La Dirección llegó a la conclusión de que la Ley 1581 de 2012 es aplicable a Google LLC porque recolecta datos personales en territorio de la República de Colombia a través de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia. El término cookie es definido por Google como un pequeño archivo que incluye una cadena de caracteres que se envía al ordenador del usuario cada vez que visita un sitio web para que, cuando vuelva a visitarlo, el sitio web reconozca el navegador y pueda almacenar las preferencias de los usuarios. Por lo tanto, aunque Google sea una sociedad extranjera, al recolectar y trata datos en el país, está sujeto a la legislación Colombiana según la SIC.
Los tipos de datos que según la SIC trata Google corresponden a información personal de los usuarios como: nombre, contraseñas, información de pago, gustos y preferencias, localización, entre otros. Estos, según la Autoridad, se recolectan cuando los usuarios usan no solo los buscadores de Google, sino también mediante el uso de sus equipos como celulares, aplicaciones como Youtube y navegadores como Chrome. Muchos de estos, según la SIC, no sólo son datos de mayores de edad, sino que también se refieren a datos de menores de 18 y de 13 años, ya que la sociedad cuenta con aplicaciones especiales para niños como Youtube Kids.
La SIC manifestó que Google no obtiene la autorización del representante legal de los menores de 18 años para el tratamiento de sus datos personales. El aviso de privacidad y la autorización que utiliza actualmente la empresa sólo le advierte al menor que debe estar autorizado por su representante legal. Sin embargo, según la Dirección, esto es insuficiente y no basta que el menor de edad afirme que cuenta con el permiso de sus padres, sino que se debe demostrar que cuenta con la autorización de su representante legal. Esto, según la SIC constituye una falta de diligencia que incumple los deberes del Responsable del Tratamiento de los datos personales según el artículo 17 de la Ley 1581 de 2012 y representa un riesgo a los niños, niñas y/o adolescentes como sujetos de especial protección constitucional, ya que el consentimiento en este caso debe ser más robusto.
Adicionalmente, frente al cumplimiento del artículo 12 de la Ley 1581 de 2012, el cual establece la información que se le debe proveer al titular a la hora de solicitar su autorización, la SIC dijo que Google incumpliría el 58,3% de los requisitos exigidos por esta norma, no informando asuntos como los derechos que le asisten al titular, entre otros. En cuanto al cumplimiento de los requisitos mínimos del contenido de la Política de Tratamiento de Información, la SIC dijo haber encontrado que Google incumple el 52,63% de estos, omitiendo exigencias relacionadas con los derechos que se le deben informar a los titulares, algunos datos del Responsable y la vigencia y duración de la Política.
Por estas razones, la SIC resolvió:
- Ordenar a Google que, respecto de los Datos personales que recolecta o trata en Colombia, implemente un mecanismo o procedimiento apropiado, efectivo y demostrable para que, al momento de solicitar la Autorización al Titular, le informe de manera clara, sencilla y expresa todo lo que orden el artículo 12 de la Ley 1581 de 2012. Esto debe cumplirse dentro del mes siguiente a la ejecutoria del acto administrativo.
- Ordenar a Google crear una Política de Tratamiento de Información que cumpla todos los requisitos exigidos por el artículo 13 del Decreto 1377 de 2013 y ponerla en conocimiento de los Titulares de datos domiciliados o residentes en Colombia. Esto debe cumplirse dentro del mes siguiente a la ejecutoria del acto administrativo.
- Ordenar a Google que respecto de los Datos que recolecta o trata en Colombia, implemente un mecanismo o procedimiento apropiado, efectivo y demostrable para dar cumplimiento a los requisitos especiales que ordena el artículo 12 del Decreto 1377 de 2013 acerca de la recolección de datos de menores de edad. Esto debe cumplirse dentro del mes siguiente a la ejecutoria del acto administrativo.
- Ordenar a Google que respecto de los Datos que recolecta o trata en Colombia, registre sus bases de datos en el Registro Nacional de Bases de Datos (RNBD). Esto se debe cumplir dentro de los dos meses siguientes a la ejecutoria del acto administrativo.
- Ordenar a Google que respecto de los Datos que recolecta o trata en Colombia, presente ante la SIC prueba de la autorización previa, expresa e informada emitida por los representantes legales de los menores de edad, cuyos Datos hayan sido recolectados o tratados con posterioridad a la entrada en vigencia de la Ley 1581 de 2012. Esto se debe cumplir dentro de los dos meses siguientes a la ejecutoria del acto administrativo.
Para demostrar el cumplimiento de los anterior, Google deberá enviar a la SIC una certificación emitida por una empresa ajena y autorizada, que acredite el número de autorizaciones que tiene Google desde la entrada en vigencia de la Ley de Protección de Datos y que estas autorizaciones cumplen con todos los requisitos exigidos legalmente. Contra esta decisión proceden los recursos de reposición y apelación.
Este documento es un resumen de la decisión adoptada por la SIC. No contiene opiniones, apreciaciones, valoraciones subjetivas o comentarios de la Firma con respecto a la decisión. Su publicación no implica aprobación o desaprobación frente a la decisión, y se realiza únicamente con fines académicos.