REPUBLICA DE COLOMBIA 7 MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO RESOLUGION NUMERO & 3 § § 2 - = =DE 2018 (15 NOV 2018) Por la cual se resuelve un recurso de apelacién EL SUPERINTENDENTE DELEGADO PARA LA PROTECCION DE DATOS PERSONALES En ejercicio de sus facultades legales, en especial las conteridas por los articulos 19 y 21 de la Ley 1581 de 2012 y el numeral 7 del articulo 16 del Decreto 4886 de 2011 y, CONSIDERANDO: PRIMERO: Que mediante Resolucion No. 1422 del 25 de enero de 2016, la Direccién de Investigacion de Proteccién de Datos Personales resolvié iniciar una investigacio administrativa con el fin de establecer si la sociedad LINIO COLOMBIA S.A.S. infringid las nommas sobre proteccion de datcs personales consagradas en el articulo 8 literal e) en concordancia con el articulo 17 literales a), j). k) y m) de la Ley 1581 de 2012 SEGUNDO: Que una vez agotada |2 etapa probatoria y efectuaco el analisis de! material probatorie allegado a la presente actuacion administrativa, la Direccidn de Investigacion de Proteccion de Datos Personales resolvid, meciante la Resolucién No, 28373 de! 26 de abril de 2018 (fls. 83 2 95), lo siguiente ‘ARTICULO PRIMERO: Imponer une sencién pecuniaria @ le sociedad LINIO COLOMBIA SASS., identiicada con el Nit 900.499 362-8 ce TRESCIENTOS CINCUENTA Y UN MILLONES QUINIENTOS CINCUENTA Y OCHO MIL NOVECIENTOS PESOS M/Cie (S351.558.900.00}. equivalente a cuatrocientos cincuenta (450) salarics minimos legalos mensuales vigentes. pcr ef incumplimiento do los dear (sic) establacido en al fteral a) del aiticulo 17 de ia Ley 1561 de 2072, en concorvaricia con él iteral e) del articulo 8 de la norma en mencion y del aniculo 2.2.2.25 26 del Docroto 1074 de 2018 y iterates j) y m) dela Loy 1581 ce 2012 by TERCERO: Que en el término ‘egal establecido para el efecto’, mediante escrito radicado con ei namero 18-1770 18-34 cel 23 de mayo de 2018 (fis. 85 a 71), la sociedad LINIO COLOMBIA S.A.S, interpuso recurso de reposicién y en subsidio de apelacion contra la Resolucién No. 28373 del 26 de abril de 2018, con fundamento en los siguientes argumentos: Conformo 2 constancia suscrite por la Secrotaria General AD — HOC de la Superintendencis de Industria y Comercio, visible folio. $8 la Resolucion No. 28373 cel 26 de abril ce 20718 fue notificeda per aviso ala Sociedad LINIO COLOMBIA S.AS. el dia 9 de mayo ce 2018, con lo cial el |érrino para presentar ios recursos vencia el 24 de mayo de 2018, por lo que los recurses fueron presentades opertunerente. Radicacion 15 - 177018 [VERSION GNIcA | aahRESOLUCION NUMERO § 3 § § 2 BE2e18 HOJANo. 2 Por la cual se resusive un Recurss de Apeiacién MERON CNGR 3.1 "MATERIAL PROBATORIO INSUFIENCIENTE (SIC) E INIDONEO”. Manifesié que ‘Linio Colombia cumplié con los deveres contenidos en le Ley 1581 de 2012 y, @n consecuencia, no vulneré ef derecho de Hebeas Data de fa denuncianie (...). Los datos personales de la sefiora (...) fueron eliminados de la base de dalos de comunicaciones comerciales de acuerdo al procedimiznto intemo de la empresa y en cumplimionto de la Politica de Tratamiento de Detos Personales y la Ley 1581 de 2012, Asi fas cosas, en el expediente obra ef comprobanio de que los datos de fa consumidora fueron eliminados de la base de datos ce comunicaciones comerciales de Linio Colombia” Afirmd que “fifos mensajes de datos, como Jo son fos correns electronicos, cuentan con un régimen particular dentro del Céaiga General del Proceso para su valldez. Frente a esio cabe resaltar ef articulo 247 del CGP". Y mas adelante indica que de acuerdo con lo manifestado por la Honorable Corte Constitucional, no puede otorgarse el mismo valor probatorio a un mensaje de datos original y 2 una mera reproduccion de un mensaje de datos. Expone que “Para el caso en cuestién, fa denunciante afirma que siguié recibiendo correos electrénicos de Linio Colombia después de su solicitud de eliminacién de sus datos personales. De acuerdo con esto, [a prueba idénea para demostrar lo alegado por la reclamante eran los corres electronicos recibicios como tal, pues son estos los que efectivamente dan prueba de la recepcion de los mismas y permiten demostrar la integridact de fa informacién, que ios documentos son auténticos y no han sido alterados” Finaliza este acdpite indicando que “esta delegatura valoré las declareciones de la denunciante sin que estas estuvieran scportadas materiaimente. En este sentido, de las impresiones en papel aportadas con a sefiora (...) no es posible establecer que Linio Colombia haya continuado enviando correos electrénicos de carécter publicitario posterior a su Solicitud de desuscripcién. Adicionalmente, nadie pueda comprobar una negacién indefinida, es decir, Linio no puede probar que no envi correos electrénicos a la consumidora posterior a su solicitud. En concordancia con io antenor, ef articulo 167 dei Cédiga General de! Proceso establece que ‘los hechos notorios y fas afirmaciones o negaciones indefinidas no requieren prueba’. 3.2 “DESPROPORCIONALIDAD DE LA SANCION” Expone que ‘(...) Linio Colombia no obtuvo ningin bensticio econémico de ta supuesta infraccién a los deberes de Habeas Data. En segundo lugar, no fubo resistencia u obstruccién a fa accién investigativa de la Superintendencia de Industria y Comercio. Adicionalmente, Linio no ha sido renuente 0 desacatado ei cumplimiento de las érdenes impartidas por la autoridad. Enuncid que ‘En cuanto a la dimension de! dario o peligro a fos intereses juriaicos tutelados por fa Ley 1561 de 2012, no hay relacion alguna entre ef supuesto dafio causado a los intereses del titular de fos derechos y la sancién impuesta. Esta delegatura se limita a afirmar que hay un dao, el cual se genera automdticamente por fe infraccion de ia norma por parto del Responsable dol Tratamiento de los Datos Porsonales. No obstanto, la afirmacién de la autoridad es insuficiente para realizar la graduacién de la sancién por dos razones. En primer lugar, de ia alegada infraccién no se aprecia un dafio tangible en cabeza se (sic) la sefiora (...). En segundo tugar, fa autoridad no evo a cabo ef analisis necesario para determinar te dimensi6n def dafio y con elfo estabiecer la carrelacion entre dicho valor yel monto de fa multa. Asi las cosas, no hay justificacion de cémo Mego fa SIC al monto de sancién establecido en la Resolucién.RESOLUCION NUMERO 8 3 8 82 De2018 HOJANo. 3 Porta cual se suet un Recurso de Apelacn |__VERSON OMA Expresé que "De conformidad con fo expuesto anteriormente, fa Resolucién 18373 (sic) de 2018 no hace una adecuada valoracin de los oriterios estabiecidos en la Ley para ja graduacion de la sancién, La decision es tomada inicamente teniendo en cuenta dos criterios do los cuales se hace un anélisis meramente superficial y subjetivo de acuerdo a Jo considerado por la administracion. Lo anterior reitera arbitrariedad y desproporcionalidad de [8 sanci6n a la investigada’ CUARTO: Que mediante Resolucian No. 61956 del 29 de septiembre de 2017, la Diteccién de Investigacion de Proteccién de Datos Personales resolvio el recurso de reposicion interouesto por la sociedad LINIO COLOMBIA 8.A.S. en el sentido de confirmar en todas sus partes la Resolucion No. 28373 del 26 de abril de 2018 y conceder el recurso de apelacién presentado subsidiariamente QUINTO: Que de conformidad con lo establecide en el articulo 80 del Cédigo de Procedimiento Administrative y de lo Contencioso Administrative, este Despacho procede a resolver el recurso de apelaci6n interpuesto por la sociedad LINIO COLOMBIA S.A.S. (en adelante e| RECURRENTE) contra ia Resolucién No, 28373 del 26 de abril de 2018 y con base én lo expuesto por éste se haran las siguientes consideraciones: 5.1 Valoraci6n integral de las pruebas. El RECURRENTE sefiala que ‘Linio Colombia cumplio con fos deberes contenidos en fa Ley 1581 de 2012, y, en consecuencia, no vulneré ef derecho de Habeas Data de la denunciente (...