• Clúster Legal

#ViolaciónProtecciónDatosPersonales

Actualizado: nov 10

¿Por qué están sancionando a las grandes plataformas digitales como Google y TikTok? ¿Estamos en riesgo?

Autoría de: Ciro Alejandro Bayona C.

Socio de Clúster Legal. Experto en implementación de políticas de tratamiento de datos y comercio electrónico.


Durante las últimas semanas, se han convertido en tendencia las noticias relacionadas a sanciones por violación a la protección de datos, impuestas por diferentes autoridades a nivel internacional, contra grandes plataformas digitales como Facebook, Google o TikTok.


Colombia a través de la Superintendencia de Industria y Comercio (SIC) no ha sido la excepción

Teniendo en cuenta esta situación, junto a la importancia que han cobrado las plataformas digitales en las vidas de las personas, en especial, los últimos meses a raíz de la prolongada cuarentena, resulta importante realizar un análisis del panorama actual desde un contexto internacional y nacional.


¿Cuáles son los mecanismos y derechos que nos asisten como titulares de la información?, y ¿Qué recomendaciones se tienen para los emprendedores que quieran implementar este tipo de plataformas?


Contextualización del tema

La protección de datos personales se refiere a las medidas de protección del derecho de la privacidad e intimidad de las personas a través de:

  • Establecer derechos claros sobre la titularidad de la información

  • Enlistar obligaciones claras a los responsables del tratamiento

  • La creación de limitaciones y prohibiciones para evitar vulneraciones

  • Establecer mecanismos para el ejercicio de derechos por parte de los titulares.

A nivel internacional


Los estándares de protección más relevantes son:

  • El Reglamento General de Protección de Datos de la Unión Europea (GDPR) (EU) 2016/679

  • Las Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales de la OCDE

  • Las Leyes de privacidad de datos de APEC (Organización Asia Pacifico) al cual Estados Unidos se ha acogido, pero aún no tiene una normatividad unificada.

En el caso Colombiano


Adoptando estándares internacionales y unificando lo desarrollado por la Corte Constitucional sobre este tema, se desarrollaron:

  • La Ley 1581 de 2012 (Ley de protección de Datos Personales)

  • El Decreto 1377 de 2013, que reguló lo pertinente a esta protección,

En base a lo anterior mencionado, los tipos de datos que son objeto de regulación y protección son los catalogados de manera general como Datos Personales (Semi privado o privado), Datos públicos (Libre acceso) y Datos Sensibles (afectan intimidad y pueden generar discriminación).


Es importante resaltar que, dentro de los esquemas mencionados, podemos encontrar unos elementos fundamentales comunes, para el tratamiento de datos personales, como por ejemplo:

  1. Consentimiento previo y expreso del titular de los datos (Autorización).

  2. Licitud del objeto del tratamiento de los datos y tratamiento exclusivo para la finalidad para la cual fueron recolectados y autorizados

  3. Prohibición al tratamiento de Datos Sensibles, salvo excepciones,

  4. Prohibición al tratamiento de datos de menores de edad.

  5. Mecanismos para conocer, actualizar, rectificar y suprimir el dato, como también para revocar autorización.

Los “Destacados”


Dentro de los casos más sonados, dos muy importantes sobre plataformas digitales, donde brevemente haré referencia a la causa de la sanción, las consecuencias que tuvieron dichas plataformas, como también los pronunciamientos de la SIC en nuestro pais:


1. Caso Google


1.1 Unión Europea // Francia:


El 21 de enero de 2019, la Comisión Nacional de Informática y Libertades de Francia (CNIL) sancionó a Google LLC con una multa de 50 millones de euros por “falta de transparencia, información insuficiente y ausencia de consentimiento válido en la publicidad personalizada”.


¿Por qué fueron imputadas estas infracciones?


Debido a que se consideró que el acceso a la información que ofrecía Google sobre tratamientos de datos, su finalidad y el tiempo era de difícil acceso para los usuarios, puesto que esta se encontraba en varios documentos y páginas distintas, afectando gravemente la posibilidad de ejercer el consentimiento de los titulares de la información de manera informada e inequívoca.


1.2 Colombia:


El 7 de septiembre de 2020, la SIC a través de la Resolución 53593, impartió una orden de obligatorio cumplimiento a Google LLC, por recopilar datos de personas en el territorio colombiano, ordenando ajustar su Política de tratamientos de Datos personales a los estándares colombianos-


¿Por qué?


Básicamente por no tener mecanismos claros para obtener la autorización clara, expresa e informada de los titulares de la información y adicionalmente por no tener mecanismos claros para el tratamiento de datos de menores de edad.


2. Caso TikTok:


2.1 Estados Unidos

En febrero de 2019, la Federal Trade Comission “FTC”, sancionó a la compañía ByteDance, propietaria de la plataforma digital TikTok, con una multa de $5.7 Millones de Dólares.


¿La razón?

Violación de las leyes de protección de la privacidad infantil (COPPA) en Estados Unidos, por recopilar datos de menores de edad. En Colombia, esto equivale a la violación del Articulo 7 de la Ley 1581 de 2012.


2.2 Colombia:


El 8 de octubre de 2020, la SIC a través de la Resolución 62132, ordenó, so pena de una sanción a ByteDance Ltd, TikTok INC y TikTok PTE, que ajusten su política de tratamiento de datos, debido a que la actual no cumple con los estándares colombianos.

¿La razón?

No garantiza un proceso de consentimiento expreso e informado por parte de los titulares y tan siquiera cuenta con el texto de la política traducido al idioma español. Adicionalmente y tal como en el caso de Estados Unidos, recopiló datos de menores de edad y tampoco tiene mecanismos básicos para el ejercicio de derechos de los titulares.  


Después de este breve recuento sobre qué es la protección de datos personales…

Mencionando algunos casos relevantes de violaciones por parte de plataformas, desde la óptica internacional y nacional, se puede evidenciar que los grandes medios digitales a pesar de las sanciones que les imponen, siguen incurriendo en las mismas violaciones a la protección de datos personales y solo ajustan sus políticas cuando las autoridades locales les imponen órdenes o sanciones al respecto.


El uso de plataformas digitales, sin importar el tipo, tienen implícito un alto riesgo sobre el manejo de la información que entregamos y los usuarios tiene que ser conscientes que no pueden pasar por alto la ”letra pequeña” con la que todas estas plataformas nos introducen cuando las usamos, por lo general cometemos el error de “Aceptar” sin ver sus implicaciones.


En Clúster Legal como expertos en la implementación de estas políticas de protección de datos personales, para diferentes plataformas digitales y en empresas en general, mostramos a nuestros clientes que traten con el manejo de datos personales que deben implementar políticas de tratamiento de datos transparentes, que cumplan con los estándares de la Ley 1581 de 2012 y el Decreto 1377 de 2013.

En el caso de una violación o incumplimiento:

  • Pueden incurrir en sanciones que pueden ascender a 2000 SMMLV

  • Habrá suspensión hasta por 6 meses de las actividades relacionadas con el tratamiento

  • Se generará el cierre inmediato y definitivo de las operaciones objeto del tratamiento de los datos.

Recomendación: Los elementos mínimos que deben tener estas políticas.


  1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.

  2. Tratamiento al cual serán sometidos los datos y finalidad del mismo.

  3. Derechos que le asisten como Titular.

  4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el Titular de la información puede ejercer sus derechos.

  5. Procedimiento para que los Titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

  6. Fecha de entrada en vigor de la política de Tratamiento de la información y periodo de vigencia de la base de datos.

La asesoría de Clúster Legal consiste en orientar a nuestros clientes en cada una de las áreas guiados por nuestra expertise ¡Descarga el E-book y conoce a profundidad cómo podemos asesorarte en el tratamiento ideal de los datos!