El derecho preventivo en los proyectos de mercadeo basados en tecnologías de la información y las comunicaciones (TIC)

A continuación se expone un escrito producto de mis hallazgos, fundamentaciones, consideraciones y aportes para que el derecho aplique con claridad y de forma adecuada en los proyectos de mercadeo que se desarrollan por medio de tecnologías de la información y las comunicaciones (en adelante TIC).

Existe una incertidumbre acerca del régimen jurídico que aplica a las TIC. Para muchos las normas jurídicas que existen no son coherentes ni aplicables a esa nueva realidad digital y de convergencia tecnológica. Para otros es claro que existe un derecho aplicable a las TIC porque son un medio de comunicación y gestión, pero no un fin en sí mismo (es decir que no replantean el mundo, ni por lo tanto al derecho).

Para superar ese dilema es pertinente hacer una aclaración acerca de la forma en que el derecho aplica en los proyectos de TIC y posteriormente hacer unas reflexiones sobre la manera en que dichas normas se pueden cumplir de forma preventiva, idónea y eficaz.

Las TIC, poseen dos principales de modelos de gestión.

1En un primer modelo de gestión las TIC tienen un sentido instrumental conforme al cual sirven como un medio transaccional, pero no son un fin en sí mismo (que es lo que ocurre cuando sirven para publicar o intercambiar información pero no son transaccionales plenamente).

En un segundo modelo de gestión las TIC tienen un sentido finalista con base en el cual brindan una interface de interacción plena entre los sujetos y objetos involucrados en una relación comunicativa[1].

Para ambas clases de modelos de gestión, se han establecido unos principios jurídicos para darle pleno reconocimiento y validez jurídica y probatoria a las TIC. Estos principios (la mayoría están consagrados en la Ley 527 de 1999, en Colombia) son:

a). Principio de la equivalencia funcional: Hace referencia al reconocimiento de efectos jurídicos y probatorios a los soportes y medios digitales, dado que son equivalentes (no análogos) en sus funciones y efectos a los soportes y medios físicos tradicionales.

Por tanto, cuando una norma disponga que se debe cumplir con un determinado requisito, requisito concebido para los medios tradicionales, generador de efectos jurídicos[2], dicho requisito podrá ser satisfecho empleando medios, contenidos y soportes digitales (bien sea a nivel instrumental o finalista) siempre que se cumpla (no de manera idéntica -analógica-, sino equiparable) a cabalidad con el objeto, alcance, formalidades, sustancia y finalidad perseguida por dicha norma,

Es decir que lo relevante es que se cumpla con las formalidades y elementos esenciales y naturales que las normas establecen para un determinado acto, relación o negocio jurídico, aunque su forma de llevarlos a cabo emplee soportes y modelos logísticos distintos a los tradicionales.

Como se observa, las TIC deben someterse a las mismas prerrogativas, efectos, formalidades, funcionalidades, deberes, derechos y finalidades jurídicas que las que se han concebido (o conciban) para un acto o negocio jurídico que se desarrolle de forma física tradicional[3].

Esto permite que las actuaciones desarrolladas al interior de las tecnologías de la información y de las telecomunicaciones cuenten con seguridad, reconocimiento y validez jurídica.

Entonces lo que se debe hacer en cada proyecto de TIC es generar equiparaciones para cumplir con las formalidades, funcionalidades, y finalidades exigidas por las normas jurídicas creadas para los sistemas, actuaciones, medios y relaciones humanas basadas o logradas en átomos (es decir en medios físicos -tradicionales-) al interior de los sistemas, actuaciones, medios y relaciones humanas formadas, basadas o logradas en bits (es decir en medios digitales).

Esto se hace diseñando instrumentos de derecho preventivo a la medida de cada una de sus variables (por ejemplo: términos y condiciones de uso, políticas de protección de datos personales, contratos de licenciamiento del software, contratos de compraventa, contratos de prestación de servicios, contratos con los anunciantes, contratos con los aliados, contratos con los proveedores, protocolos jurídicos de seguridad de la información, manuales jurídicos de buenas prácticas para la protección al consumidor en medios digitales, entre otros).

