La Superintendencia de Industria y Comercio multó a la por más de $190 millones tras comprobar que recolectó información y usó una base de datos infringiendo la ley. La decisión aclara los límites del sector privado frente a datos protegidos como antecedentes judiciales y medidas correctivas.
A través de una nota de prensa, la Superintendencia de Industria y Comercio (SIC) confirmó una sanción contra la firma Risks International S.A.S. por haber consolidado una base de datos con información sensible de personas naturales, sin contar con fundamento legal ni autorización de los titulares.
La multa asciende a $190.547.400 y se suma a la suspensión temporal de cualquier tratamiento de datos en el sistema sancionado. La base, conocida como Sirest (Sistema de Riesgos del Transporte), incluía antecedentes judiciales, decisiones disciplinarias y otras anotaciones reputacionales que fueron recopiladas con fines de análisis de riesgo.
Sin embargo, según la SIC, estas acciones exceden lo permitido por la Ley 1581 de 2012, que protege el tratamiento de datos sensibles y restringe su uso a condiciones excepcionales. La normatividad nacional establece que los datos sensibles: aquellos que pueden generar discriminación o afectar derechos fundamentales como la intimidad y el buen nombre; no pueden ser tratados libremente por entidades privadas, incluso si se invocan finalidades legítimas.
En este sentido, la SIC fue enfática: “esta decisión precisa el alcance del concepto de datos sensibles y aclara que los particulares no tienen la facultad de crear bases de datos personales que tengan por finalidad recoger información para facilitar el cumplimiento de las normas de seguridad y defensa nacional”.
La entidad reiteró que estas plataformas solo pueden ser administradas por entidades públicas en el marco de funciones constitucionales específicas. “Las bases de datos relacionadas con la prevención del lavado de activos y el financiamiento del terrorismo deben ser creadas y administradas por entidades públicas en ejercicio de sus funciones constitucionales y legales”, se lee en el comunicado.
Además, subrayó que ningún actor privado está habilitado para operar este tipo de sistemas sin garantías legales robustas que permitan niveles óptimos de protección a los datos que contienen y los daños que pueden generar.
“Los sujetos privados no están facultados, en principio, para crear bases de datos con dicha finalidad, y menos sin el cumplimiento de las garantías que la legislación colombiana otorga a los titulares de los datos personales”, reiteró la SIC.
Finalmente, la Superintendencia recordó que todo tratamiento debe regirse por los principios de legalidad, veracidad, consentimiento informado y finalidad específica. El caso refuerza los límites normativos que protegen la privacidad de los ciudadanos frente a usos indebidos de su información.
