RAPPI Y BANCO FALABELLA SANCIONADOS

POR INCUMPLIR LEY DE PROTECCIÓN DE

DATOS
 Al BANCO FALABELLA se le impuso una multa por 496 millones de pesos y
deberá cumplir con órdenes respecto del tratamiento de datos personales.
 A la empresa RAPPI se le impuso una multa por 298 millones de pesos y deberá
adoptar medidas para respetar los derechos de las personas respecto del
tratamiento de su información.

Bogotá D.C., 22 de mayo de 2019. La Superintendencia de Industria y Comercio como

autoridad nacional para la protección de datos personales, impuso una multa de $496,899,600 al
BANCO FALABELLA S.A. y le ordenó adoptar medidas para respetar los derechos de las personas
respecto del tratamiento de su información como lo son, entre otros, el derecho de supresión de
sus datos y la atención debida y oportuna de sus solicitudes.

La anterior decisión, contenida en la Resolución 9766 de 2019, se tomó con ocasión de la queja
de un ciudadano quien informó que le presentó al BANCO FALABELLA ocho (8) peticiones para
que dicha entidad eliminara su número telefónico de su base de datos y dejara de enviarle
mensajes para fines de prospección comercial, solicitud desatendida por esa compañía

La SIC concluyó que el BANCO FALABELLA:

 No respetó el derecho de la persona de suprimir sus datos cuando son utilizados por dicho
banco para fines de publicidad.
 No respondió debida y oportunamente la petición ciudadana ya que se demoró un (1) año
y cinco (5) meses hacerlo, cuando el plazo máximo es de 15 días.

Dado lo anterior, en adición a la multa, la SIC le ordenó al BANCO FALABELLA adoptar medidas
efectivas, apropiadas y verificables en un plazo de dos (2) mesas para:

1. Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo
soliciten cuando esa información es utilizada por EL BANCO FALABELLA para fines
comerciales o de marketing.
2. Responder de manera oportuna y de fondo las consultas o reclamos que presenten las
personas, eliminando cualquier barrera innecesaria para garantizar los derechos de los
titulares.
3. Poner a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la
solicitud de supresión de datos o la revocatoria de la autorización otorgada. Éstos deben
implementarse a través de los mismos medios o canales mediante los cuales el BANCO
FALABELLA se contacta o comunica con los titulares de los datos.
4. Adicionalmente, la entidad bancaria deberá, no sólo implementar un mecanismo de
monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar
 cumplimiento a las anteriores órdenes, sino realizar una auditoria externa enfocada en la
verificación de la aplicación de las medidas efectivas y apropiadas para cumplir todo lo
ordenado.

EL CASO RAPPI

Mediante la Resolución 9800 de 2019 la Superintendencia de Industria y Comercio impuso una

multa de $298,121,760 a RAPPI S.A.S. y le ordenó adoptar medidas para proteger los derechos
de las personas respecto del tratamiento de su información como lo son, entre otros, el derecho
de supresión de sus datos y la exigencia de que exista autorización previa para el tratamiento de
los mismos.

La anterior decisión se tomó con ocasión de la queja de un ciudadano mediante la cual puso de
presente que le solicitó a RAPPI que dejara de usar su información y que no le enviará correos
electrónicos o mensajes de datos para fines comerciales o de marketing, pero dicha empresa no
atendió debidamente las solicitudes.

La SIC concluyó que RAPPI:

 No respetó el derecho de la persona de suprimir sus datos cuando son utilizados por RAPPI
para fines de publicidad.
 No demostró la existencia de la autorización para poder recolectar y usar los datos.
 No probó que informó a la persona lo que ordena el artículo 12 de la ley 1581 de 2012.
 No respondió debida y oportunamente la petición ciudadana ya que se demoró 4 meses y
25 días en hacerlo, cuando el plazo máximo es de 15 días.
 No probó que cuenta con un mecanismo apropiado para establecer la identidad de las
personas que visitan las plataformas de RAPPI.

En atención a lo anterior, en adición a la multa, la SIC le ordenó a RAPPI adoptar medidas

efectivas, apropiadas y verificables en un plazo de tres (3) meses para:

1. Abstenerse de enviar mensajes de texto, correos electrónicos, realizar llamadas telefónicas

o comunicarse por cualquier medio con los titulares de los datos respecto de los cuales no
tenga plena prueba de la autorización, previa, expresa e informada para dicho efecto.
2. Establecer la identidad plena de los visitantes de su página web o usuarios de sus
plataformas cuyos datos son recolectados, usados o tratados por RAPPI S.A.S.
3. Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo
soliciten cuando esa información es utilizada por RAPPI S.A.S. para fines comerciales o de
marketing.
4. Conservar prueba de la autorización previa, expresa e informada otorgada por cada uno
de los titulares de los datos.
5. Poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la
solicitud de supresión de datos o la revocatoria de la autorización otorgada. Éstos deben
implementarse a través de los mismos medios o canales mediante los cuales RAPPI S.A.S.
se contacta o comunica con los titulares de los datos.
6. Adicionalmente, RAPPI S.A.S. deberá no sólo implementar un mecanismo de monitoreo
permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a
las anteriores órdenes, sino realizar una auditoria externa enfocada en la verificación de
la aplicación de las medidas efectivas y apropiadas para cumplir todo lo ordenado por esta
entidad.

¡Superintendencia de Industria y Comercio, confianza que construye progreso!