Sancionan a Rappi y Banco Falabella por incumplir protección de datos

La Superintendencia de Industria y Comercio le impuso una multa por $496 millones a Banco Falabella y otra de $298 millones a Rappi por incumplir la ley de protección de datos.

Ambas compañías deberán adoptar medidas para respetar los derechos de las personas respecto del tratamiento de su información como lo son, entre otros, el derecho de supresión de sus datos.

En el caso del Banco Falabella, cuyas medidas deberán estar orientadas a la atención debida y oportuna de las solicitudes, surgió por un ciudadano quien informó que envió a la entidad 8 peticiones para que eliminaran su número telefónico de su base de datos y dejara de enviarle mensajes para fines de prospección comercial, solicitud desatendida por esa empresa.

De acuerdo con la SIC, el Banco Falabella no respetó el derecho de la persona de suprimir sus datos cuando son utilizados por dicho banco para fines de publicidad y no respondió debida y oportunamente la petición ciudadana ya que se demoró 1 año y 5 meses en hacerlo, cuando el plazo máximo es de 15 días.

De otra parte Rappi, que además deberá acatar la exigencia de que exista autorización previa para el tratamiento de los mismos, recibió quejas de un ciudadano que le solicitó a la aplicación que dejara de usar su información y que no le enviará correos electrónicos o mensajes de datos para fines comerciales o de marketing, pero dicha empresa "no atendió debidamente las solicitudes".

Vea también: Se confirma: SoftBank le mete $3,2 billones a Rappi

Según la SIC, Rappi no respetó el derecho de la persona de suprimir sus datos cuando son utilizados por la startup para fines de publicidad. Igualmente,no demostró la existencia de la autorización para poder recolectar y usar los datos; así como no probó que informó a la persona, lo que ordena la ley.

De la misma manera la empresa no habría respondido debida y oportunamente la petición ciudadana al demorarse 4 meses y 25 días para hacerlo, cuando el plazo máximo es 15 días.

"Rappi no probó que cuenta con un mecanismo apropiado para establecer la identidad de las personas que visitan las plataformas", dijo la SIC.

“Para nosotros es un pilar fundamental la protección de datos. En la privacidad de los clientes es en donde se construyen relaciones de confianza y de largo plazo. Nosotros siempre hemos cumplido con todo lo de ley”, señaló al conocer la noticia Simón Borrero, cofundador y CEO de Rappi.

La compañía informó en un comunicado que frente a la decisión de la SIC, “Rappi reitera que los datos personales de sus usuarios son tratados conforme a la normatividad vigente, a saber: Ley 1266 de 2008, Ley 1581 de 2012, el decreto reglamentario 1377 de 2013 y las demás normas que las complementen”

La tecnológica declaró: “Somos respetuosos de las normas colombianas y usaremos los recursos estipulados por la ley para a apelar esta decisión que aún no está en firme. Rappi siempre obtiene el consentimiento de los titulares de los datos personales para tratar su información previo al registro y uso de su aplicación. La seguridad y confidencialidad de la información personal es una prioridad para Rappi y garantizamos su máxima protección, transparencia y control.

Las medidas

El Banco Falabella tendrá un plazo de dos meses para suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo soliciten cuando esa información es utilizada por la entidad para fines comerciales o de marketing.

Tras la orden de la SIC, tendrá que responder de manera oportuna y de fondo las consultas o reclamos que presenten las personas, eliminando cualquier barrera innecesaria para garantizar los derechos de los titulares.

Así mismo, poner a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.

"Estos deben implementarse a través de los mismos medios o canales mediante los cuales el Banco Falabella se contacta o comunica con los titulares de los datos", dijo la SIC.

Adicionalmente, la entidad financiera, deberá no solo implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las anteriores órdenes, sino realizar una auditoria externa enfocada en la verificación de la aplicación de las medidas efectivas y apropiadas para cumplir todo lo ordenado.

Rappi, por su parte, tendrá un plazo de tres meses para abstenerse de enviar mensajes de texto, correos electrónicos, realizar llamadas telefónicas o comunicarse por cualquier medio con los titulares de los datos respecto de los cuales no tenga plena prueba de la autorización, previa, expresa e informada para dicho efecto.

De igual manera, la SIC le ordenó establecer la identidad plena de los visitantes de su página web o usuarios de sus plataformas cuyos datos son recolectados, usados o tratado por la empresa y "suprimir de manera definitiva y oportuna los datos personales de los titulares que se losoliciten cuando esa información es utilizada por Rappi para fines comerciales o de marketing".

Rappi tendrá que conservar prueba de la autorización previa, expresa e informada otorgada por cada uno de los titulares de los datos y poner a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.

Según la SIC, estos deben implementarse a través de los mismos medios o canales mediante los cuales Rappi se contacta o comunica con los titulares de los datos y adicionalmente, la empresa deberá no sólo implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las anteriores órdenes, sino realizar una auditoría externa enfocada en la verificación de la aplicación de las medidas efectivas y apropiadas para cumplir todo lo ordenado por esta entidad.

Vea además: Rappitenderos entrarán a los estadios colombianos