

Respecto al envío de información correspondiente a reservas realizadas por otras personas, el Titular evidenció mediante pruebas ante la Superintendencia de Industria y Comercio que la empresa investigada durante los días 27 de octubre de 2017, 31 de octubre de 2017, 13 de diciembre de 2017, 2 de enero de 2018, 13 de enero de 2018, 19 de enero de 2018, 20 de junio de 2018 y 10 de julio de 2018, 19 de julio de 2018 le envío la información previamente mencionada.

  • La investigada, en documentos expedidos ante la Superintendencia demostró que hizo efectiva la solicitud de supresión por parte del Titular el día 6 de septiembre de 2018.
  • Estos hechos, en palabras de la SIC, evidencian una ‘’presunta transgresión al deber de garantizar en todo tiempo, el pleno y efectivo ejercicio de habeas data’’, ya que el Titular solicitó los días 2 de enero, 10 de junio y 10 de julio de 2018 la supresión de sus datos de la base de datos de la empresa investigada.
  • Además de lo anterior, las pruebas presentadas por el Titular ante la SIC demuestran que los 05 de septiembre de 2019 y 01 de enero de 2020 recibió llamadas alusivas a promociones y reservas de otras personas, ajenas al mismo, por parte de la empresa investigada.

CONCLUSIONES:

Una vez analizadas todas las pruebas presentadas, tanto por el Titular como por la empresa investigada, la SIC concluyó que:

  • Por las fechas en las que la investigada envió contenido promocional y de reservas hechas por personas ajenas, es fácil determinar que la empresa tenía los datos del Titular vigentes en sus bases de datos, aún después del 6 de septiembre de 2018, fecha en la que la empresa investigada alegó haber realizado la supresión de los datos correspondientes de sus bases.
  • Además, se evidenció, por el tipo de información promocional que se envió después de la fecha mencionada, que la empresa investigada determinó, conscientemente, qué tipo de contenido haría llegar al Titular.
  • Así mismo, al realizar llamadas y enviar mensajes con ánimos comerciales al número móvil del Titular, entre otras circunstancias que le confieren la calidad de Responsable del Tratamiento de Datos Personales de forma que, sin lugar a que medie manto de duda alguno, tiene del deber de velar por el cumplimiento de los principios y deberes de que trata el mencionado régimen estatutario.

Teniendo en cuenta el análisis previo y la resolución de la Dirección de Investigación de Datos Personales, para imponer una multa de OCHENTA MILLONES OCHO MIL NOVECIENTOS VEINTINUEVE PESOS M/CTE ($80.008.929), nos permitimos reiterar la obligación de los Responsables y los Encargados del tratamiento de datos de los Titulares de dar cumplimiento de cada uno de los parámetros y los deberes que señala la Ley 1581 de 2012 y sus normas reglamentarias, por cuanto, cualquier omisión o infracción puede derivar en una sanción.

Facebook
Twitter
LinkedIn
Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.