}. Los datos personales ce la sefiora (...) fueron eliminados de la base de datos de comunicaciones comerciales de acuerdo al proceaimiento interno de la empresa yen cumplimiento de la Politica de Tratamiento de Datos Personales y la Ley 1581 de 2012. As! las cosas, en e! expediente obra ef comprobante de que los datos de la consumidora fueron eliminados de la base de datos de comunicaciones comerciales de Linio Colombia”. (fl 72) De este modo. la sociedad investigada afirma que “esta delegatura vators las dectaraciones de fa denunciante sin que esias estuvieran scportadas materiaimente. En este sentido, de as impresiones en papel eportadas con ja sefiora (...) no es posible establecer que Linio Colombia haya continuado enviando comeos electrénicos de caracter publicitario posterior a su solicitud de desuscripcién. Adicionalmente, nadie pueda comprobar una negacién indelinida, es decir. Linio no puede probar que no envi correos electrénicos a la consumidora posterior a su solicitud. En concordancia con fo anterior, el articulo 167 dol Cédigo General del Proceso establece que ‘los hechos notorios y las afirmacionos 0 negaciones indefinidas no requieren prueba Como es sabido, la revocatoria de autorizacién yio supresion ce informacion por parte de tos titulares, se deriva del principio de libertad previsto en el articulo 4 literal c) de la Ley 1581 de 2012%, que se encuentra consagrado como un derecho de aquellos en los siguientes términos “Articulo 8°. Derechos de los Titulares. E! Titular de los datos personales tendré los siguientes derechos: ° “Articulo 4”. Principios para e! Tratamiento de datos personales. En ef desarrollo, interprefacion y aplicacien de ia presente ley Se aplicaréin, de manere ennbrics @ integral, los siguiontes pencipios: we ©) Principio de liberted: El Tratemiento s6io puede ejeroeise con e! consentimiento, previo, expreso e informedo det Tinular. Les datos personales no pocran ser obfenidos © dvulaados sin previa auforizacion, o en ausencia de mandato agai 0 jucieiol quo releve of consertinionto: fodRESOLUCION NUMERO 8 3 8 82 bE2618 HOJANo. 4 VERSION ICA Por la cual se resuelve un Recurso de Anelacion & e) Revocar la autorizacion y/o solicitar fa supresién det dato cuando en el Tratamiento no se respeien los principios, derechos y gerantias constitucionates y legates. La revocatoria ylo supresién procederé cuando la Superintendencia de industria y Comercio haya deierminado que en el Tratamiento ef Responsable o Encargado han incurrido en conductas conirarias a esta ley y a ia Constitucién, i La Corte Constitucional mediante sentencia C-748 de 2011, por la cual analiz6 la exequibllidad ce la Ley 1581 de 2012, al tratar el articulo en precedencia, determiné que “el individuo tambien es libre de decidir cuales informaciones desea que continien y cuales deber ser excluidas de una fuente de informacion, siempre y cuando no exista un mandato legal que le imponge tal deber, 0 cuando exista aiguna obligacisn contractual entre fa persona y el controlador de datos, que haga necesaria la permanencia del dato”. Asi las cosas, es evidente que en virtud del ejercicio del derecho fundamental de habeas data a que se refiere el literal a) del articulo 17 dela ley 1581 de 2012" los fitulares pueden solicitar la exclusin 0 suprosion de la informacion que repose en les bases de datos de los Responsables 0 Encargados del Tratamiento, siempre que no exista un deber legal o contractual que lo impida. En linea con |o anterior, ordena lo siguiente el articulo 9 del decreto 1377 de 2013 (incorporado en el decreto 1074 de 2015) y titulado “REVOCATORIA DE LA AUTORIZACION Y/O SUPRESION DEL DATO* ‘Los Titalares podrén en todo momento solicitar al responsable o encargado la supresion do sus datos personales y/o revocar la autorizacion otorgada para e/ Tratamiento de las mismos, mediante la presentacién de un reclamo, de acuerdo con fo establecico en ol articulo 15 de la Ley 1561 de 2012 La solicited de supresién de la informacién y le revocatoria de /a autorizacién no procederin cuando e! Titular tenga un daber legal o contractual de permanecer en la base de datos. El responsable y el encargado deben poner a disposicién del Titelar mecanismos gratuitos y de faci! acceso para presentar la Solicitud da supresién de datos o fa revocatoria de la aulorizacion otorgada Si venvido e! té:mino legal respectivo, of responsable yo of encargado, segin fuera él caso, no tubieran eminado los datos personales, €! Tituiar tendra derecho a solcitar a la Supenntendencia de industria y Comercio que ordene Ie revocatone de la autorizacién y/o la supresin de los datos personales. Para estos efectos se apticard ef procedimiento desorito en 2 articulo 22 de fa Lay 1587 de 2072’, En el caso concreto se observa que la quejosa realizé varias solicitudes tanto en la pagina web como via correo electronico a la sociedad LINIO COLOMBIA S.A.S., en las cuales requirio la eliminacién de su correo electrénico registrado en la base de datos, tal y como lo hace saber en el correo electrénico enviado el dia 30 de julio de 2015, cuando manifests: “De nuevo y después de una pausa de sus correas desde el dia 9 de Junio vuelvo a recibir su Newsletter fos dias 29 y 30 de Julio. Es la sexta vez en ef ano (30 Julio, 9 Junio, t Jumo, 31 Mayo, 28 Mayo, 18 Mayo) que me he dado ae naja de su Newsletter. Como ya fo he escrito varias veces la empresa Linio Colombia no esta cumpliendo con fa ley estatutaria » Cr, Literal e) de! artieulo 8 de la Ley: 1581 de 2012 * Eltexto del iterala) del encula 17 dela ley 1981 de 2012 dice: “rtfculo 17. Deberes de las Responsables cel Tratamiento Los Respansables de! Tratamienio deberin cumplr les sguiontes dobores. sin porjuicio de les demas wisposiciones previstes en la presente ley yer otras que ran su actividad 42) Garaniizar el Titias, on todo tismpo, «1 plane y efectvo ojercicra del derecho de hdbeas data,” ketRESOLUCION NUMERO § 3 8 82 DE zB HOJANo. 5 VERSION ONICA | Por fa cual sé resuelve un Recurso de Apelacién 1861 de 2012 ‘Por el cual se dictan disposiciones generales para a protecoién de datos personales". Cleramente fes estoy especificando en su link de desusoribirse que NO ME INTERESA recibir MAS correos de parte de Linio Colombia. ¢No es suficiente con la dade de baja de su sistema? {Debo enviarles una carta 0 con que alto funcionario debo hablar para que tormine esto? Exigo (sic) que de una vez por todas paren con la insistencia de mandarme correos”® Notese como relata la quejosa que LINIO COLOMBIA S.A.S. puso a disposicién de ella un mecanisme electronico para que ésta deje de recibir informacion de esa empresa, pero ese link no sirvid para “desuscribirse’, "darse de baja la susoripcidn" o "cancelar la suscripcion". Esto evidencia la falta de monitoreo y control de la efectividad de las herramientas que implementa la empresa porque no basta ofrecer al titular mecanismos gratuitos como lo ordena el articulo 9 del decreto 1377 de 2013 sino verificar la efectividad de los mismos en la practica, Las herramientas 0 pracesos inutiles no son consistentes con las exigencias de la reguiacién colombiana A su vez. ante las milltiples solicitudes presentadas por Ia titular, la sociedad LINIO COLOMBIA S.A.S. procedié a remitire las siguientes comunicaciones: (I) el dia 28 de mayo de 2015 en la cual le informé: "Dando respuesta a su solicitud bajo el radicado 01174472, le informamos que ya hemos escelado su caso al érea encargada, durante un transcurso de 24 a 48 horas habiles le deremmos respuesta, de antemano le ofrecemos disculpas por los inconvenientes generados’. (ji) e! 2 de junio de 2015 en la cual e informé a la reclamante que ‘Dendo respuesta a su solicitud, le informamos que se generé el numero de reclemacion 1191483 para cancelecién del boletin. Lamentamos !os inconvenientes generados, en un transcurso de 24 ~ 48 horas habiles estaremos dendo trémite a su solicitud’. Respuestas que corresponden a las solicitudes elevadas por la quejosa en el mes de mayo y junio de 2075)° Las pruebas citadas damuestran, de una parte, que dasde el 18 de mayo de 2015 la titular presento varias solicitudes requiriendo la supresion o eliminacion de su correo electrénico Tegistrado en la base de datos de! RECURRENTE y, de otra, que LINIO COLOMBIA 8.4.8. recibid tales solicitudes y solamente dio respuesta de fondo el 30 de julio de 2015 indicando que ‘Dando respuesta a su solcitud, le informemos que su cuenta ha sido eliminada de nuestra base de datos”. Como se observa, LINIO COLOMBIA S.A.S dio respuesta dos (2) meses y doce (12) dias cesoués de radicada la solicitud, cuando el plazo maximo para responder es de *guince (15) dias habiles contados a partir del dia siguiente a |a fecha de su recibo” De conformidad con 'o antariormente indicado, es evidente que la sociedad investigada fue indiferente @ dichos requerimientos, ya que la reclamante insistio seis (6) veces en su solicitud de supresion de datos sin obtener satisfactoriamente la eliminacion de estos. Es asi, que la sociedad LINIO COLOMBIA S.A.S. en respuesta otorgada al reclamante del 30 de julio de 2015°, finalmente informa ia supresion de la diteccién de correo electrinico. E| material probatorio que obra en el expediente demuestra que la reclamante presentd insistentemente la solictud de eliminacién de su correo electrénico de las bases de datos, de la sociedad investigada y aunque el RECURRENTE le respondié que “ya hemos escalado st: caso al area encargada’'®, si bien al expediente fue aportada una certificacion "Ver folios 4a 11 "Ver folio y 10 7 Ver folio § cf. Numeral 3 del aticulo 15 de la tey 1581 de 2012 "Folic 5”. de antemaro le cfrecemcs disculp2s por las inconverientes genorades" Foleo SERESOLUCION NUMERO § 3 8 82 be2zms HOJANo. 6 Por la cual se resueive un Recurso de Apelacion [ ‘yensianicaucss ésta no es clara en determinar la fecha en que fue eliminado definitivamente el carrea electronico de la quejosa, pues, la informacion que aporta corresponde a una actua‘izacion de fecha 2017-06-21". (fl. 50) La sociedad investigada insiste en que y reprocha reiteradamente que “(...) /a prueba idénea para demostrar fo alegado por la rectemante eran los correos electrénicos recibidos como tal, pues son estos los que efectivamente dan prusba de la recopcién do los mismos y permiten demostrar la integridad de 'a informacién, que los documentos son auténticos y no han sido alteracos” (fl. 73) Aunque la reclamante no aporté prueba de los correos electronicos enviados por LINIO COLOMBIA S.A.S, no hay que pasar por alto que en las respuestas otorgadas a (a reclamante el 28 de mayo y el 2 de junio de 2015, no le dieron el tiémite reauerido a la solicitud de eliminar de la base de datos la direccién de correo electronico. Si bien es cierto el dia 30 de julio de 2015, finalmente le informan ala quejosa que su € ~ mail fue eliminado de la respectiva base de datos, también lo es que al observar la certificacion obrante a folio 50 del expediente administrativo, no puede el Despacho determinar exactamente la fecha en que fue eliminado. De este modo, en virtud de la valoracién integral de las pruebas recaudadas y la sana critica’, se encuentra demostrado que efectvamente el RECURRENTE trate los datos de la titular con posterioridad a las multiples ocasiones que ésia le solicito la supresion de los mismos En consecuencia, no le asiste razdn a la sociedad investigada en lo aqui argumentado, por cuanto el material probatorio recolectado en el transcurso de la actuacion administrativa demostié que no garantizo al titular el pleno y efectivo ejercicio del derecho de habeas data En suma, de las solicitudes presentadas por la titular del dato y de las respuestas de LINIO COLOMBIA S.A.S. contenidas en el expediente se corrobora que ésts se demoré en eliminar el dato por lo menos dos (2) meses. Los mensajes del RECURRENTE reconocen las peticiones de la titular y ponen de presente su mora en garantizar los cerechos de la titular del dato. 5.2 Valor probatorio de los documentos aportados por el Reclamante. La sociedad LINIO COLOMBIA S.A.S. manifiesta que ‘Y...) de las impresiones en pape! aportadas por ia sefiora (...) no es posible establecer que Linio Colombia haya continuada enviando coireos olectrénicos de carécter publicitario posterior a su solicitud do desuseripcién. Adicionalmente, nadie pueda (sic) probar una negacién indefinida, es decir. Linio no puede probar que no envid correos electronicos a la consumidora postenor a st solicitud”. (fl. 73) En lo que respecta al documento electrénico como medio de prueba, es necesatio remitirse a la Ley 527 de 1999"? la cual establece, entre otros, las reglas principales sobre la apreciacion probatoria de los mensajes de datos en el Ambito administrativo y judiciel ' *Articulo 176. Apreciacion de las pruebas. Las prucbas ceoeré! roglas do la sana critica, sin ponuicio de las solonmidados prosortas on cfertas actos. os "2 Ley $27 de 1909 “Por medio dea enal se define y eeglamerta ola celectroico ce tax frmas digdales, se establecen las entadaces de certsicaciOn ¥ se dictan otras disposictones F abreciadas 6” Conjunto. de acuerdo con las fa loy sustancial para le oxistencio o validez de sca y nso de low aremajes abo dotes, del eomorcio Publicada en el Diatio Oficial No. 43.673, de 21 de agasto de 1399RESOLUCION NUMEROG 3 8 8 2 -DEz018 HOJANo. 7 VERSION UNICA Porta cual se resueive un Recurso de Apelacién [_versinctiveas ] Dich norma define el mensaje de datos como “La informacién generada, enviada, recibida, almacenada 0 comunicada por medios electrénicos, dpticos o similares, como pudieren ser, entre otros, of Intercambio Elecirénico de Datos (EDI), Intomet, ef correo electrénico, e! telograma, el télex 0 el telefax"™ y, asi mismo, en la aplicacién de los requisitos juridicos de los mensajes de dates establece que "Las mensajes de datos seran admisibles como mecios de prueba y su fuerza probatoria es fa otorgada en las disposiciones def Capitulo Vill dei Titulo XI, Seccién Tercera, Libro Segundo del Cédigo de Procedimiento Civil (hoy Cédigo General del Proceso). En toda actuacién administrativa 0 judicial, no se negara eficacia, velidez o fuerza obligatoria y probatoria a todo tipo de informacion en forma de un mensaje de daios. por el slo hecho que se trate de un mensaje de datos 0 en razon de no haber sido presentado en su forma original Ademés, con relacion al criterio para la valoracion probatoria de un mensaje de datas, el articulo 11 de ta norma en mencion, cispuso que “Para fa valoraciOn de fa fuerza probatoria de fos mensajes de daios a que se refiere esta ley, se terdran en cuenta fas reglas de la sana critica y demas criterios reconocides legalmente para la apreciecion de las pruebas. For consiguiente habrén de fenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado 0 comunicado el mensaje, la confiabilidad en la forma en que se haya conservado a integridad de a informacién, fa forma en ia que se identifique a su iniciador y cualquier otro factor pertinente” La Corte Constitucional dectar6 exequibles las disposiciones de la Ley 527 de 1999, argumentando que los mensajes electronicos de datos deben recibir el mismo tratamiento y valor probatorio que los documentos de papel y deben ser igualmente validos para realizar transacciones porque su naturaleza es la misma, aunque el medio por el cual se transmitan sea distinio’* En armonia con lo antetiormente expuesto, el articulo 247 del Cédigo General del Proceso, estable la manera como deben ser valoredos probatoriamente los mensajes de datos, a saber. ‘Articulo 247. Valoracion de mensajes de datos. Seran valorados como mensajes de datos fos documentos que hayan sido aportados en ef mismo formato en que fueron generados, enviades, 0 recibidos, 0 en algin otro formato que fo reproduzca con exactitud, La simple impresién en papel de un mensaje de datos serd valorada de conformidad con las regias generales de los documentos’, —Resaltaco fuera del texto-. Asu vez. la Corte Constitucional al estudiar la constitucionalidad del articulo 247 del Codigo General de! Proceso, consicerd que: Yo Lo anterior. a su vez, supone dios elementos. En primer lugar, debido a que la norma hace referencia @ fa incoiporecién de verdaderos mensajes de datos, como pruebas, af proceso, su introducoién a la actuacién presupone los equivalents funcionales’a los que Se hizo referencia con anterioridad. previstos en los articulos 6, 7 y 8 de Ia Ley 527 de * Ver literal a) del aticule 2” de la Ley £27 de 1989. * Sertencia C-662 de 2000. “...) ET mensaje de datos coro tal debe recitir 6! mismo iretamtento de fos documentos eonsignadas en papel 2s deni, debe dérsele (a misma eficacia juridiea, por cuanto el mensaje de datos comporta los inismes crtedos de un decumen'o Dentro de fas caractorsticas esencieles de! mensaje de datos encortranos que 2s ung o1eba de fe existoncia y raturaieza de /a voiuntad de (as partes de comprometerse: as un documents legible que puede sor prozantedo ante ioe Entidades pdblcas y ios Trbunales: admte su almacenamiento @ inaltereblided en e| ‘fempo; faciita fa revision y postenor audiiorla pava los fnes contables, imposttives y regiamontaros; aiimma derechos ¥ obligaciones juridicas entra los ntencnentos y es accesie para su ultorior consulta, 9¢ decir, quo a informacién on forma de daivs cenputerizadas es suscepribie de ieerse e lnkRESOLUCION NUMERO § 3 8 82 BE&z018 HOJA No. VERSION UNICA Por la cual se resueive un Recurso de Anelacian 1999, que reemplazan la exigencie esortural del documento, a necesidad de la firma y la obligacin de su aportacién en original. (ae) En contraste, e! sequndo inciso del articulo 247 C.G.P. se refiere a una situacién, aunque_relacionada, sensiblemente diferente. EI fegislador prescribo quo la ‘simple imy Yen papel de un mensaje de datos, debe ser apreciada con base en las reglas generales de los documentos. En este supuesto, una informacion originalmento creada, enviada o recibida a través de medios electrénicos, épticos totros de la misma naturaleza, es aportada al proceso, no en al mismo formato en que se transmitid, sino en un documento de papel, Cuando asi se ha presentado, ef legislador ordena_la_valoracién de esa impresién con arreglo a las mormas generales sobre fos documentos, ta La impresion de un mensaje de datos, on suma, es una mera copia de ese mensaje ¥_desde e/ punto de vista de su naturaleza, solo una evidencia documental en papel. Esta prueba documental deberd ser apreciada, como todos jos demas elementos de conviccién de esa naturaleza, conforme a las reglas de valoracion probatoria correspondiontos, previstas en el Codigo General de Proceso, en los terminos del inciso 2° del articulo 247 en mencion. (..)". -Resaltado fuera del texto- En ol presente caso no estamos valorando mensajes de dates sino impresiones