Y si se acompaña lo anterior del empleo de medidas de seguridad técnica (como lo es el control de accesos a una plataforma) se potenciará el cumplimiento del derecho en las TIC. Ya que no solo se trata de contar con documentos sino de generar realidades tecnológicas y humanas que permiten vivir, sentir y disfrutar del derecho a través de medidas técnicas que cumplan con los deberes y derechos que sean aplicables en una respectiva plataforma y que estén consagrados en cada uno de los instrumentos de derecho preventivo que se creen e incorporen (por ejemplo si la política de protección de datos personales establece que los datos que se recolecten serán almacenados en servidores seguros, pues la medida técnica -es decir tener un servidor seguro- permitirá que dicha premisa jurídica sea una realidad mayor. O si en el manual de buenas prácticas de protección al consumidor se establece que no se le puede proyectar publicidad engañosa pues el hacer un video que acompañe un anuncio gráfico o textual permitirá que el consumidor comprenda mejor el mensaje y así será toda una experiencia de derecho preventivo constante y muy agradable-.

2b). Principio de la neutralidad tecnológica: Hace referencia a que las normas no pueden vincular la producción de efectos jurídicos a un entorno, contexto o tecnología específica[4].

Entonces existe plena aplicación, cobertura y amparo de las normas (sustantivas, procesales y probatorias) en una relación jurídica, sin distinción a la tecnología o procedimiento que sea empleado por sus intervinientes. Y en correlación a lo anterior, toda tecnología está sometida al derecho porque son simplemente medios y no fines en sí mismas -y siempre estarán sujetas a la soberanía y normatividad del Estado o Estados donde operen o causen efectos[5]-).

En complemento, este principio determina que las normas deben reconocer el resultado efectivo que brinda la tecnología[6], y no el medio tecnológico o modus operandi que se emplee (es decir que se debe atender al fondo y no a la forma. Se deben detectar y atender todos los efectos que genere una tecnología específica y según ello se determinará cuál es la normatividad que le aplica), para así brindar sobre el mismo una adecuada aplicación del derecho sustantivo y procesal, y un control por los presuntos vacíos legales, dado que si las normas son neutrales tecnológicamente el derecho no posee vacíos legales en las TIC, pues es cuestión de adaptar, mediante los presentes principios, su aplicación a este medio.

c). Principio de la prevalencia del derecho sustantivo preexistente: Hace referencia a que el derecho tradicional no debe modificarse, alterarse o desconocerse, sino precisamente prevalecer en su aplicación en los entornos digitales (en cualquier clase de proyecto de TIC).

La trayectoria de la ciencia jurídica ha establecido unas categorías y principios del derecho que son flexibles, transversales y dúctiles, aplicables a los diversos estadios, contextos y desarrollos de la humanidad indistintamente a la calidad de los sujetos, objetos (canales, medios, soportes, y entornos) y productos (bienes o servicios) que intervengan en una relación jurídica. Por ello, en cada proyecto de TIC aplicará la normatividad nacional, extranjera e internacional que le resulte vinculante según su modelo de operación y los efectos que cause.

Solo se deberán crear nuevas normas cuando los elementos normativos existentes resulten realmente insuficientes (y de hecho aunque una norma resulte insuficiente o ambigua en algún punto, aspecto o tema, los principios generales del derecho siempre aplicarán -por ejemplo el principio de buena fe aplicará a cualquier desarrollo de TIC, incluso en la teletransportación si se llega a crear-. Por lo tanto el derecho no está ni se quedará corto frente a las TIC).

d). Principio de la neutralidad de la red: Hace referencia a la facultad de intervención que poseen los oferentes de un proyecto de TIC (bien sea prestadores del servicio de acceso a internet, prestadores de servicios en línea, productores, proveedores o comercializadores, tanto de carácter público como privado) en relación al grado de control o libertad -permisividad- que le brindan a los usuarios sobre las actitudes, accesos y contenidos digitales (de audio, voz, imagen, texto, o sus combinaciones) que estos almacenan, transmiten, crean, emiten, comparten y en general gestionan por medio de sus redes, infraestructuras, plataformas, servicios y/o aplicaciones.

