Millonaria multa de la SIC a Scotiabank Colpatria: empleado vendía información de clientes a bandas criminales

Una sanción superior a $700 millones fue impuesta a Scotiabank Colpatria por la Superintendencia de Industria y Comercio (SIC), tras una investigación que concluyó que la entidad bancaria no garantizó la seguridad de los datos personales de cerca de 67.000 clientes.

La decisión se fundamentó en la vulneración de los deberes establecidos en la Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015, normas que regulan la protección de datos personales en Colombia.

Este tipo de incidente, según la entidad reguladora, afectó la confidencialidad de los datos personales; los datos afectados corresponden a datos generales, datos de identificación, datos socio económicos, y datos de ubicación y “después de realizar el análisis de la información reportada por la sociedad, el incidente de seguridad se clasifica como severidad alta”. 

De acuerdo con información de La República, el banco se defendió señalando que:

“Se reconoce que el ex empleado se extralimitó en el desarrollo de sus actividades, pese a la confianza depositada en él por la entidad, y siendo plenamente consciente de las obligaciones de confidencialidad pactadas contractualmente”.

En su pronunciamiento oficial, la entidad financiera afirmó:

“Desde Scotiabank Colpatria seguimos comprometidos con la protección de los datos personales de nuestros clientes y hemos tomado todas las medidas pertinentes para salvaguardar la información de nuestros usuarios y mitigar cualquier tipo de riesgo”.

¿Quién alerto sobre este caso?

(Asociación para la Investigación, Información y Control de los Sistemas de Tarjetas de Crédito y Débito) fue el que descubrió esto y alertó al banco y señala el modus operandi:

1. Adquieren bases de datos de manera ilegal y las utilizan para generar obtener ingresos.
2. La base de tarjetas evidenciada en el comercio puede estar circulando en otros call center realizando ventas irregulares. 
3. Obtienen un Merchant ID para ofrecer a los tarjetahabientes una membresía por ser acreedor a una tarjeta bancaria.
4. Se observó que funcionan como agregador a otras pasarelas.
5. Cambian de razón social o de representante legal, con el fin de obtener nuevos Merchant ID
6. En su proceso de venta generan engaño comercial a los titulares, realizando procesos irregulares sin contar con controles o medidas se seguridad.

Con esta sanción, la SIC envía un mensaje a todo el sector financiero sobre la responsabilidad que tienen las entidades bancarias en la custodia de los datos personales, un aspecto que se ha convertido en eje central de la confianza de los usuarios y en un factor clave para la estabilidad del sistema financiero colombiano.