en papel de los mismos y que reposan en el expediente, Estos. como Io sefiala la parte final del precitado articulo 247 y Ia jurisprudencia de la Corte Constitucional, también son medios prohatorios que deben ser valoradas observanda las regias generaies de los documentos y no con las pautas especificas de los mensajes de datos que hayan sido aportados al proceso en el mismo formato que fueron generados. En suma, segiin la regulacién colombiana la ‘simple impresién’ en papel de un mensaje de datos también es una prueba que debe ser valorada. Es estos casos le corresponde al operador juridico analizarlo y evaiuarlo conforme a las disposiciones del régimen probatorio del Cédigo General del Proceso y a las reglas de la sana critica. Esto es, precisamente, lo que se ha hecho en ia presente investigacién. Se recuerda que los documentos son medios de prueba’? que deben ser analizados “en conjunto, de acuerdo con tas regias de la sana critica’? Los documentos “emanados de las partes 0 de terceros, en original o en copia, elaborados, frmados o manuscritos, y los que contengan la reproduccién de fa voz 0 de fa imagen, se presumen auténticos, mientras no hayan sido tachados de falso 0 desconocidos, segin ef caso’ |. En este caso los documentos no fueron tachados de falso por LINIO COLOMBIA 8.4.8. El articulo 246 del Cédigo General de Proceso sefiala que “las copias tenarén el mismo valor probatorio del original, salvo cuando por disposicién legal sea necesaria la presentacion del original 0 de una determinada copia’. En el caso que nos ocupa no existe disposicién legal que exja la presentacion del original Ese mismo articulo establece que “sin perjuicio de fa presuncion de autenticidad, fa parte contra quien se aduzca copia de un documento podré solicitar su cotejo con ei original, 0 a ® Corte Constitucional. Sentencia 0-604 de 2016. MLP. Luis Ernesto Vargas Sha, “© Grr. Articulo 165 del Codigo General del Proceso * Gir Article 176 del Cédigo Genoral del Proceso * Gir Articule 244 del Cédigo General del Proceso vayRESOLUCION NUMERO 8 3 8 8 2 -DE 2018 HOJANo. 9 VERSION UNICA Porta cual se resuelve un Recurso de Apelacion falta de este con una copie expedida con anterioridad a aquella. El colejo se efectuaré mediante exhibicién dentro de fe audiencia correspondiente’. Durante la presente investigacion LINIO COLOMBIA S.A.S tampoce solicitd cotejo de las copias impresas de las comunicaciones con el originel Asi las cosas. no le asiste razon al RECURRENTE cuando argumenta que la prueba de la existencia de !os mensajes de datos no consiste en su mera impresion en papel sino en su formato criginal exigido por su régimen probatorio, toda vez que fue el propio legislador quién establecié que pueden probarse mediante una ‘simple impresién’ en papel conforme a las reglas de valoracién de los documentos. Por lo tanto, las imprasiones de correos electrénicos allegados por el reclamante constituyen prueba valida e idénea para demostrar el incumplimiento de la Ley 1581 de 2012 por parte de la sociedad LINIO COLOMBIA S.A.S en su calidad de Responsable del Tratamiento, (ici ies Hes S.A.S. respondié a la direccién electrénica desde la cual la titular del dato le present® peticiones. Esto significa que la RECURRENTE admite la existencia de las solicitudes de ella. Las comunicaciones de LINIO COLOMBIA &.A.S. de fecha 28 de mayo, 2 de junio y 30 de julio de 2015, por su parte, se originaron desde las siguicntes direcciones electrénicas corporativas: soporte.co@linio.com (folios 9 y 10) y servicioalclionte@inio.com (folio 5). Dichas respuestas, se reitera, corroboran no sélo la existencia de las peticiones de la quejosa con miras a que se suprima su direccién de correo electronico de la base de datos, de dicha empresa, sino la mora de LINIO COLOMBIA S.A.S. en eliminar el dato personal meneionaco. En consecuencia, es claro que la primera instancia en la presente actuacion administrativa realizo una debida valoracién probatoria conforme a las disposiciones que rigen la materia. 5.3 Potestad sancionadora de la Superintendencia de Industria y Comercio. Criterios de graduacion de las sanciones. El RECURRENTE reprocha que ‘...) Linio Colombia no obtuvo ningun beneficio economico de la supuesta infraccién a los deberes de Habeas Data. (...) no hubo resistencia u obstruccién a la accin investigativa de la Superintendencia de industria y Comercio. Adicionalmente, Linio no ha sido renuente 0 desacatado el cummplimiento de las Grdenes impertidas por la autoridad’ (f. 74) Asi mismo, sefiala que ‘...) “En cuanto a fa dimensién del daiio o peligro a los interesos Juridices tutelados por la Ley 1581 de 2012, no hay relacién alguna entre el supuesto defio causa a los intereses del titviar de los derechos y la sancién impuesta. Esta delegatura se limita a atfirmar que hay un dafto, ef cual se genera automaticamente por la infraccion de la norma por parte del Responsable de! Tratamiento de los Datos Personales. No obstante, ‘a afirmecion de ta autoridad es insuficiente para realizar la graduaci6n de fa sencién por rezones. En primer lugar, de la elegede infraccion no se aprecia un dario tangible en cabeza s¢ (sic) la sefiora (...). En segundo lugar, fa autoridad no tevé a cabo el analisis necesario pera determinar la dimensién del dafio y con ello establecer la correlacion entre dicho valor ye! monto de fa multa, Asi las cosas. no hay una justificacién de cémo tlegé fa SIC al monto de fa sanci6n establecido en la Resolucién. A\ respecto, frente al procedimiente para imponer las sanciones, el articulo 22 de la Ley 1581 de 2012 sefiala que “fa Superintendencia de industria y Comercio, una vez establecido ef incumpiimiento de fas cisposiciones de la presente jey por parte dei Responsable de! Tratamiento o ef Encargado de! Tratamiento, adoptaré las medidas oRESOLUGION NUMERO 8 3 8 8 2 BEze18 HOJANo. 10 VERSION UNICA Por la cual se resueive un Recurso de Apelacion impondra las sanciones correspondientes”. A su vez, el articulo 23"° fja las sanciones que puede imponer esta Superintendencia a los Responsables y Encargados del Tratamiento Revisado el expediente y el contenido de la resolucién recurrida, se encuentra entonces que fue tenido en cuenta el listado de criterios de graduacion contenido en el articulo 24 de la Ley 1581 de 2012, asi: + La dimension del dafio o peligro a los intereses juridicamente tutelados. pues efectivamente se encontré probado que vulnerd el derecho de habeas data ce la reclamante, al mantener y tratar sus datos personales en conira de su voluntad desconociendo el principio de libertad y el derecho que le asiste a los titulares de Tevocar la autorizaci6n y/o solicitar la supresion del dato * No fueron aplicados los criterios agravantes contenidos en os literales b), ¢) y e) de! mencicnade articulo 24, pues dentro de la actuacion no se encontré prueba ce lo siguiente: (i) Que se hubiere obtenido beneficio econémico algune por la comisién de la infraccién; (ii), Resistencia u obstruccién a la accién investigativa de la Superintendencia, ni (ii) Renuencia o desacato a cumplir las érdenas ¢ instrucciones de la misma. Compare este Despacho las consideraciones hechas por la primera instancia al momento de imponer la sancién, respecto de la aplicacion del agravante establecico en el articulo 24 literal c) de la Ley 1581 de 2012, relacionado con la reincidencia en la comision ce la infraccién, en la medida que LINIO COLOMBIA S.A.5. ha sido sancionada en tres (3) ocasiones previas a esta investigacion por la misma conducta violatoria de fa Ley, tal y como se puede constalar en las siguientes resoluciones: Resolucién No. 5654 del 13 de diciembre de 2016 + Sancion Multa de $241,308, 250 articulo 17 de la ley 1581 de 2012 Incumplimiento del litere! 2) ce! articulo 17 de la ley 1681 de 2012 en coneardancia con el literal e) | del articulo 8 de cicha ley. Incumplimiento del literel 2) cel articulo 17 de la ley 1881 de 2012 en concardancia con el literal €) del articulo 8 de diva ley y con ef articulo 2.222526 del decreto | 1074 Ge 2015. 38139 del 30 de junio de 2017 | Multa de $258,200,960, | 53250 del 31 de agosto de 30. Multa de $103,260,360 ‘Articulo 23. Sanciones. La Superintondencia de Industna y Comercio pocra imponer a fos Responsable del Tralainiento y Encargados del Tratamiznto las siguientas sanciones: 2) Muites de cerécier personal e instiucional hasta por el equivalente de dos ri (2.000) saiarias minimes mensuales legates vigentes al momento de la imposicién de ia sarciin. Las rultas podrin ser sucesivas mentias subsista el incumplimiento gue las origin: ) Suspension de fas actividades relacionadas con ef Tratanvento asta por un temuno de sels (6) meses. En o! acto de susponsién so ireicaran fos conectives quo so deborin adoptar €) Ciene temporal de las operaciones relacionadas con el Tratarmento una vez transcurriéo e! temnino de suspensién si gue se hubieren adopiade fos correctivos ordenados por la Syperiniencencia de insustna y Comercio: 4) Cierra inmediato y definitvo de la operacisn quo involucre ef Tratarmionta de datos sensibies Pardgrafo. Las sansiones indisadas en ef prosonte artioulo 26io aplican para las pereonce de naturaleza privada. En o! evento on ef cualle Superiniendencte de Industria y Comercio advierte un presunto incumpliniento de una autoridad publics 2 las disposiciones de la presente ley, remit Ia sewacién a ta Procurseduria Genarat de la Nacion pare quo adelante 12 ~eePRESOLUGION NUMERO §} 3 § 8 2 -DE 2018 HOJANo. 