El 3 de noviembre del 2016, un usuario presentó una queja ante la plataforma móvil RAPPI, para que su información fuera suprimida de sus bases de datos, pues no quería que le enviaran mensajes de texto ni correos electrónicos. Sin embargo, el Titular de los datos personales continuó recibiendo publicidad por parte de la plataforma, por lo cual tomó la decisión de presentar una queja formal ante la Superintendencia de Industria y Comercio. Así, el 26 de marzo del 2018, mediante Resolución No. 21206, la Dirección de Investigación de Protección de Datos Personales resolvió iniciar una investigación administrativa contra la sociedad RAPPI S.A.S., en calidad de Responsable del Tratamiento.
En esta investigación se determinaron varias falencias en la manera como RAPPI estaba no solo tratando, sino recolectando la información de los usuarios (Titulares de los datos personales). Según la sociedad, en el momento en que cada usuario descarga la aplicación, debe aceptar los Términos y Condiciones, lo cual les permite según la compañía de dejar constancia del momento en que cada cliente comienza a utilizar su servicio.
Sin embargo, y como se establece en la resolución, “los términos y condiciones no deben confundirse con la autorización previa, expresa e informada que exige la ley. Aunque no son excluyentes, los primeros no necesariamente cumplen los requisitos legales de la autorización [..]”. Así, se concluyó que RAPPI no estaba en capacidad de probar que en efecto si contaba con la autorización de todos sus usuarios en cuanto al tratamiento de su información personal, y además, no pudo demostrar que contaba con canales efectivos que le permitieran a los usuarios hacer valer sus derechos como Titulares de los datos personales.
Así, mediante Resolución No. 9800 del 2019, la SIC impuso a RAPPI una multa de 360 smlmv, ($298.000.000 aprox.) y además le dio un plazo de tres meses para adoptar mecanismos gratuitos y efectivos que le permitan un fácil acceso a los usuarios para que estos puedan pedir la eliminación de su información personal de las bases de datos.
CONCLUSION:
Las empresas colombianas que recolecten información deben asegurarse de informar y obtener la autorización expresa de los Titulares de los Datos Personales. En especial cuando lo hacen a través de aplicaciones o sitios web. No basta con indicar una aceptación de Términos y Condiciones de uso de una página debe informarse sobre la Política de Privacidad y obtener su respectiva autorización.
Fuentes: