La autorización para el Tratamiento de Datos Personales debe ser previa, expresa e informada; los Responsables y Encargados del Tratamiento de Datos Personales

deben atender de manera debida, oportuna y eficaz las consultas y reclamos de los Titulares de la información.

La Dirección de Investigación de Protección de Datos Personales determinó que la sociedad SCOTIABANK COLPATRIA S.A – Banco Colpatria-, no atendió de manera debida, oportuna y eficaz la solicitud del Titular de que le fuera informado el medio a través del cual esa entidad había obtenido la autorización para el Tratamiento de su información personal. A su vez, tampoco atendió de manera debida, oportuna y eficaz la petición del Titular de dejar de recibir de dicha entidad información de contenido publicitario. Por el contrario, el Titular siguió recibiendo prospección comercial de esa entidad. Fue solo después de veinte (20) meses de la solicitud del Titular, que el Banco Colpatria se dispuso a hacer las verificaciones sobre si existía o no la autorización para el Tratamiento. La anterior actuación mostró una falta de diligencia del Responsable del Tratamiento de los Datos -Banco Colpatria-, vulnerando la facultad del Titular de exigir la corrección, edición, actualización y eliminación de su información, y violando el deber de  Responsables y Encargados de la información de implementar mecanismos que le permitan al Titular ejercer plenamente los derechos que le asisten.

Banco Colpatria no contaba con autorización para el Tratamiento de los Datos Personales de Titular. Al respecto, se constató que el Titular de la información expresamente diligenció la casilla “NO” dentro del espacio dispuesto para el otorgamiento de la “AUTORIZACIÓN DE PROTECCIÓN DE DATOS PERSONALES”. La anterior actuación va en contra del deber que le asiste a los Responsables de solicitar y conservar copia de la autorización otorgada por el Titular -literal b) del artículo 17 de la Ley 1581 de 2012-; y de que esta sea previa, expresa e informada -Decreto 1074 de 2015-.

Con respecto al principio de Responsabilidad Demostrada (accountability), la existencia de un Programa Integral de Gestión de Datos Personales por parte del Banco Colpatria no demuestra, por sí solo, que lo puesto en práctica sea útil, pertinente y eficiente. Por el contrario, los hechos del caso no denotan cumplimiento de dichos procedimientos por parte de la entidad financiera. Recuerda la Superintendencia que el éxito la implementación de este tipo de programas depende del compromiso real de todos los miembros de la organización, que va más allá de la mera expedición de documentos o redacción de políticas, y que exige que se demuestre el cumplimiento real y efectivo de dichas directrices en la práctica.

 

Archivos adjuntos
Resolución No. 107020 de 2020.pdf

(984.21 KB)
Publicado
Protección de Datos Personales
Compartir FacebookFacebookFacebook
Centro de relevo
En la Superintendencia de Industria y Comercio, como es práctica habitual en la mayoría de los sitios web, utilizamos distintos tipos de cookies para mejorar tu experiencia con nuestro contenido y servicios digitales. Estas cookies se dividen en cuatro categorías fundamentales: las esenciales, que son imprescindibles para el funcionamiento adecuado del sitio; las funcionales, que simplifican la navegación; las de marketing, que personalizan los contenidos; y las de rendimiento, que nos ayudan a comprender cómo se utiliza el sitio para mejorarlo continuamente. Si deseas obtener detalles específicos sobre cómo empleamos estas cookies, te invitamos a consultar nuestra política de tratamiento de datos personales. Si estás de acuerdo con su uso, basta con que selecciones "ACEPTAR" y podrás explorar nuestro sitio web o aplicación. Agradecemos la confianza que depositas en la SIC para tu experiencia digital.