Este principio tiene dos vertientes (cosmovisiones -posturas-):

– Para algunos debe existir plena libertad en el tráfico de datos porque nadie tiene soberanía en la TIC y nadie puede alterar su navegación, operación y uso espontáneo (por ejemplo, para esta postura, la Internet nació como un proyecto y medio libre y no es válido limitar la interactividad sobre los datos que viajan por la red o sobre las actividades que se desarrollan al interior de la misma).

– Para otros debe existir un control previo sobre todo dato que viaje en un proyecto de TIC o sobre toda actuación que se desarrolle por este medio para así evitar los daños previsibles y mitigar los riesgos previsibles (por ejemplo, para esta postura, el administrador de una red social o de una app debe verificar el contenido de los datos y actividades que un usuario vaya a presentar a otro y solo permitirá su envío si no es ilegal -es decir si existe certeza que no se va a causar un daño o a generar un riesgo elevado de daño-).

Ambas visiones se encuentran limitadas y ajustadas en la teoría del abuso del derecho por medio de la cual no se podrá abusar del ejercicio del derecho a la libertad ni tampoco del ejercicio del derecho de control. Lo anterior debido a que el derecho de una persona solo puede llegar hasta donde inicia el derecho de otra persona y solo puede ser restringido un derecho cuando exista una orden oficial de carácter judicial o administrativo que así lo disponga.

Entonces en cada iniciativa se deberá generar un balance (proporcionalidad) entre libertad y control (restricción) según las variables que se encuentren presentes en cada proyecto de mercadeo soportado en TIC. Con base en su naturaleza, objeto y efectos se determinará como lograrlo de manera válida; si se trata por ejemplo si una aplicación que proyecta datos de menores de edad se exige se debe aplicar un mayor control o si por ejemplo se trata de un blog sobre el clima no existirá mayor control que el ordinario, y por ende se brindará más libertad.

4Ahora bien, para lograr un cumplimiento preventivo de las normas que sean aplicables a un proyecto de mercadeo desarrollado mediante las TIC se debe determinar la clase de plataforma, infraestructura, datos, contenidos, servicios, sector, territorio, y modelo de negocio de involucrado.

Es claro que el derecho aplica sin problema alguno en las TIC en virtud de los principios de validez jurídica previamente ilustrados. De esta forma la Ley 527 de 1999 es la norma base y, en complemento a ella, según cada modelo de negocio y de gestión involucrado aplicará su regulación sectorial.

Por tanto, en cada proyecto de mercadeo digital se deben crear instrumentos jurídicos de derecho preventivo a la medida de cada una de sus variables y de la normatividad que le sea aplicable según su naturaleza, objeto y efectos, por ejemplo (se reiteran algunos de los instrumentos señalados previamente cuando se ilustró el principio de la equivalencia funcional): términos y condiciones de uso; política de protección de datos personales; leyendas legales concretas, visibles y claras en cada pantalla que se le proyecte al usuario; manual jurídico de buenas prácticas del mercadeo digital; contratos a la medida de los negocios e intervinientes que se encuentren presentes en cada proyecto; manuales jurídicos de protección y gestión de la propiedad intelectual; códigos de conducta para la protección al consumidor; modelos jurídicos de seguridad de la información; capacitaciones jurídicas permanentes; sellos de confianza, marcas de certificación, retroalimentación y asesoría legal continua de las normas aplicables a los proyectos de mercadeo según el sector, usuarios, estrategias, y territorios involucrados, etc.

Entonces el problema del derecho no es de objeto sino de sujeto, porque el derecho si es completo y aplicable a cualquier desarrollo o asunto humano (por ejemplo las TIC), el problema es de las personas que lo desconocen, que no lo aplican sistemáticamente, o que no lo saben aterrizar a un caso concreto o variable específica (es una labor de creatividad con calidad y estrategia).

De esta forma la seguridad jurídica (y la confianza) en las TIC se logra a partir de la capacidad para diseñar soluciones e instrumentos de derecho preventivo en cada una de sus etapas de interacción con los usuarios.

Dichos insumos de derecho preventivo deben estar presentes desde la navegación en la herramienta (es decir en una relación extracontractual) hasta la realización de transacciones dentro de ella (es decir en una relación contractual si se trata de plataformas de empresas privadas o en la prestación de un servicio público si se trata de plataformas que cumplan alguna función pública).

Con ello se permite que en cada proyecto de mercadeo basado en TIC se cumpla con los deberes y derechos que consagre la normatividad general y especial que sea aplicable según cada caso por medio de una experiencia de usuario precisa, coherente, minimalista, idónea, creativa y fundamentada. Así las TIC se pueden diseñar, desarrollar, aprovechar y ejecutar con eficiencia, seguridad, confianza e innovación jurídica.

[1]     Por ejemplo iTunes es autosuficiente -finalista- pues tanto la plataforma como sus productos son naturalmente digitales e involucran de manera integral todo el proceso comunicativo entre las partes. Incluso creando aplicaciones comunicativas a la medida de los usuarios, dando paso a una innovación en la dinámica de un modelo de gestión determinado, o incluso generando un nuevo modelo de gestión desconocido en el estado del arte.

[2]     Tal como lo es el requisito jurídico de validez de las herencias realizadas mediante testamento en Colombia, consagrado en el Código Civil Colombiano, consistente en que un testamento debe constar en un documento físico original -es decir que conste en papel, sea el primero expedido, y sea el directamente creado por el testador- y poseer la firma manuscrita de su creador -testador-.

[3]     Equiparando funcionalmente el caso descrito sobre la herencia realizada mediante testamento, el requisito de documento físico puede ser satisfecho mediante un documento electrónico y el requisito de la firma manuscrita puede ser satisfecho mediante una firma electrónica.

[4]     V. gr. El nuevo estatuto del consumidor, Ley 1480 de 2011, aplica tanto en escenarios físicos como en escenarios digitales, pues resulta indiferente el medio empleado en una relación jurídica (lo relevante es proteger al consumidor en cualquier relación que tenga con una empresa, indistinto a como se desarrolle la relación). Inclusive, si el modelo de gestión es finalista se deben detectar, en virtud de la equivalencia funcional, los deberes y derechos existentes entre un modelo de gestión tradicional para igualmente exigirlos y aplicarlos en un modelo de gestión finalista (plenamente digital) para garantizar la seguridad jurídica pues no se debe distinguir,  alterar o limitar el derecho en razón a la tecnología y procedimiento que se encuentre involucrado -como lo es en el caso de YouTube donde si bien este es un modelo de gestión finalista, porque el consumidor no solo es adquirente de contenidos digitales sino que también puede ser un creador o gestor de contenidos digitales (por ello al consumidor se le denomina en estos modelos un PROSUMER, productor y consumidor de contenidos) esto no puede confundir a la ciencia jurídica, ya que en todo caso debe existir un derecho del consumo aplicable de una parte a la visualización (recepción) de contenidos y de otra parte a la generación (emisión) de contenidos, al ser dos momentos distintos e individualizables-.

[5]     Superando así la confusión y afirmación errónea que establece que el derecho posee vacíos legales en los modelos de gestión de las TIC, tanto instrumentales como finalistas, debido a que la tecnología es más ágil y dinámica que las normas escritas

[6]     Es decir que los datos y actuaciones desarrolladas digitalmente tienen como naturaleza y resultado el emitir contenidos de audio, voz, imagen, texto, o sus combinaciones entre sí. Siendo esto así, la neutralidad tecnológica permite que el derecho se enfoque es en el resultado (efectos) que cause un dato y una actuación efectuada digitalmente y no en su medio y forma de gestión (tecnología y forma de operación).

Por: Camilo Alfonso Escobar Mora©
Gerente General de Jurídia

Jurídia – Centro de Alta Formación en Derecho Preventivo de las Tecnologías de la Información y las Comunicaciones

www.juridia.co
Contacto: gerencia@juridia.co

Implicaciones directas del régimen de protección al consumidor en el mercadeo digital

La Ley 1480 de 2011 (estatuto del consumidor colombiano) establece los siguientes deberes que su empresa debe cumplir plenamente en la planeación, diseño y ejecución de campañas de mercadeo digital:

A) EN MATERIA DE INFORMACIÓN:

A) 1. EN MATERIA DE INFORMACIÓN ORDINARIA (artículos 23 a 28, 49 a 54, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 7 del artículo 5 de la Ley 1480 de 2011 la información es “Todo contenido y forma de dar a conocer la naturaleza, el origen, el modo de fabricación, los componentes, los usos, el volumen, peso o medida, los precios, la forma de empleo, las propiedades, la calidad, la idoneidad o la cantidad, y toda otra característica o referencia relevante respecto de los productos que se ofrezcan o pongan en circulación, así como los riesgos que puedan derivarse de su consumo o utilización”.

