Skip to content

Autoridad Colombiana de Protección de Datos Personales vs Facebook. A cargo de Diana Alexandra

AD 85/2020

Autoridad Colombiana de Protección de Datos Personales ordena a FACEBOOK el cumplimiento de las obligaciones legales contenidas en el régimen colombiano de protección de datos personales.

El pasado 24 de enero de los corrientes, en el marco de la actuación administrativa iniciada en el 2018  contra FACEBOOK a raíz del informe que reveló al mundo el caso de Cambridge Analytica, la Superintendencia de Industria y Comercio de Colombia, en su calidad de autoridad nacional de protección de datos personales ordenó a la red social la adopción de una serie de medidas de seguridad que demuestren la efectiva observancia del régimen de protección de datos (Ley 1581 de 2012),  toda vez que según las estimaciones citadas, en Colombia, Facebook cuenta con  entre 20 y 31 millones de usuarios, es decir que, trata los datos de aproximadamente el 68% de los colombianos.

En primer término, señala la Superintendencia que la ley 1581 es aplicable al tratamiento de datos personales de los residentes o domiciliados en el territorio colombiano, con independencia de si el responsable o encargado de tratamiento se encuentra físicamente en Colombia, así mismo se apoya en la Jurisprudencia de la Corte Constitucional que avaló la aplicación extraterritorial del régimen de protección de datos por considerarlo indepensable para garantizar la protección adecuada de los datos de los residente en colombia, pues muchos de los tratamientos, en virtud de las nuevas tecnologías, ocurren precisamente fuera de las fronteras. (Sentencia C-748/2011)

En ese orden, la Superintendencia en su investigación determinó que Facebook lnc., Facebook Colombia SAS (controlada), Facebook Global Holdings 11 (controlante) y Facebook lreland Limited forman parte del grupo de compañías de «Facebook» y disponen conjuntamente la finalidad y el manejo a dar a los datos personales de los usuarios residentes y domiciliados en Colombia, por tal razón,  dicho grupo empresarial se encuentra sometido al cumplimento de la ley 1581 en tanto realicen el tratamiento de datos personales de dichos usuarios, máxime cuando “ Dada la circulación transfronteriza que realiza Facebook de la información de los colombianos, las fallas de seguridad que suceden en otros países afectan o puede afectar la información de las personas residentes o domiciliadas en la República de Colombia, cuyos datos son recolectados y tratados por Facebook.”

En segundo lugar, la decisión emitida alude a las múltiples investigaciones por incidentes de seguridad que ha enfrentado Facebook en los últimos años, concretamente los siguientes casos: i) Uso indebido de Facebook Plataform que permitía a terceros acceder y tratar la información de los usuarios de Facebook para el desarrollo de aplicaciones de terceros, sin autorización previa por parte de los titulares,  ni control alguno respecto de las finalidades de uso o tratamiento posterior de los datos por parte de dichos terceros, tal como ocurrió con la compañía Cambridge Analítica, que brindó la posibilidad de influir a escala global en las decisiones políticas de millones de usuarios de la red social a nivel mundial, incluida Colombia, sin que las personas tuviesen ningún conocimiento, control o manejo sobre el uso abusivo de sus datos para dichos propósitos. ii) Hurto de tokens de aproximadamente 50 millones de usuarios, que dio lugar a  que terceros tomaran indebido control de las cuentas de los usuarios y de sus “amigos” sin enfrentarse a mayor barrera de seguridad y, en tercer lugar se refieren a iii) El fallo de  «Photo  API» que permitió a terceros desarrolladores de aplicaciones no autorizados (1.500 Aplicaciones construida por 876 desarrolladores), acceder a las fotografías de aproximadamente 5.6 millones de usuarios, entre el 13 al 25 de septiembre de 2018.

Este sinnúmero de fallos y vulnerabilidades a gran escala, que fueron evaluadas en las investigaciones desarrolladas por las diferentes agencias de protección de datos de ocho (8) países del mundo (Irlanda, Estados Unidos, Gran Bretaña, Francia, Países Bajos, Canadá, Australia y Nueva Zelanda) y las acciones judiciales iniciadas por el Fiscal General del Distrito de Columbia (Estados Unidos), sirven de referente a la decisión de la autoridad colombiana, quien concluye que las medidas de seguridad de Facebook no son suficientes, efectivas ni adecuadas para garantizar la salvaguarda de los datos de millones de colombianos, aunado al hecho de que  respuestas dadas por la red social a los requerimientos realizados durante la investigación tampoco satisfacen el principio de responsabilidad demostrada (accountability) sobre el cual se erige el régimen legal aplicable a la materia y que en palabras de la autoridad colombiana,  demanda menos retórica y más acción en el cumplimiento de los deberes que imponen  las  regulaciones  sobre tratamiento  de  datos personales.

En gracia de lo expuesto, la Superintendencia ordena a Facebook i) adoptar medidas nuevas, necesarias, apropiadas, útiles, eficaces y demostrables y a su vez robustecer y mejorar las medidas con las que actualmente cuenta, a fin de evitar el acceso, uso, consulta, pérdida o adulteración no autorizada o fraudulenta de datos personales en adelante DP; ii) implementar y mantener un programa integral de seguridad de la  información, ii) crear evaluaciones de impacto en la protección de DP (o evaluaciones de impacto en privacidad), «DPIAs» o «PIAs» respecto del uso de la plataforma web, la Aplicación móvil complementaria de Facebook, sus productos, o cualquier otro medio a través del cual Facebook recolecte, use o comparta DP; iv) establecer un programa de gestión y manejo de violaciones de seguridad en DP, para informar sin dilación a la autoridad de protección de datos y a los titulares de los datos cuando estos se vean vulnerados; v) fijar medidas necesarias para impedir el acceso por parte de terceros, incluido, pero no limitado a, aliados comerciales, empresas asociadas o desarrolladores de aplicaciones e imponer medidas efectivas para devolución o supresión de los DP una vez terminado su tratamiento por parte de estos y modificar los contratos o acuerdos comerciales con aquellos para que  se cumpla con la ley de protección de datos. vi) reconfigurar las condiciones de seguridad que le den a los usuarios control de manera sencilla, fácil y rápida, del tipo de información que quieren compartir con aplicaciones.

También se ordenó que el cumplimiento del  paquete de medidas ordenadas debe ser acreditado mediante una certificación emitida por una entidad o empresa independiente, imparcial, profesional, especializada y autorizada,  para lo cual se otorgó un plazo de (4) meses que se cumplirán el próximo 14 de junio, en consecuencia, quedamos a la espera de conocer cuál será la gestión que realice Facebook de la orden adoptada por la autoridad colombiana, toda vez que debe  admitirse que la decisión tiene un gran vacío en relación con su aplicabilidad, al no haberse incluido en la decisión cuales serían las consecuencias que tendría para la red social el incumplimiento de lo ordenado.

Diana Alexandra Hincapie Diaz

12 de junio de 2020


Diana Alexandra Hincapie Diaz

Especialista en Derecho Informático y de las Nuevas Tecnologías de la Universidad Externado de Colombia, con 10 años de experiencia como abogada en el sector Financiero, con enfoque en privacidad y banca digital.

Deja un comentario

A %d blogueros les gusta esto: