La Superintendencia de Industria y Comercio, a través de la Delegatura para la protección de datos personales, expidió la Resolución 12129 del 1 de abril de 2020 mediante la cual resolvió el recurso de apelación de Facebook Inc (sociedad domiciliada en los Estados Unidos).
La decisión no sólo ratifica la orden que se había emitido en enero de 2019 para que Facebook Inc. incrementará sus medidas de seguridad, sino que concluye que la ley colombiana aplica a empresas extranjeras que, sin estar físicamente en el territorio de la República de Colombia, utilizan tecnologías en dicho territorio para recolectar y tratar datos de los (as) colombianos (as).
Estas son las principales conclusiones de la resolución del Delegado Nelson Remolina Angarita:
PRIMERA: La Ley Estatutaria 1581 de 2012 de la República de Colombia es aplicable a Facebook Inc. (sociedad domiciliada en los Estados Unidos), porque dicha empresa recolecta datos personales en el territorio de la República de Colombia a través de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia;
SEGUNDA: La Ley Estatutaria 1581 de 2012 es aplicable, entre otras, cuando:
- El Tratamiento lo realiza el Responsable o Encargado, domiciliados o no en territorio colombiano, que directa o indirectamente, a través de cualquier medio o procedimiento, físico o electrónico, recolecta, usa, almacena o trata Datos personales en el territorio de la República de Colombia; y
- El Responsable o Encargado no está domiciliado en la República de Colombia ni realiza Tratamiento de Datos dentro del territorio colombiano. Pero, existen normas o tratados internacionales que los obliga a cumplir la regulación colombiana;
TERCERA: Aunque Facebook Inc. no está domiciliada físicamente en Colombia, utiliza herramientas electrónicas dentro del territorio de ese país para recolectar Datos personales. Por ende, Facebook Inc. realiza Tratamiento de Datos personales en territorio colombiano al cual le es aplicable la Ley Estatutaria 1581 de 2012;
CUARTA: Facebook Inc. es Responsable del Tratamiento de los Datos personales que recolecta en el territorio colombiano a través de cookies. Por ende, Facebook Inc. debe cumplir la Ley Estatutaria 1581 de 2012 y sus disposiciones reglamentarias;
QUINTA: El Principio de Responsabilidad Demostrada (Accountability) frente al Tratamiento de Datos personales, le impone a Facebook Inc. el deber de probar que ha adoptado medidas apropiadas y efectivas para garantizar la seguridad de la información de sus usuarios;
SEXTA: Una orden administrativa no es una sanción, sino una medida preventiva para que, entre otras, se garantice la seguridad en el Tratamiento de los Datos personales de los usuarios de Facebook Inc. Las sanciones por infringir la Ley Estatutaria 1581 de 2012 -multas, suspensión de actividades, cierre temporal o definitivo- están previstas en el artículo 23 de dicha norma. Allí se puede constatar que las órdenes no son sanciones;
SÉPTIMA: Una empresa tan determinante en la ciberseguridad del mundo como lo es Facebook Inc., en razón de la cantidad de usuarios (más de 2,4 billones de personas) y calidad de información que recolecta y trata, tiene el deber de ser más que diligente en el Tratamiento de Datos, a fin de garantizar la protección de las personas y su privacidad.
Facebook Inc. tiene la enorme responsabilidad de garantizar la seguridad de la información de todos sus usuarios, lo cual lo obliga a ser extremadamente diligente en esta labor y a no ahorrar esfuerzos para responder por la seguridad de los Datos de miles de millones de personas.
Sin seguridad no hay debido Tratamiento de Datos personales. Así las cosas, Facebook Inc. debe ser responsable, diligente y muy profesional con el Tratamiento seguro de los Datos de sus usuarios.
OCTAVA: En el ciberespacio no desaparecen ni disminuyen los derechos de las personas. El ciberespacio ha sido caracterizado por ser un escenario global no delimitado por fronteras geográficas en donde las actividades suceden dentro de la arquitectura tecnológica de Internet. Aunque se trata de un “mundo virtual”, sus ciudadanos son miles de millones de personas reales ubicadas en prácticamente cualquier lugar del “mundo físico” cuyas actividades tienen impacto o consecuencias en el “mundo real”.
A pesar que el campo de acción de Internet desborda las fronteras nacionales, para la Corte Constitucional el nuevo escenario tecnológico y las actividades en Internet no se sustraen del respeto de los mandatos constitucionales. Por eso, concluyó dicha entidad que “en Internet (…) puede haber una realidad virtual pero ello no significa que los derechos, en dicho contexto, también lo sean. Por el contrario, no son virtuales: se trata de garantías expresas por cuyo goce efectivo en el llamado “ciberespacio” también debe velar el juez constitucional”. Recalca dicha Corporación que, “nadie podría sostener que, por tratarse de Internet, los usuarios sí pueden sufrir mengua en sus derechos constitucionales” (República de Colombia. Corte Constitucional. Sentencia C-1147 del 31 de octubre de 2001).
El texto oficial y completo de la resolución puede consultarse acá.