A) 2. EN MATERIA DE PUBLICIDAD (artículos 29 a 33, 50, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 12 del artículo 5 de la Ley 1480 de 2011 la publicidad es “Toda forma y contenido de comunicación que tenga como finalidad influir en las decisiones de consumo”.

Por su parte, de conformidad con el numeral 13 del artículo 5 de la Ley 1480 la publicidad engañosa es “Aquella cuyo mensaje no corresponda a la realidad o sea insuficiente, de manera que induzca o pueda inducir a error, engaño o confusión”.

LAWB) EN MATERIA CONTRACTUAL (artículos 34 a 44, 46 a 54, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 4 del artículo 5 de la Ley 1480 de 2011 un contrato de adhesión es “Aquel en el que las cláusulas son dispuestas por el productor o proveedor, de manera que el consumidor no puede modificarlas, ni puede hacer otra cosa que aceptarlas o rechazarlas”.

C) EN MATERIA DE CALIDAD (artículos 6 a 17, 56, 59 a 61, y 68 a 74 de la Ley 1480 de 2011):

De conformidad con el numeral 1 del artículo 5 de la Ley 1480 de 2011 la calidad es la “Condición en que un producto cumple con las características inherentes y las atribuidas por la información que se suministre sobre él”.

Por su parte, de conformidad con el numeral 6 del artículo 5 de la Ley 1480 de 2011 la idoneidad o eficiencia es la “Aptitud del producto para satisfacer la necesidad o necesidades para las cuales ha sido producido o comercializado”.

Finalmente, de conformidad con el numeral 5 del artículo 5 de la Ley 1480 de 2011 la garantía es la “Obligación temporal, solidaria a cargo del productor y el proveedor, de responder por el buen estado del producto y la conformidad del mismo con las condiciones de idoneidad, calidad y seguridad legalmente exigibles o las ofrecidas. La garantía legal no tendrá contraprestación adicional al precio del producto”.

D) EN MATERIA DE SEGURIDAD (artículos 7 a 17, 19 a 22, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 14 del artículo 5 de la Ley 1480 de 2011 la seguridad es la “Condición del producto conforme con la cual en situaciones normales de utilización, teniendo en cuenta la duración, la información suministrada en los términos de la presente ley y si procede, la puesta en servicio, instalación y mantenimiento, no presenta riesgos irrazonables para la salud o integridad de los consumidores. En caso de que el producto no cumpla con requisitos de seguridad establecidos en reglamentos técnicos o medidas sanitarias, se presumirá inseguro”.

Por su parte, de conformidad con el numeral 17 del artículo 5 de la Ley 1480 de 2011 un producto defectuoso es “Aquel bien mueble o inmueble que en razón de un error el diseño, fabricación, construcción, embalaje o información, no ofrezca la razonable seguridad a la que toda persona tiene derecho”.

E) EN MATERIA DE HÁBEAS DATA -PROTECCIÓN DE DATOS PERSONALES- (artículos 50 en su numeral f, 56 y 59 a 61 de la Ley 1480 de 2011):

La Ley 1480 de 2011 no consagra una definición específica sobre el hábeas data, ni tampoco determina en detalle sus alcances y/o la forma en que se debe proteger este derecho de los consumidores por parte de los productores y/o proveedores. Sin embargo, la Ley 1581 de 2012 si desarrolla completamente este tema, y por su parte la Constitución Política de Colombia en el artículo 15, que hace parte del capítulo sobre los derechos fundamentales, define su naturaleza y alcance -se subraya en negrilla el aparte puntual relativo al derecho de hábeas data- “Todas las personas tienen derecho a su intimidad personal y familiar y a su  buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

marketing_digitalEn materia de habeas data se deben tener presentes y aplicar los siguientes principios (señalados en las jurisprudencias de la Corte Constitucional de la República de Colombia):

Principio de lealtad y licitud del dato: Señala que el dato no puede ser recolectado por medios fraudulentos o desleales. Por tanto, la persona debe ser informada de la razón y los mecanismos por medios de los cuales se van a recepcionar sus datos.