11 Por la cual se resuelve un Recurso de Apelaciin JERRONUNGA: + La Primera Instancia no tuvo en cuenta el criterio de atenuacion consagrado en el literal f) de! mismo articulo citado, pues, el RECURRENTE no reconocié 0 acept6 expresamente ‘a cemisin de la infraccion, Ahora, el mento de la multa impuesta es consecuencia del andlisis efectuado por la primera instancia, teniendo en cuenta la dimensién cel dafto o peligro a los intereses juridicos tutelados por la ley, que se traduce en que LINIO COLOMBIA S.A.S. desatendié las diferentes solicitudes de la reclamante respecto a |a eliminacion de su direccin de correo eiecironico de su base de datos y, en este sentido, mantuvo y traté los datos personales de ia titular en contra de su voluniad, incluso, fue mas gravosa la situacion para la quejosa cuando a pesar ce la respuesta favorable sobre la supresin de sus datos, la sociedad investigada continud enviéndole mensajes a su corres electrénico con fines publicitarios sin la debida autorizacion No puede convertirse en practica empresarial que el titular del dato tenga que insistir varias veces para que se garantice el respecto de sus derechos. Con una sola solicitud es suficient y le corresponde al Responsable hacer efectivo el derecho de las personas dentro de los plazos maximos legales establecidas en la ley. Los derechos de los titulares son para respetarlos en el tratamiento de datos personales y no para dilatar su cumplimiento 0 negar su efectividad en la practica. Asi las cosas, son las diferentes variables exouestas en este caso las que llevaron a la Direccién de Investigacion de Proteccién de Datos Personales, a fijar el monto de la sanci6n, acorde con lo arriba anotado. En relacién con el derecho a la igualdad, es pertinente citar lo sefialado por la Corte Constitucional en sentencia T-334 de 1998 “Con ef fin de asegurar fa debida ejecucin y aplicacion de a ley, ef poder reglamentario. reconccido a diversas auteridedes en diferentes normas de fa Constitucién constituye et instrumento para daterminar. a través de actos regiamentarios, los criterios u orientaciones que deben sequirtos funcionanies administiativos en ta apticacion de la ley, € incluso se acude @ fas flamades instrucciones de servicio para asegurar la uniformidad de la accién administrativa en lo que concieme con fa apticacion de las rormas 2 sus destinatarios, con lo cual se busca haver efectivo ef principio de a iqualdad de proteccién y wato por las autoridades. La observancia del reterido princivio en is las decisiones de J administracién en Je aplicacién de une norma deber, ser necesariamente quales, pues el dinamismo de los hechos y variedad de sitvaciones que siiven do sustonto a la subsuncién de (as hipdtesis fegales puece dar luaar a di fa detnicion_de ta situasién concrete. Es més, puede existr divergencia de interpretacién en las normas por los distintcs iuncionarios encargados de ejecutartas; inclusive ©! funcionaro puede variar su centerio sobre ta forma en que fie venido inferpretando una determinada atsposicion. En consecuencia, Io que importe, con miras o asegurar la vigencia del principio, es que las interpretaciones que se apartan de un precedente administrative se justifquen en forma razonada y sufciente para que el (rato dferente sea fegtimo”. (Subrayas fuera de texto) De lo anterior, se desprende que las decisionos de la administracién no necesariamente deben ser iguales en abstracto sino que ello dependeré de las similitudes 0 diferencias que se presenten con asuntos previamente resueltos, respecto de los supuestos facticos y juridicos planteados. Cada caso constituye una situacién particular con sujetos. hechos, vulneracién y situaciones distintas que son los que dan lugar a determinar el monto de la sancion a imponer, de ser ello procedente. En esta medida, no se comparle lo expuesto por el She?RESOLUCION NUMERO § 3 8 § 2 E2018 HOJANo. 12 VERSION UNICA Por la cual se resueive un Recurso de Apelacion RECURRENTE al reciamar la aplicacion del derecho a la igualdad con ocasion a las sanciones impuestas mediante las resoluciones a que nace mencidn, ya que e! presente caso es diferente de los resueltos a través de las msimas, Sin perjuicio de lo anterior, es claro que la Resolucién No. 28373 del 26 de abril de 2018 fue proferida con la debida observancia de los principios predicables de cualquier actuacién administrativa, los cuales se encuentran consagrados en el articulo 3 cel Cédigo de Procedimiento Administrative y de lo Contencioso Administrative, “debido proceso igualdad, imparciatidad, buena fe, moralidad, participacion, responsabilidad! transparencia, publicidad, coordinacién, eficacia, economia y celeridad’, De tal suerte que. conforme al mandato legal y a los postulades constitucioneles que inspiran la funcion administrativa, como el articulo 208 de la Conslitucién Politica de 1991. en el presente caso, la decision emitida se ajusta a derecho y es el resultado de la valoracidn factica y probatoria realizada por el Director de Investigacion de Proteccién de Datos Personaies, que dio lugar a concluir que la sociedad recurrente vulneré el derecho de habeas data de la quelosa Asi, se encuentra que la sancién impuesta mediante fa Resolucién No. 28373 cel 28 de abril de 2018 es proporcional, en primer lugar, en consideracién a los hechos que le sirvieron de causa, la motivacion del acto administrativo recurrido y los estados financieros presentados por la investigada, los cuales fueron tenidos en cuenta precisamente con el propésito de carantizer su proporcionalidad frente a la gravedad de la conducta y la capacidad de pago de la sociedad iniractora; y en segundo lugar, teniendo en cuenta el monto limite de las sanciones establecido en el articulo 23 de la Ley 1581 de 2012 es de dos mil (2.000) salarios minimos legales mensuales vigentes, por lo que, para este caso, dicha multa, equivalente 2 cuatrocientos cincuenta (460) salarios minimos legales mensuales vigentes, representa solo el 22.5% de ese limite dispuesto en la ley No sobra sefialar que la sancién aqui impuesta, tiene como objeto que la Sociedad investigada en el futuro no incurra en violaciones al derecho de habeas data de los titulares de a informacion y, en su defecto, cumpla a cabalidad con las disposiciones de 'a Ley 1581 de 2012 y demas normas que rigen el sistema de proteccién de datos personales en Colombia’ En consecuencia, el Despacho no accederé a disminuir la sancién impuesta por ia primera instancia mediante Resolucién No. 28373 del 26 de abril de 2018, por cuanto se comprobé que ¢l RECURRENTE vuineré el derecho fundamental de habeas date del reclamante ¢ incumplié el deber establecido en ol literal a) dol articulo 17 de la Ley 1581 de 2012. en concordancia con el literal e) del articulo 8 de la norma en mencién y del articulo 2.2.2.25.2.6 del Decreto 1074 de 2015 y Iiterales }) y m) de fa Ley 1681 de 2012 SEXTO: Aunque las razones anteriores son suficientes para confirmar la Resolucién No. 28373 del 26 de abril de 2018, esta Delegatura considera pertinente destacar (0 siguiente respecto de: () _ Responsabilidad personal de los administradores, y (i) Responsabilidad demostrada (accountability) y "compliance" en el tratamiento de datos personales. 6.1 Responsabilidad de los Administradores en materia de tratamiento de datos personales. El articulo 2 de la Constitucion de la Republica de Colombia de 1991 sefiala que son fines esenciales del Estado, entre otros, ‘garantizar la efectividad de los principios. derechos y debores consagrados en la Constitucién”. Nétese como la disposicién constitucional reclama se?RESOLUCION NUMERO 3 8 § 2 bE M18 HOJANo. 