DirecTV, Avantel y Comcel deberán pagar millonaria multa por violación de datos

La Superintendencia de Industria y Comercio (SIC) sigue con mano firme enfrentando la inseguridad de los datos de los usuarios en las empresas del país. Este viernes, la entidad anunció sanciones económicas por más de $864 millones a DirecTV, Comcel S.A. y Avantel por inclumplir las leyes de protección de datos. 

La SIC encontró que las tres empresas incurrieron en faltas como la consulta, sin previa autorización del usuario, de la historia crediticia de sus clientes, y el envío de información de clientes a terceros.

“Las cuatro multas impuestas por la Superindustria alcanzan los $864 millones y tienen, además, un componente preventivo importante ya que se les exigió a las empresas que fortalezcan las medidas de seguridad necesarias para evitar filtraciones de datos personales o que se realicen consultas ante las centrales de riesgo sin autorización expresa de los clientes”, afirmó la ente de vigilancia y control.

Para el caso de Avantel, la Superintendencia inició investigaciones luego de recibir una queja de un ciudadano en la que manifestó que su historia de crédito registraba una “huella de consulta” realizada por Avantel. Ante esto, la entidad encontró que la compañía habría hecho dicha consulta sin autorización del cliente, violando de esta manera la Ley de Habeas Data Financiero.

Junto con esto, la SIC encontró que Avantel falló en establecer los controles internos de seguridad necesarios para monitorear las consultas que se realizan desde sus cuentas a las historias de crédito de los titulares. Por este hecho, Avantel tendrá que cancelar una multa de $176‘388.708

El caso de Comcel es similar. Dos usuarios presentaron quejas ante la SIC asegurando que Comcel no había establecido medidas de seguridad necesarias para evitar la consulta no autorizada y una divulgación excesiva para responder un requerimiento de una autoridad administrativa en una controversia contractual. 

Ante esto, la entidad encontró que efectivamente un funcionario de la empresa consultó la historia de crédito y falló en los controles de seguridad. De igual manera, determinó que Comcel entregó a una entidad administrativa todo el historial crediticio relacionado con la empresa y otras organizaciones del cliente, “dando a conocer información personal no solicitada ni pertinente para lo que se requería”.

Debido a esto, la SIC tomó la decisión de sancionar a Comcel con dos multas. La primera corresponde a una suma de $248‘434.800 y la segunda de $215‘310.160.

El último caso fue el de DirecTV, empresa que fue acusada por un cliente de enviar información sobre él a una dirección de correo electrónico de otra persona. Ante este hecho, la SIC aseguró que la empresa vulneró el principio de seguridad al suministrar información privada de una persona a otra. Por este caso, el proveedor de televisión satelital tendrá que responder con una multa de $223‘913.320.

“Algo que nos preocupa aquí es el hecho de que las empresas no tomen adecuados protocolos de seguridad, no entrenen a su personal y no les adviertan de lo fundamental de este este derecho y de lo grave que es vulnerarlo”, señaló Andrés Barreto, superintendente de Industria y Comercio.

Barreto también resaltó que se han dado unas órdenes muy estrictas respecto de unos programas que deberán implementar las compañías para evitar que se sigan presentando estas fallas. 

Para ello, las empresas deberán desarrollar, implementar y mantener un programa de seguridad interno para evitar que sus funcionarios efectúen consultas no autorizadas a las historias de crédito de los titulares, así como garantizar que los datos recolectados y procesados sean correctos y que cuenten con mecanismos para reducir los riesgos de entrega de información privada a terceros. “En estos casos las empresas son sucesivas, por lo que se seguiría multando a las compañías que incumplan con estas sanciones”, afirmó Barreto. 

El pasado lunes, la SIC emitió una orden preventiva a Uber para que implemente medidas que eviten otros incidentes de seguridad y que afecten la seguridad de los datos de los usuarios en Colombia. Para ello, recomendó a la compañía, desarrollar, implementar y mantener un programa integral de seguridad de la información, un programa de gestión y manejo de incidentes de seguridad de los datos personales y un programa de capacitación y entrenamiento rutinario para su equipo humano.