La autorización para el Tratamiento de Datos Personales debe ser previa, expresa e informada; los Responsables y Encargados del Tratamiento de Datos Personales

deben atender de manera debida, oportuna y eficaz las consultas y reclamos de los Titulares de la información.

La Dirección de Investigación de Protección de Datos Personales determinó que la sociedad SCOTIABANK COLPATRIA S.A – Banco Colpatria-, no atendió de manera debida, oportuna y eficaz la solicitud del Titular de que le fuera informado el medio a través del cual esa entidad había obtenido la autorización para el Tratamiento de su información personal. A su vez, tampoco atendió de manera debida, oportuna y eficaz la petición del Titular de dejar de recibir de dicha entidad información de contenido publicitario. Por el contrario, el Titular siguió recibiendo prospección comercial de esa entidad. Fue solo después de veinte (20) meses de la solicitud del Titular, que el Banco Colpatria se dispuso a hacer las verificaciones sobre si existía o no la autorización para el Tratamiento. La anterior actuación mostró una falta de diligencia del Responsable del Tratamiento de los Datos -Banco Colpatria-, vulnerando la facultad del Titular de exigir la corrección, edición, actualización y eliminación de su información, y violando el deber de  Responsables y Encargados de la información de implementar mecanismos que le permitan al Titular ejercer plenamente los derechos que le asisten.

Banco Colpatria no contaba con autorización para el Tratamiento de los Datos Personales de Titular. Al respecto, se constató que el Titular de la información expresamente diligenció la casilla “NO” dentro del espacio dispuesto para el otorgamiento de la “AUTORIZACIÓN DE PROTECCIÓN DE DATOS PERSONALES”. La anterior actuación va en contra del deber que le asiste a los Responsables de solicitar y conservar copia de la autorización otorgada por el Titular -literal b) del artículo 17 de la Ley 1581 de 2012-; y de que esta sea previa, expresa e informada -Decreto 1074 de 2015-.

Con respecto al principio de Responsabilidad Demostrada (accountability), la existencia de un Programa Integral de Gestión de Datos Personales por parte del Banco Colpatria no demuestra, por sí solo, que lo puesto en práctica sea útil, pertinente y eficiente. Por el contrario, los hechos del caso no denotan cumplimiento de dichos procedimientos por parte de la entidad financiera. Recuerda la Superintendencia que el éxito la implementación de este tipo de programas depende del compromiso real de todos los miembros de la organización, que va más allá de la mera expedición de documentos o redacción de políticas, y que exige que se demuestre el cumplimiento real y efectivo de dichas directrices en la práctica.

 

Archivos adjuntos
Publicado
Compartir FacebookFacebookFacebook