Las órdenes de la SIC a FACEBOOK (Res. 1321 de 2019)
miércoles, marzo 27th, 2019Superindustria ha emitido varias órdenes de tipo preventivo a FACEBOOK contenidas en la resolución 1321 del 24 de enero de 2019 y a través del Director de Investigación de Protección de Datos Personales, de la Delegatura para la Protección de Datos Personales. Esta resolución tiene recursos. Fueron motivo de estas órdenes, entre otros:
“En suma, los datos personales que recolecta Facebook en Colombia o sobre personas residentes
o domiciliadas en Colombia son compartidos globalmente con muchas empresas y clientes de
Facebook. Esto implica que los datos personales reposan y circulan a través de una infraestructura
tecnológica global ubicada y distribuida en muchos países del mundo. Facebook decide en qué
países ubican su infraestructura tecnológica y las medidas de seguridad de sus millones de
usuarios.Dada la circulación transfronteriza que realiza Facebook de la información de los colombianos, las
fallas de seguridad que suceden en otros países afectan o puede afectar la información de las
personas residentes o domiciliadas en la República de Colombia, cuyos datos son recolectados y
tratados por Facebook.” (tomado de los considerandos de la Res 1321 de 2019 SIC )
El texto de la parte resolutiva de la Res 1321 de 2019 SIC es el siguiente, según se lee en http://www.sic.gov.co/sites/default/files/files/Noticias/2019/Res-1321-de-2019.pdf:
“ARTiCULO PRIMERO: ordenar a Facebook Inc., Facebook Colombia SAS y Facebook Ireland Limited (en adelante Facebook) que procedan a realizar o implementar Io que sigue a continuación respecto del tratamiento de los datos personales de las personas naturales residentes o domiciliadas en la República de Colombia y que son usuarias de los servicios de dichas empresas (Facebook), o sobre las cuales Facebook trata, directa o indirectamente, la citada información.
1. Facebook deberá adoptar medidas nuevas, necesarias, apropiadas, útiles, eficaces y demostrables para cumplir el cien por ciento (100%) de lo que exige el principio y el deber de seguridad en la regulación colombiana, a saber.
a) Garantizar la seguridad de los datos personales, evitando Io siguiente respecto de los mismos:
(i) Acceso no autorizado o fraudulento
(ii) Uso no autorizado o fraudulento
(iii) Consulta no autorizada o fraudulenta
(iv) Adulteración no autorizada o fraudulenta
(v) Pérdida no autorizada o fraudulenta
2. Facebook deberá mejorar o robustecer las medidas de seguridad que ha implementado a la fecha de expedición de la presente resolución para cumplir el cien por ciento (100%) de lo que exige el principio y el deber de seguridad en la regulación colombiana, a saber:
a) Garantizar la seguridad de los datos personales. evitando Io siguiente respecto de los mismos:
(i) Acceso no autorizado o fraudulento
(ii) Uso no autorizado o fraudulento
(iii) Consulta no autorizada o fraudulenta
(iv) Adulteración no autorizada o fraudulenta
(v) Pérdida no autorizada o fraudulenta
3. Facebook deberá desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad. confidencialidad e integridad de los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito, ser sujeto a pruebas periódicas para evaluar su efectividad. y tener en cuenta, como mínimo, Io siguiente:
(i) los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;
(ii) el tamaño y la complejidad de las operaciones de Facebook;
(iii) la naturaleza y el ámbito de las actividades de Facebook;
(iv) la categoría y cantidad de titulares;
(v) la naturaleza de los datos personales;
(vi) el tipo de tratamiento de los datos personales;
(vii) el alcance, contexto o fines del tratamiento;
(viii) el uso de los datos personales por terceros, entre ellos, aliados comerciales, empresas asociadas y desarrolladores de Aplicaciones;
(ix) el uso innovador o aplicación de nuevas soluciones tecnológicas; y,
(x) los riesgos para los derechos y libertades de las personas,
4. Facebook deberá desarrollar, implementar y mantener evaluaciones de impacto en la protección datos personales (o evaluaciones de impacto en privacidad), «DPlAs’ o «PIAs» por sus nombres en inglés, que evalúen los riesgos inherentes al tratamiento de dicha información respecto del uso de la plataforma web o la Aplicación móvil complementaria de Facebook, sus productos, o cualquier otro medio a través del cual Facebook recolecte, use o comparta datos personales. Las evaluaciones deberán constar por escrito y estar disponibles en caso que las requiera esta Dirección. Las mismas, deberán tener en cuenta, como mínimo, Io siguiente:
(i) los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;
(ii) el tamaño y la complejidad de las operaciones de Facebook;
(iii) la naturaleza y el ámbito de las actividades de Facebook;
(iv) la categoría y cantidad de titulares;
(v) la naturaleza de los datos personales;
(vi) el tipo de tratamiento de los datos personales
(vii) el alcance, contexto o fines del tratamiento;
(viii) el uso de los datos personales de los usuarios por terceros, entre ellos, aliados comerciales, empresas asociadas y desarrolladores de Aplicaciones;
(ix) el uso innovador o aplicación de nuevas soluciones tecnológicas; y,
(x) los riesgos para los derechos y libertades de las personas,
5. Facebook deberá desarrollar, implementar y mantener un programa de gestión y manejo de violaciones de seguridad en datos personales, que contemple procedimientos para informar sin dilación indebida a esta Autoridad de protección de datos y a los titulares de los mismos cuando se presenten incidentes que afecten la confidencialidad, integridad y disponibilidad de los datos.
