lunes, 9 de marzo de 2020

El Delegado de Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) acaba de proferir una decisión administrativa de gran trascendencia que merece ser resaltada (caso Facebook, Resolución 4885 de 2020). En ella la entidad ratifica íntegramente el contenido de una decisión de enero de 2019 en la que se le impartían órdenes relacionadas al robustecimiento de sus esquemas de seguridad, con ocasión del conocido caso de Cambridge Analytica y otros casos de acceso irregular a la información personal de sus usuarios.

A continuación encuentran mi resumen (interpretación libre) de los principales argumentos de la autoridad y de los contrargumentos del recurrente:

SIC: En virtud de lo previsto en los articulo 19 y 21 de la ley 1581 de 2012, la autoridad cuenta con competencia amplia para hacer efectivo el derecho de habeas data. Todo el que haga tratamiento de datos está obligado a cumplir la Constitución Política y la definición de “tratamiento” es omnicomprensiva lo que incluye, entre otras cosas, la publicidad o el marketing. La SIC es competente, por ende, frente a Facebook SAS (En adelante FB Colombia), aún cuando su actividad se limita al mercadeo.

FB: La SIC no tiene competencia frente a FB Colombia, cuya actividad es ajena a funciones de tratamiento de datos.

FB: la SIC no cumplió con las etapas procesales propias del procedimiento sancionatorio y violó el debido proceso.

SIC: Las sanciones son únicamente las establecidas en el artículo 23 de la Ley Estatutaria 1581 (multa, cierre temporal o definitivo, otras). Impartir órdenes no es el ejercicio de una función sancionatoria, por la que la actuación no tiene ese carácter y se sigue por el procedimiento general previsto en los artículos 34 y siguientes de la ley 1437 de 2011. La facultad de impartir instrucciones no distingue si las mismas son ex ante o ex post.

FB: Se violaron derechos fundamentales con la publicación de la decisión antes de notificación en la página web de la SIC y en medios de comunicación.

SIC: Los artículos 3 (principio de divulgación proactiva) y 73 de la Ley 1437 autorizan la publicación de actos administrativos que afecten a terceros o que revistan un interés público. La decisión impacta al menos a las 146.697 personas ubicadas en el territorio colombiano que se vieron afectadas por el caso de Cambridge Analytica.

FB: FB Colombia no es responsable por las acciones u omisiones de su matriz FB Inc., ni tendría forma de cumplir las órdenes, porque no controla la plataforma ni los datos de los usuarios de FB.

SIC: Está probada la situación de control. Está probado que existe una relación material entre ambas compañías y que el poder de decisión de la sociedad colombiana depende de la voluntad de su controlante. No obstante que se imparten ordenes dirigidas a FB SAS Colombia y a FB Inc, el presente trámite no implica levantamiento del velo corporativo, ni una forma de extensión de la responsabilidad patrimonial de la sociedad colombiana.

SIC: Se da por probado que la recolección de datos personales de los usuarios de la plataforma de Colombia sucede en muy alto grado en el territorio colombiano, lo que hace a las autoridades colombianas competentes, en virtud de la Constitución.

La sociedad colombiana, si bien no ejerce el mismo grado de control que la matriz, no es ajena al funcionamiento de la plataforma y, por ende, es corresponsable del tratamiento, pues participa del mismo cuando asesora a las compañías que buscan invertir en la publicidad de la plataforma.

FB: La sociedad colombiana carece de capacidad legal para cumplir las órdenes impuestas.

SIC: Las facultades legales no dependen del objeto social de sus destinatarios.

Y remata la SIC: En razón a la cantidad de información que maneja FB tiene el deber de ser “más que diligente” en el tratamiento de datos.