13 VERSION UNICA | Por fa cual se resuelve un Recurso de Apelacion que se obtengan resultados positives y concretos respecto de, entre otros, los derechos constitucionales como, por ejemplo, el debido tratamiento de datos personales ola proteccin de datos previsto en el articulo 15 de la Carta Politica, La efectividad de los cerechos humanos es un asunto de gran importancia en la sociedad a tal punto que es una exigencia de naturaleza constitucional y del mas alto nivel en ei ordenamiento juridico. Por eso, el citado articulo ordena que las “autondades de la Reptiblica estan instituidas para proteger a todas las personas residentes en Colombia, en su vida, honra, bienes, creencias, y demas derechos ¥ libertades, y para asegurar ef cumplimiento de los deberes sociales del Estaco y de los particulares" Como es sabido, la Constitucién Politica de Colombia establece en el articulo 333 que “la actividad econémica y la iniciativa privada son libres, dentro de {os Iimites del bien comin’. Dicho “bien comin’ se refiere a cusstiones relevantes para una sociedad como, entre otros, la proteccién de los derechos humanes porque son imprescindibles para que cualquier ser humano sea tratado como una ‘persona’ y no como un objeto o cosa En linea con lo anterior, nuestra Carta Politica recalca que la “bre competencia economica es unl derecho de todos que supone responsabilidades” y que la “empresa, como base de! desarrollo, tiene una funcién social que implica obligaciones’. Como se observa, |a actividad empresarial no puede realizarse de cualguier manera y en el mundo empresarial no tiene cabida juridica le afirmacién segtn ia cual el “fin justifica los medios’. En efecto, no se trata de una libertad ilimitada, sino de una actividad "restringida’ porque no sdlo debe ser respetuosa del bien comin, sino que demanda el cumplimiento de obligaciones constitucionales y legales El bien comtin a que se refiere el precitado articulo 333 exige que, entre otras, la realizacién de cualquier actividad economica garantice, entre otras, los derechos fundamentales de las personas. Es por eso que la Constitucién pone de presente que ia participacion en el mercado supone responsabilidades y que efectuar actividades empresariales implica cumplir con las obligaciones previstas en la ley. Ahora bien, segiin el articulo 22 de la ley 222 de 1995” la expresion administradores ‘comprende al “representante legal, el liquidador, ef fector, los miembros de juntas 0 consejos directivos y quienes de acuerdo con jos estatutos ¢jerzan o detenten eses funciones’ Cualquiera de ellos tiene la obligacién legal de garantizar los derechos de los titulares de los datos y de cumpiir la ley 1581 de 2012 y cuatquier otra norma, Es por eso que el articulo 23 de la ley en mencién establece que tos administradores no solo deben “obrar de buena fe, con fealtad y con Ia diligencia de un buen hombre de negacios”, sino que en el cumplimiento de sus funciones deben “velar por ef estricto cumplimiento de fas disposiciones fegales o estaiutarias™" (subrayamos) Obsérvese que la regulecién no exige cualquier tipo de cumplimiento de la ley, sino uno calificado, es decir, estricto 0 ejustado con exactitud a lo establecido en la norma, Velar por el estricto cumplimiento de Ja ley exige que los administradores actien do manora muy profesional, diligente y proactiva para que en su organizacién la regulacién se cumpla de manera teal (no formal), efectiva y rigurosa. Por eso, los administradores deben cuidar con esmero este aspecto y no sdlo Ser guardianes sino promotores de la correcta y precisa aplicacion de la ley. Esto, desde luego, implica que los administradores deben verificar permanentemente si la ley se esta cumpliendo en todas las actividades que realiza su empresa v organizacién "Ley 222 de 1096 "Por ia cual oe modiiiea el Libra II del Codigo de Camersio, se expide un nuevo régimen de procesos concuisales y se dian otras disposiciones’ Numerai 2 dal aticule 22 de Ia ley 222 de 1995REsOLUCION NUMERO § 3 8 82 pezers HOJANo. 14 VERSION UNICA Porla cual se resuelve un Recurso de Apeiacién Nétese que el articula 24% de la ley en comento presume fa culpa del administrador “en Jos casos de incumplimiento 0 extralimitacion de sus funciones, violacion de fa ley 0 de fos estatufos’. Dicha presuncion ce responsabilidad exige que ios administradores estén en capacidad de probar que han obrado con lealtad y la diligencia de un experto, es decir. como un “buen hombre de negocios’ tal y como lo sefiala el precitado articulo 23. Adicicnalmente, no debe parderse de vista que los acministradores juridicamente responden “solidaria ilimitadamente de los perjuicios que por dolo 0 culpa ocasionen a la sociadad, a los sacios 0 a terceros”®> Todo lo anterior pone de presente no solo el alto nivel de responsabilidad juridica y economica en cabeza de los administradores, sino el enorme profesionalismo y diligencia que debe rodear su gestidn en el tratamiento de datos personales. 6.2 Responsabilidad demostrada (Accountabil datos personales ity) y “Compliance” en el tratamiento de La tegulacién colombiana le impone al Responsable o al Encargado del tratamiento la responsabilidad de garantizar la eficacia de los derechos del titular del dato, la cual no puede ser simbélica ni formal, sino real y demostrable. Téngase presente que segtin nuestra jurisprudencia “existe un deber constitucional de administrar correctamente y de prateger fos archivos y bases de datos que contengan informacién personal o socialmente refevante”*, Adicionalmente, los Responsables o Encargados del iratemiento no son duefos de los datos personales que reposan en sus bases de datos o archivos. En efecto, ellos son meros tenedores que estén en el deber de administrar de manera correct, apropiada y acertada la informacién de las personas porque su negligencia o dolo en esta materia afecta los derechos humanos de los titulares de los datos. En virtud de lo anterior, el capitulo Ill del Decreto 1377 del 27 de junio de 2013 -incorparado en el decreto 1074 de 2015- reglamenta algunos aspectos relacionados con el principio de responsabilidad demostrada. E| articulo 26% -titulado DEMOSTRACION- establece que ‘/os El texto completo del altculo 24 de la ley 222 de 1965 dee lo siguiente: “Articulo 24. RESPONSABILIDAD DE LOS ADMINISTRADORES El articulo 260 det Cédigo de Comercio quedar’ ast Attioulo 200. Los administradores responderan soidaria e iimitacamente de los neguicios que por dolo 0 culpa ocasionen ‘31a sociedad, 2 Jos socios 0 a terceros. [No esfarin sujetos a diche responsablided. quienes no hayan ienide conecirrienio de a accién v emisién 0 hayan volade fen conta, siempre y cuando no ia ejecuten. En los casos de incumpliniento 0 extalimilacién de aue funciones. violacién de la ley © do los estatutos, se presumiré la ‘culpa des administrador. De igual menera se presumitd fa culpa cuando los ecinin'svradores hayan propuesto 0 sjecutado fa decision sonre distribucién de utiidades en cantrevencisn a io preserito en o) articuio 154 del Cédigo de Comercio y demés normias sobre a materia. En estes casos el administrador responders por ls curs dejades de repariro aisinbuiéas en exceso y por los peruicins a que haya lugar. Siel administrador legal s persona jurkive, a responsabilidad resnectiva sord de ella y ce quien actle como su representante Se tendran porno escnlas fas clausulas de contrat sociat. que tiendan a absolveralosadminictradoresdctasro sponsabiiéadesantedichasoalimitaras al inoorte de las caucionss que hayan prestado ara ejercer sus cargos.” "Cir Parts inicial dal rticulo 24 dea ley 22 de 1005, 21 Gf Corte Constitucional, sentercia T-227 de 2008 © El texto completo del articulo 26 dal dectelo 1377 de 2013 ordena 10 siguiente: Articula 25. Demostracibn. Los responsables del tretomiiento de datos personales dehen ser capaces de demostiar, a peticibn de la Supevintendencia deRESOLUCION NUMERO § 3 8 62 DE2e18 HOJA No. VERSION Por fa cual se resuelve un Recurso de Apelacion responsables del tratamiento de datos personales deben ser capaces de demosirar, a peticion de ia Superintendencia de Industria y Comercio, que han implementado medidas apropiades y efectivas pera cumplir con las obligaciones establecidas en la Ley 1581 de 2012" y dicho decreto, Nétese como le corresponde al Responsable 0 al Encargado probar que ha puesto en marcha medidas adecuadas, utiles y eficaces para cumplir la regulacion. Lo anterior significa que un administrador no puede utilizar cualquier tipo de politica 0 herramienta para dicho efecto sina sdlo aquellas que sirvan para que las postulados legales no sean meras elucubraciones tedricas sino realidades verificables. El articulo 27 -denominado POLITICAS INTERNAS EFECTIVAS-. por su parte, exige que los Responsables implementen medidas efectivas y apropiadas que garanticen, enire otras, lo siguiente: *(...} 3. La adopcién de procesos para la atencién y respuesta a consulias, peticiones y reclamos de jos Tituiares, con respecto a cualquier aspecto det tratamionto."26 Respecto de la supresién del dato. el articulo 18 sefala que los procedimientos para dicho efecto deben incluirse en ta politica de tratamiento de informacion y ser informados a los titulares de los catos?”, El articulo 22, por su parte, establece que el Responsable o Encargado del tratamiento cebe adoptar “las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean (...) actualizados, reotificados 0 suprimidos, (..)"