6. Facebook deberá desarrollar, implementar y mantener las medidas necesarias para impedir el acceso por parte de terceros, incluido, pero no limitado a, aliados comerciales, empresas asociadas o desarrolladores de Aplicaciones, a: (i) los datos personales de los usuarios y la de sus contactos o «amigos», sin su consentimiento, o (ji) información que no sea necesaria para el servicio o producto adquirido por los usuarios, para el funcionamiento de la Aplicación.
7. Facebook deberá modificar sus configuraciones de privacidad, de tal manera que estas le permitan a los usuarios: (i) controlar, de forma sencilla, fácil y rápida, el tipo de información que desean compartir con las Aplicaciones: (ii) conocer las Aplicaciones con las cuales se está compartiendo su información; (iii) acceder a las políticas de protección de datos (o privacidad) de las Aplicaciones y poder desactivar estas últimas para que no accedan a su información personal.
8. Facebook deberá desarrollar, implementar y mantener medidas que garanticen de manera efectiva la devolución o supresión de los datos personales, una vez finalizado el tratamiento de los mismos por parte de terceros tales como aliados comerciales, empresas asociadas o desarrolladores de aplicaciones.
9. Facebook deberá ajustar los contratos o acuerdos comerciales que suscriba con terceros, incluido, pero no limitado a, aliados comerciales, empresas asociadas o desarrolladores de Aplicaciones, para que el tratamiento de los datos personales de los usuarios cumpla con lo establecido en la Ley 1581 de 2012.
10. Facebook deberá desarrollar, implementar y mantener las acciones correctivas necesarias frente a aquellos terceros, incluido, pero no limitado a, aliados comerciales, empresas asociadas o desarrolladores de Aplicaciones, que incumplan la Ley 1581 de 2012, o las politicas de tratamiento de información personal (o políticas de privacidad) o las politicas corporativas de Facebook.
11. Facebook deberá efectuar una auditoria independiente, dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo, y cada año después de dicha fecha durante los próximos cinco (5) anos, que certifique que cuenta con las medidas técnicas, humanas, administrativas, contractuales y de cualquier otra naturaleza que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
ARTÍCULO SEGUNDO: Facebook Inc., Facebook Colombia SAS y Facebook Ireland Limited deberán obrar de la siguiente manera para efectos de lo que establece el artículo 26 del decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015) respecto de la demostración o evidencia ante esta Dirección del cumplimiento de las medidas. instrucciones, requerimientos u órdenes emitidas mediante esta resolución:
Facebook Inc., Facebook Colombia SAS y Facebook Ireland Limited deberán cumplir 10 ordenado en esta resolución dentro de cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo. Para demostrar el cumplimiento deberán remitir, al finalizar dicho término, una certificación emitida por una entidad o empresa independiente, imparcial. profesional, especializada y autorizada que acredite que se han implementado las medidas ordenadas por esta Dirección y que las mismas están operando con suficiente efectividad para proporcionar el grado de seguridad que exige el principio y el deber de seguridad de la ley 1581 de 2012 respecto de los datos personales.
La entidad o empresa que emita el certificado será seleccionada por Facebook, pero debe ser un tercero cuya gestión esté libre de todo conflicto de interés que le reste independencia y ajena a cualquier tipo de subordinación respecto de Facebook
PARÁGRAFO: La entidad o empresa certificadora deberá ser autorizada por la autoridad competente del pais de su domicilio, sólo en el caso que la regulación del mismo exija dicha autorización para poder emitir certificaciones. Si en dicho país no se exige Io anterior. bastará con que la misma sea independiente, imparcial, profesional y especializada en temas de seguridad de la información.
ARTiCULO TERCERO: Ordenar a Facebook Colombia SAS que preste su colaboración para que Facebook Inc. y Facebook Ireland Limited cumplan las instrucciones y órdenes impartidas por esta Superintendencia en esta resolución.
ARTiCULO CUARTO: Notificar el contenido de la presente resolución a Facebook Inc. Facebook Colombia SAS y Facebook Ireland Limited, informándoles que contra el presente acto administrativo procede recurso de reposición ante el Director de Investigación de Protección de Datos Personales y de apelación ante el Superintendente Delegado para la Protección de Datos Personales, dentro de los diez (10) dias siguientes a la diligencia de notificación.”