La Superintendencia de Industria y Comercio, en calidad de ente regulador en materia de datos personales, inició vigilancia preventiva respecto de las aplicaciones creadas en el marco de la pandemia del COVID-19, identificando fallas en las medidas de seguridad en las aplicaciones Bogotá Cuidadora, GaboApp para el caso de Bogotá y ValleCorona para Cali. Por lo anterior, mediante las Resoluciones 45002 del 05 de agosto y 47703 del 18 de agosto respectivamente, ordenó:

  • Acceso o descarga de la información recolectada

Implementar medidas de seguridad apropiadas y efectivas para impedir el acceso o descarga de la información recolectada y tratada en las plataformas “Bogotá Cuidadora” y “GABO APP”, en especial en los servidores

  • saludcapital.gov.co y
  • gov.co. así como en “ValleCorona”.

Agregando que, estas medidas deben ir acompañadas de mecanismos de monitoreo y control que de manera permanente permitan asegurar la debida protección de la información tratada.

  • Responsabilidad demostrada y Responsabilidad reforzada

Fortalecer las medidas adoptadas respecto del Tratamiento de datos sensibles, de manera que esa información tenga mayores medidas de seguridad y restricciones de acceso, uso o circulación, de tal forma que no sólo se implemente la “responsabilidad demostrada”, sino la “responsabilidad reforzada”.

Finalmente, solicita a la App “ValleCorona”, modificar el documento “instructivo de términos y condiciones” para el uso de esta, de manera tal que incluya todo lo que ordena la regulación colombiana respecto al Tratamiento de datos sensibles. Lo cual sigue los lineamientos de la Circular Externa Nº. 008 de 2020, por la cual se establecen lineamientos para la “Recolección y Tratamiento de datos para dar cumplimiento a protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el covid-19”.

Fundamentos de la Superintendencia de Industria y Comercio para impartir esta orden

Algunos de los fundamentos que llevaron a la SIC a impartir esta orden, fueron los hallazgos de más de 61 vulnerabilidades para el caso de las app de Bogotá, las cuales, exponían datos personales entre de los cuales aparecen: Actas de Grado y diplomas de personas naturales, cédulas de ciudadanía, actas de exhumación, Resoluciones de la Entidad entre otros, así como el acceso a registros y directorios que, pese a no contener datos personales, no tenían ninguna medida que solicitara la identificación para el acceso.

VMC recomienda:

Tanto a entidades públicas como privadas que hayan desarrollado o contratado aplicaciones con ocasión de la pandemia, para cumplir con los deberes:

  • Valoración del estado de seguridad de la aplicación y adopción de controles o mejoras necesarias para mitigar los riesgos que puedan recaer sobre los datos obtenidos.
  • Reforzar los procesos internos que permitan demostrar su actuar diligente.
  • Generar estándares de seguridad propios de un sistema de información que comprende datos de naturaleza sensible y/o datos asociados a la salud.
  • Crear métodos de autenticación para el acceso a las bases de datos que incluyan datos personales o no.
  • Generar trazabilidad, para saber a quién y cómo se comparte la información requerida en estos tiempos de pandemia.
  • Establecer tiempos de conservación y generar canales de comunicación con el titular al que puedan acceder los titulares.