*°. Obsérvese que la norma exige que se asegure, entre otros, la supresion de los datos lo cual implica que la obligacién legal no es de medio sino de resultado, en esie caso, la eliminacién definitiva del dato personal cuando esta sea procedente a la luz del ordenamiento juridico. Con el propésito de dar orientaciones sobre la materia, la Superintendencia de Industria y Comercio expidid el 28 de mayo de 2015 la “Gufa para implementacién del principio de responsabilidad demostrada (accountability)"®. El término “accountability” proviene del mundo anglosajon® y a pesar de las diferentes acepciones que puedan darse sobre el significado del mismo, se ha entendido que en la arena de la proteccién de datos dicha expresion se refiere al modo como una organizacion debe cumplir en la practica las Industria y Comercio. que han implementado med:das ap:opiadas y efeciivas para cumplir con les obligaciones establecidas tenia Ley 1581 de 2012 y este desralo, en una manera que sea propercicnal alo siguionte ‘La naturaleza juridica del responsable y, cuanda sea de! caso, su tamafio empresarial, tenlenda en cuenta sisa trata de una mic, pequefia, mediana o gran empresa, de acuerdo con la normativa vigente, 2. La returaleza de los eatos personales cbjeto del tratamiento, 3. tipo do Tratamionto. 4, Los riesgos potenciales que el referido trtamiento pocrian causar sobre los derechos de los tkuares. En respuesia a un requerimieno de la Superintendencia de Industria y Comercio, ios Responsables deberén suministrar @ esla una ¢escrincion de fs prooedimiantos usados para la racoleccién de los datos personales, como amin la descripcién de ine finafdades para les cuales esta informacién es recoiectada y una expicacion sobre le relevencia de los datos personales en caca caso. En respuesia a un requeriniento de la Superinvencenda ve Industia y Comeicio, quienes efectiien el Tratamiento de los dates personales deberan suministrar a esia evdenca sobre la implemeniacién efactiva ce las medidas de seguridad apropindse™ "El texco completo del aricu0 27 del decreto 1377 de 2013 sefaia lo que sigue a conthuacion: % Bl texto completo del aiticulo 18 del decrato 1377 de 2013 sefiala lo siguionto: “ARTICULO 18 PROCEDIMIENTOS PARA EL ADECUADO TRATAMIENTO DE LOS DATOS FERSONALES. Los procedimrientos de aoceso, actuatzacion, ‘supresion y roctiicacion ce datos personales y de revocatoia de la autorizecién debon darso a conoser 0 ser facimente 88 a 0s Ttuiares de fa informacion e inclirse en le politica de tratamiento de la informacion. * | testa completo del articulo 22 del decteta 1377 de 2013 ordena lo cue sigue a continuscion”” ARTICULO 22. DEL DERECHO DE ACTUALIZACION, RECTIFICACION ¥ SUPRESION, En desarrollo de! pricipio de veracidad a calidad, en ef tratamiento ce fos datas personales ceberan adopta/se fas mediaas razanables para asequrar quo fos datos perscnales ‘quo reposan on Jas bases de datos sean precises y sulicientes y, cvando asi fo solicite 0! Ttular © cuando el Responsable aya podao avveitilo, sear eciusizados, reciifcados 0 supsiniGos, ce fal manera que salisfagan os plopésitas del iratenienio’ 3°51 texto de la guia suede consullarse en’ hitovlvm sic.gov colsites Mefeuilfiles/fles/P ublicacionesiGuia ‘Accountablity.oct © Cfr. Grupo de trabajo de proteccién de datos del articulo 29. Dictamen 3/2010 sobre el principio de responsabilidad, pag. 8RESOLUCION NUMERO § 3 8 82 BE 2618 HOJANo. 16 VERSION UNICA Por la cual se resueive un Recurso ce Apelacion Tegulaciones sobre el tema y a la manera como debe demostrar que la hacho es stl pertinente y eficiente En linea con lo anterior, la precitada guia recomienda lo siguiente a los obligados a cumplir la ley 1581 de 2012: (1) Disefiar y poner en marcha un programa integral de gestién de datos (en adelante PIGUP), lo cual exige compromisos y acciones concretas de los directivos de la organizaci6n, asi como la implementacion de controles de diversa naturaleza que se enuncian en el texto de la gula (2) Desarrollar un plan de revision, supervision. evaluacion y contrcl del PIGDP, y (3) Demostrar e! debido cumplimiento de la regulacion sobre tratamiento de datos personales. El principio de responsabilidad demostrada —accountability- demanda implementar acciones de diversa naturaleza"' para garantizar el correcto cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. El mismo exige que los Responsables y Encargados del tratamiento implementen medidas apropiadas, efectivas y verificables que le permitan evidenciar la observancia de las normas sobre la materia, Dichas medidas deben ser objeto de revision y evaluacion permanente para medir su nivel de eficacia y el grado de proteccién de los datos personales El principio de responsabilidad demanda menos retorica y més accién en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. Este exige implementar acciones concretas por parte de las organizaciones para garantizar el debido tratamiento de los datos personales. El éxito del mismo depencera del compromiso real de todos los miembros de una organizacién pero, especialmente, de los directivos de las organizaciones ya que sin su apoyo franco y decidide todo esfuerzo sera insuficiente para disenar, implementar, revisar, actualizar y evaluar los programas de gestion de datos. Adicionalmente, e| reto de las organizaciones frente al principio de responsabilidad demostrada va mucho més alla de ia mera expedicién de documentos o redaccin de politicas porque exige que se demuestre el cumplimiento real y efectivo en la practica cuando realizan sus funciones. En este sentido, desde el afio 2006 la Red Iberoamericana de Proteccién de Datos (RIPD) ha puesto de presente que “a autoegulacion soo redundara en beneficio real de las personas en ia medida que sea bien concebide, aplicada y cuente con mecanismos que garanticen su cumplimiento de manera que no se constituyan en meras declaraciones simbélicas de buenas intenciones sin que produzcan efectos coneretos en la persona cuyos derechos y libertades pueden ser lesionados o amenazadis por el tratamiento indebido de sus datos personales’® (Destacamos) El principio de responsabilidad demostrada busca que los mandatos constitucionales y legales sobre tratamiento de datos personales sean una realidad verificable y redunden en beneficio de la proteccién de los derechos de las personas. Por eso, es crucial que los administradores de las organizaciones sean proactivos respecto del tratamiento de la informacion de manera que por iniciativa propia adopten medidas estratégicas capaces de 5 Eatae medidas pueden oer de naturaleza administativa,erganizaconal, esvatégeca, tecnciégice, numanas y de gestién que involucran procesos y procedimientos © Cf. Red lberoamericana de Proteccién de Datos, Gripo de trabajo temporal sobre autorregulacién y protescion de datos personales. Mayo de 6 de 2006. En aquel entonces, la RIPD expiolo un documento sobre ‘autorregulacién y proteccién de datos personales que guiarda cercana relacion con ‘eecountabilty’ en la meaide que la materializacion del msmo dapende, en gren patte, de Io que intemamente reaicen ias organizaciones y definan en sus politicas o regulaciones interesRESOLUCION NUMERO § 3 8 82 Deas HOJANo. 17 VERSION UNICA Por la cual se resueive in Recurso de Apetacién garantizar los derechos de tos titulares de los datos personales y su gestion siempre sea respetuosa de los derechos humanos Aunque no es espacio para explicar cada uno de los anteriores aspecios mencionados en la guia®®, ponemos de presente que el principio de responsabilidad demostrada se articula con el concepto de “compliance” en la medida que éste hace referencia al “conjunto de procedimientos y buenas précticas adoptades por las organizaciones para identificar y clasificar los riesgos operatives y legales a los que se enfrentan y establecer mecanismos intermos de prevenci6n, gestién, control y reaccién frente a ios mismos’®. También se ha afirmado que “compliance es un témino que hace referencia a fa gestion de las organizaciones conforme a las obligaciones que le vienen impuestas (requisilos regulatorios) o que se ha autoimpuesto (éticas)"**. Adicionamente se precisa que ‘ya no vale solo intentar cumplir” fa fey sino que las organizaciones ‘deben asegurarse que se cumple y deben generar evidencias de sus esfuerzos por cumplir y hacer cumplir a sus miembros, bajo la amenaza de sanciones si no son capaces de ello. Esta exigencia de sistemas més eficaces impone la creacién de funciones especificas y metodologias de compliance’. En virtud de lo anterior, las organizaciones deben “implementar el compliance” en su estructura empresarial con miras a acatar las normas que inciden en su actividad y demostrar su compromiso con la legalidad. Lo mismo sucede con “accountability” respecto del tratamiento de datos personales La identificacian y clasificacién de riesgos, asi como la adopcion de medidas para mitigarlos son elementos cardinals del compliance y buena parte de lo que implica el principio de responsabilidad demostrada (accountability), En la mencionada