SIC ordena a WHASTAPP LLC el cumplimiento estricto del Régimen de Protección de Datos Personales (Ley 1581 de 2012)

Mediante la Resolución 29826 del 19 de mayo de 2021 la Superintendencia de Industria y Comercio imparte órdenes precisas a la sociedad WhatsApp LLC para que en el término de los dos (2) meses siguientes a la firmeza de este acto administrativo, implemente un mecanismo efectivo y demostrable para que los titulares estén plenamente informados sobre el tratamiento de sus datos personales y las finalidades, diseñe una Política de Tratamiento de información que cumpla con los requisitos del artículo 13 del Decreto 1377 de 2013, la cual debe ser puesta en conocimiento de los titulares de los datos y que sobre los datos recolectados se registren las bases de datos ante el Registro Nacional de Bases de Datos de la Superintendencia.

Esta decisión fue tomada con ocasión a los resultados desfavorables que arrojó la evaluación que sobre protección de datos personales que realizó la entidad de control a la sociedad WhatsApp. Revisión que se justifica en la medida en que la Ley 1581 de 2012 le es aplicable por tratarse de una compañía que recolecta datos personales en Colombia a través de cookies, mecanismo instalado en los celulares, computadores y otros dispositivos electrónicos con la finalidad de saber cuáles son las preguntas frecuentes más leídas, entender como los usuarios usan los servicios de la compañía, saber sus preferencias, entre otras.

Lo anterior, es destacable, por cuanto es un claro ejemplo de lo que podría serle solicitado a cualquier compañía y de la rigurosidad del proceso que se lleva a cabo en esta materia.

Así, vemos, de una parte, que mediante la validación de documentos y la revisión estricta de requisitos legales propios de la autorización de datos personales (artículo 12 de la Ley 1581 de 2012), de la política de tratamiento de la información (artículo 13 del Decreto 1377 de 2013) y del registro de Bases de Datos se constató el incumplimiento de varios aspectos y de otros importantes como por ejemplo el hecho de no informar el carácter facultativo de las respuestas a las preguntas que versen sobre datos de menores de edad o sobre datos sensibles.

Y por la otra, la prevalencia y lugar destacado del principio de responsabilidad demostrada en lo que respecta a esta materia, igualmente exigible a la empresa de gran envergadura como lo es WhatsApp LLC, por cuanto a partir de este se le exige ser más diligente y cuidadoso con el tratamiento de datos de los titulares, que para este caso son millones. Recordemos que tal como lo ha reconocido la Corte Constitucional, este principio “consiste en el deber jurídico del responsable del tratamiento demostrar ante la autoridad de datos que cuenta con la institucionalidad y los procedimientos para garantizar las distintas garantías del derecho al habeas data, en especial, la vigencia del principio de libertad y las facultades de conocimiento, actualización y rectificación del dato personal.” (Sentencia C-32 del 18 de febrero de 2021)

Para finalizar, cabe destacar que en este caso se emitió una orden administrativa con el objetivo que la empresa ajustará sus actividades y operaciones conforme a las disposiciones que rigen la protección al derecho de habeas data en Colombia, lo cual es sustancialmente diferente a una sanción. Sin embargo, de no dar cumplimiento a este requerimiento es factible y probable que lo que proceda con posterioridad sea la imposición de una multa, la suspensión de las actividades relacionadas con el tratamiento de datos o el cierre temporal o definitivo de las operaciones relacionadas con el tratamiento de datos, tal como lo señala el artículo 23 de la Ley 1581 de 2012.

Los invitamos a revisar en detalle esta decisión para efectos de conocer más y a modo de guía orientadora de lo que debería evitarse hacer.

Anexo: Superintendencia de Sociedades. 2021. OFICIO 220-026024. SAGRILAFT – PEP. 12 de Marzo de 2021. Disponible en: https://bit.ly/3c6gN0p