El denunciante manifestó que recibió un correo electrónico por parte de SODIMAC en el cual le solicitaban su autorización para el tratamiento de sus datos. Este contenía la frase “Cuando no hago click en la opción ‘ACEPTO’, autorizo a Sodimac Colombia como consta en el AVISO DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER y CONSTRUCTOR”.
En virtud de este mensaje, el titular consideró que el modelo de autorización llevaba a que sin importar qué marcara el destinatario, este autorizaba a la sociedad para el tratamiento de sus datos. Por esta razón, envió un correo a la sociedad investigada reclamando por el anterior mensaje y expresando que no autorizaba el uso de sus datos.
La Superintendencia encontró que SODIMAC no cumplió su deber de solicitar y conservar autorización previa, expresa e informada del titular para el tratamiento de sus datos personales. Lo anterior teniendo en cuenta que, para la SIC el silencio, en ningún caso puede ser entendido como el otorgamiento de la autorización ni asimilado a una conducta inequívoca, la cual tiene componentes cualificados: debe ser previa, expresa e informada. Para la SIC, en este caso no se demostró que existiera una manifestación por parte del Titular de la información dirigida a otorgar su consentimiento para el tratamiento de sus datos.
Adicionalmente, la SIC señaló que no se puede confundir el aviso de privacidad con la autorización previa y expresa por parte del titular, ya que tienen finalidades y génesis sustancialmente diferentes. El aviso de privacidad, por un lado, es una de las opciones de comunicación verbal o escrita que brinda la Ley para darle a conocer a los titulares la información, la existencia y las formas para acceder a la Política de Tratamiento de Datos Personales. En cambio, la obtención de la autorización previa y expresa otorgada por parte del titular, corresponde a un deber que le asiste al Responsable del tratamiento de la información, previa recolección de los datos personales, para poder realizar su tratamiento.
Así mismo, con respecto al Responsabilidad Demostrada, la SIC determinó que SODIMAC no había implementado medidas suficientes, útiles y efectivas relacionadas con el deber de obtener la autorización de los titulares. Prueba de ello, según la SIC, fue el envío del correo electrónico al denunciante, en el cual se genera un “consentimiento táctico” proscrito por la Ley y la jurisprudencia colombiana. Esto significa que toda recolección, uso, almacenamiento y circulación que haya hecho SODIMAC a través de ese mecanismo, según la SIC, resulta ilegítima.
Por lo anterior, la SIC resolvió:
- IMPONER una sanción pecuniaria a la sociedad SODIMAC COLOMBIA S.A. correspondiente a DOSCIENTOS MILLONES CUATRO MIL QUINIENTOS DIECINUEVE MIL PESOS ($200.004.519) por violación a lo dispuesto en el literal b) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal c) del artículo 4 y el artículo 9 de la misma Ley, así como los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto 1074 de 2015.
- IMPARTIR las siguientes órdenes administrativa a la sociedad SODIMAC COLOMBIA S.A.: i) cesar la utilización de “avisos de privacidad” como mecanismo para obtener la autorización para el tratamiento de datos personales de los titulares; y ii) proceder con la supresión de todos los datos personales, de los titulares cuyo consentimiento haya obtenido mediante avisos de privacidad, conforme a lo expuesto en la presente decisión.
La sociedad deberá dar cumplimiento a lo ordenado dentro de los dos (2) meses siguientes a la ejecutoria del acto administrativo. Resolución 59001 del 24 de septiembre de 2020
Este documento es un resumen de la decisión adoptada por la SIC. No contiene opiniones, apreciaciones, valoraciones subjetivas o comentarios de la Firma con respecto a la decisión. Su publicación no implica aprobación o desaprobación frente a la decisión, y se realiza únicamente con fines académicos.