guia se considera jundamentai que las organizaciones deserrcllen y pongan en marcha, entre otros, un “sistema de adminisiracion de resgos asociacos al tratamiento de datos personales"®” que les permita “identificar. medir, controlar y monitorear todos aquollos hechos o situaciones que puedan incidir en la debida administracién del resgo a que estan expuestos en desarrollo del cumplimiento de las normas de proteccién de datos personales". La debida administracion de datos implica, entre otras cosas, el respeto y garantia de los detecros de tos titulares de los datos, En otras palabras, el tratamiento de datos que desconozca los derechos de tos titulares no es consistente con la Constitucion ni fa ley. Ese tipo de administracion no es admisible a a luz de la regulacién colombiana y no puede convertirse en una practica empresarial ni es tolerable por las autoridades que, se repite segin el articulo 2 de la Constitucién “estan instituidas para proteger a todas las personas residentes en Colombia, en su vide, honra, bienes, creencies, y demas derechos y libortades (a) No es una buena practica ni puede tolerarse que el titular del dato deba rogare insistir varias veces al Responsable o al Encargado para que respete sus derechos como, en este caso, la supresian 0 eliminacion de la informacion. Tampoco puede convertirse en costumbre que los Responsables 0 Encargados esperen se! sancionados o recibir instrucciones de las El texto de la guia puede consutarse en: hitc/iwww siz gov.enisitesAefeut Accouniablity.pat & Cir, Worla Compliance Acesciation (WOA). htp:/www.wortdeorotanceassaciation.comt (ilime consuite: 8 de noviembre de 2018) Cir. Benatt, Franeisen. Va siendo oma cue se nable correetumente de compliance (i) Entrevista del § de noviembre de 2018 pudlicada en Cenal Complienee: hip /wwn.canal-complianee,com-2018' L105 va-siendo-hora-que-se-hahke- conrectamente-de-compliencs-iis en © fr: Supenntendencia de Industna y Comercio 2015) “Guia para implementaciin del principio de responsabilidad les/fles/PublicacionesiGus * Ibie, P16 demostrada faccounrabilty) Pags 15-18RESOLUCION NUMERO 8 3 8 82 beans HOJANo. 18 VERSI Por la cual se resuelve un Recurso de Apelacion SIONUNICE auttoridades por incumplir sus obligaciones legales cama |o es, entre otros, el garantizar la efectividad de los derechos de los titulares de los datos Dada su relevancia con el tema, nos permitimos recordar aigunos mandatos constitucionales relacionados con el cumplimiento de la ley, el respete de los derechos humanos y las responsabilidades que implica el ejercicio de las libertades y los derechos. Todos ellos tienen plena aplicabilidad en el tratamiento de datos personales. Primero: toda persona y ciudadano tiene el deber de “respeiar los derechos ajenos y no abusar de fos propios”*®.; ‘Segundo: ‘el ejercicio de ios derechos y Iibertades reconocidos en esta Constitucion implica responsabilidades"° Tercero: la realizacién de la actividad empresarial “implica obligaciones”** Cuarto: “foda persona esta obligada a cumplir la Constituci6n y las loyes” ®. Quinto: “es deber de los nacionales y de los extranjeros en Colombia acatar la Constitucién y las leyes, y respetar y obedecer a jas auforidades"® < Sexto: “En a recolecci6n, tratamiento y circulacién de datos" se debe respetar ‘Ia libertad y demas garantias consagradas en la Constitucin’ “4, (Destacamos) La expresion “fibertad’ consiste en la facultad que tiene el titular del dato de no solo autorizar el tratamiento de su informacién sino de, entre otras, solicitar su supresién o eliminacién total y definitiva, cuando ésta soa procedente eagiin Ie ley Dicha libertad ha sido denominada por la Corte Constitucional como la “libertad informatica y tiene como propdsito dotar a la persona de herramientas de dominio y control sobre sus datos personales, asi como evitar eventuales abusos del pader informatico que ostenta quien trata datos personales frente a los titulares de los mismo. En este sentido en la sentencia T- 414 de 1992 la Corte sefialé lo que sigue a continuacin “Come necosario contrapeso, esto nuevo poder ha engondrado la libertad informatica. Consiste ella en fa facultad de disponer de la informacion. de preservar la propia identidad informatica es decir, de pemitir, controlar o rectificar los datos concernientes a la personalidad del titular do los mismos y que, como tales, lo identifican o individualizan ante los demés. Es. como se ve, una nueva dimensién sacial ce la libertad individual diversa, y por razén de las oircunstancias que expican su aparicién, de otras cldsicas manifestaciones de Ja libertad. "* En virtud de todo lo anterior, EXHORTAMOS a los representantes legales de LINIO COLOMBIA $.A.S para que adopte medidas pertinontos, utiles, efectivas y verificables con miras a: 1) Evitar que se repitan hechos como los que dieron origen a la presente investigacion 2) Respetar y garantizar los derechos de los titulares de los datos. ® Gfr Artcula 85 de la Corstitucion Politica de Colombia © Gtr Artculo 95 de la Constitucién Politica de Colombia «Gtr Articula 383 de fz Constitucion Poliica de Colombia “2 Cfr Artculo 95 de la Constitucion Politica de Colombia © Gir Articulo 4 de la Conaitucién Politica de Colombia Gtr Ariculd 19 de la Consttucion Poltica de Colombia Cf Corte Constitucionul, sentercia T-414 del 16 de junio de 1992, et19 RESOLUCION NUMERO § 3 § § 2 DE2018 HOVA No. VERSION UNICA, Por la cual se resuelve un Recurso de Apslacion 3) Dar estrioto cumplimiento de les disposiciones legales y estatutarias sobre tratamiento de dates personales. 4) Aplicar el principio de responsabilidad demostrada, observando las orintaciones de la Superintendencia de Industria y Comercio incorporadas en la “Guia para implementacién del principio de responsabilidad demostrada (accountability)"*". Especial énfasis se debe hacer en utilizar mecanismos de monitoreo y control que permitan comprobar la efectividad de las medidas adoptadas para garantizar en la praotica los derechos de los ttulares de los datos personales. 5) Hacer efectivo el pleno respete del cerecho fundamental a la proteccién de datos de las. personas. SEPTIMO: Que analizadas todas las cuestiones planteadas, se encuentra que no fueron desvituados los argumentos que fundamentaron la resolucion impugnada y teniendo en cuenta lo dispuesto por el articulo 60 del Codigo de Procedimiento Administrative y de lo Contencioso Administrative, este Despacho confirmara fa decisién contenida en la Resolucion No. 28373 del 25 de abril de 2016. En mérito de lo expuesto, este Despacho, RESUELVE: ARTICULO PRIMERO: Confirmar en todas sus partes la Resolucién No. 28373 del 26 de abril de 2018, de conformidad con lo expuesto en la parte motiva del presente acto administrativo, ARTICULO SEGUNDO: Exhortara los Representantes Legales de LINIO COLOMBIA S.A.8 LUIS EDUARDO LOPEZ FORERO, C.C. €0.133.789; ANDRES ECHEVERRY URIBE, C.C. 80.089.035 y DIEGO ALBERTO NAVARRO NAVAS, C.C. 80.089.378; para que adopten las medidas pertinentes, tttiles, ofectivas y verificables con miras a: a) Evitar que se repitan hechos como los que dieron origen a la presente investigacién. b) Respetar y garantizar los derechos de |os titulares de los datos. ©) Dar estricto cumplimiento de las disposiciones legales y estatutarias sobre tratamiento de datos personales. d} Aplicar el principio de responsabilidad demostrada, observando las orientaciones de la Superintendencia de Industria y Comercio incorporadas en la “Guia para implementacién del principio de responsabilidad demostrada (accountability)” Especial énfasis se debe hacer en utilizar mecanismos de monitoreo y control que permitan comprobar la efectividad de las medidas adoptadas para garantizar en la practica los derechos de los titulares de los datos personales. 2} Hacer efectivo el pleno respeto del derecho fundamental a la proteccién de datos de las personas. El texto de la guie suede consultarse en: liovmu.sic.aov.co/sites/defaulflestfies/Publicaciones/uia- TayRESOLUCION NUMERO § 3 § 82 vEzm8 HOJANo. 20 VERSION UNICA Por la cual se resueive un Recurso de Apelacion - ARTICULO TERGERO: Notificar personalmente en contenido dé fa presente decision a la sociedad LINIO COLOMBIA S.A.S., identificado con el NIT 900.499.352-8, a través de sus representantes legales 0 apoderado, entregandoles copia de la misma e informandoles que contra el presente acto administrative no procede recurso alguno. NOTIFIQUESE Y CUMPLASE DadaenBogota.D.c. |4.5 NOV 2078 EI Superintendente Delegado para la Proteccién de Datos Personales, NELSON REMOLINA ANGARITA NOTIFICAGION: Investigada: Entiaad: LINO COLOMBIA S.A.S, Icentifcacion Nit 900.499.302-8 Representantes Legales: LUIS EDUARDO LOPEZ FORERO CC. 80,133.769 ANDRES ECHEVERRY URIBE C.C. No. 80.089 035 DIEGO ALBERTO NAVARRO NAVAS C.C, 80,089.376 Direccion: Calle 99 No. 14 - 49 Piso @ Ciudad Bogoté D.C. Correo electronica: hotificaciones@inio. com