No toda información es un dato personal, ni todo dato personal requiere de la autorización para ser tratado. Una dirección de correo electrónico no es, per se, un dato personal y algunas direcciones de correo electrónico son datos personales de naturaleza pública.
Mediante Resolución 6369 del 21 de marzo de 2019, la Dirección de Investigaciones de Protección de Datos Personales resolvió imponer una sanción pecuniaria a CENTRAL MOTOR AMERICA S.A.S. de $91.092.760, con ocasión de la presunta vulneración al deber de conservar la información bajo condiciones de seguridad e informar sobre las finalidades del Tratamiento al que serían sometidos sus datos personales.
El denunciante manifiestó que fue contactado por la sociedad CENTRAL MOTOR AMERICA S.A.S. a través de su correo electrónico para hacerle llegar publicidad, a pesar de que nunca autorizó de manera escrita o digital a dicha sociedad para recibir información.
Por su parte la Superintendencia de Industria y Comercio pudo determinar que CENTRAL MOTOR AMERICA S.A.S., realizó el envío de un correo electrónico masivo al Titular en el cual se pudo visualizar su correo electrónico y el correo electrónico de otros Titulares de la información, los cuales además se encontraban junto con el nombre del Titular.
Deber de conservar la información bajo condiciones de seguridad
Se debe tener presente que los Responsables del tratamiento deben garantizar, entre otras cosas, que la información personal no sea divulgada a través de correo electrónico a otros titulares. Aun existiendo el consentimiento de éste, la divulgación, circulación y acceso de los datos debe ser controlado y restringido frente a terceros no autorizados, lo anterior en concordancia con los principios de seguridad y acceso y circulación restringida.
Deber de solicitar la autorización para el Tratamiento de Datos Personales
La Constitución Política de Colombia en su artículo 15 establece que el Titular en desarrollo de su derecho a la auto determinación informática y el principio de libertad, es quien de forma expresa debe autorizar que la información sea tratada.
Recurso de reposición y en subsidio de apelación
El recurrente manifiesta que la dirección de correo electrónico corresponde de uso institucional o vinculado a su actividad laboral, en cuyo caso este tipo de dato es considerado de naturaleza pública, y bajo este entendido no se requiere de previa autorización, toda vez que se trata de un correo con fines corporativos o profesionales, caso en el cual puede ser encontrado en la web; sumado a ello, su destinación o uso es de tipo corporativo.
CONCLUSIONES
El recurrente no acreditó la prueba de la autorización del 82,66% de los titulares de los datos personales a quienes remitió la comunicación comercial. Tampoco cumplió con el deber y el principio de seguridad toda vez que permitió que 196 direcciones de correo electrónico fuesen conocidas indebidamente por terceros.
Ahora bien, aun cuando logró evidenciarse que CENTRAL MOTOR AMERICA S.A.S. contaba con una Política de Protección de Datos Personales, no pudo entenderse satisfecha la protección de datos personales con la simple redacción de políticas, pues no se trata de garantizar la seguridad en el papel sino en la práctica.
Por lo anterior, la Superintendencia de Industria y Comercio accedió parcialmente a las pretensiones del recurrente entre las cuales aceptó la afirmación “No toda información es un dato personal, ni todo dato personal requiere de la autorización para ser tratado. Una dirección de correo electrónico no es, per se, un dato personal y algunas direcciones de correo electrónico son datos personales de naturaleza pública”.
Así mismo indicó que las actividades de marketing, publicidad y comercio electrónico son lícitas y para su realización debe aplicarse la regulación sobre tratamiento de datos personales.
Finalmente modificó la sanción impuesta en primera instancia y la disminuyó a $61’843.702.
Vanegas Morales Consultores recomienda:
Capacitar a los funcionarios y colaboradores sobre el uso del correo electrónico, indicar con claridad la importancia de aplicar medidas de seguridad y confidencialidad que eviten correos masivos dejando expuesta la información de Titulares y sus correos.
Dejar trazabilidad de las capacitaciones y reforzar los procesos incluyendo deberes claros que impidan que los funcionarios incurran en este tipo de riesgos y de incumplimientos a las normas.
Para ver la resolución de sanción de la SIC haga clic aquí.