Principio de calidad de los datos: Los datos deben ser exactos (íntegros e inalterados. Incluso se debe indicar fecha, modo y lugar de como se captaron).

Principio de necesidad del dato: Consagrado como el grado de relevancia (conducencia y pertinencia que posee el dato en el contexto en que se desea tratar dicho dato. Solo se puede captar el dato necesario, se debe evitar incurrir en excesos infundados de la información suministrada y/o solicitada por parte del Sistema de Seguridad Informática y en general del Sistema de Seguridad de la Información.

Principio de finalidad del dato: Entendido como el uso adecuado de la información exclusivamente para los propósitos en que es creado, almacenado, captado, y en general tratado. Por tanto debe existir además una clara determinación de las competencias de los miembros que trataran dichos datos sobre los alcances y los fines que puede buscar y para los cuales  se encuentra facultado cada uno de los miembros.

Principio de actualidad del dato: Por medio del cual la información tratada por el Sistema de Seguridad Informática y en general de Seguridad de la Información debe ser suficiente, veraz y oportuna. Dichos verbos rectores conducen a una interrelación con el principio de autodeterminación informativa conceptualizado como la prerrogativa otorgada al titular del dato para modificarlo, suprimirlo, o complementarlo cuando existan causas que así lo justifiquen para lograr una información fiable. Claro está que los datos administrados a nivel histórico que sirvan para fines estadísticos a nivel de antecedentes no pueden alterarse dada su naturaleza cronológica y si las circunstancias cambian pueden incorporarse notas aclaratorios que expresen las transformaciones surtidas en la información con el transcurso del tiempo, si ese es el fin deseado.

Principio de pertinencia del dato: Postulándose que solo podrá reposar en la base de datos o ser monitoreado por parte del Sistema de Seguridad Informática y en general de Seguridad de la Información el dato que guarde causa o efecto eficiente con el objetivo del mercado relevante de un sistema de información (debe ser pertinente con el fin específico y momento concreto que dé origen a su captación). Cuando esto no se presente la información debe ser suprimida, no interceptada, no enviada, o no solicitada.

Principio de circulación restringida: Dispone que solo el ente (empresa o entidad) facultado para captar, monitorear, almacenar y en general gestionar un dato tiene el derecho de tratarlo. Terceros agentes no tienen la autorización para conocer el dato. Además éste principio predica que el dato solo puede viajar por el sistema que guarda relación con el dato y no por otras redes.

Principio de autodeterminación informativa: En el cual se manifiesta que todo titular de un dato goza de autonomía para configurar sus datos personales ante un sistema de información. En ese orden, no se podrá constreñir a un titular para que entregue sus datos, y siempre se debe contar con su autorización de manera expresa y previa a su recolección y uso.

Por: Camilo Alfonso Escobar Mora©
Gerente General de Jurídia

Jurídia – Centro de Alta Formación en Derecho Preventivo de las Tecnologías de la Información y las Comunicaciones

www.juridia.co
Contacto: gerencia@juridia.co

 

 

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

Análisis del Decreto 1377 de 2013 a propósito de la protección de datos en Colombia

Por: Iván Marrugo Jiménez
@imarrugoj

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

Un punto importante con relación al art. 3 del decreto se refiere a que subsisten las inquietudes frente a lo que se entiende por transferencia y transmisión de datos, ya que estas nociones permanecen de manera imprecisa y aún no logran aclarar lo que aparece de manera indeterminada en la Ley 1581 de 2012. Al respecto puede inferirse del articulado (en contexto con el art. 26 de la ley) que ambas nociones guardan una estrecha consonancia, pero debe advertirse que la transferencia hace alusión al procedimiento relacional (en el sentido consensual, mediando o no contrato) entre el responsable y un receptor (que adquiere el papel de responsable) ubicado dentro o fuera de Colombia. Por otra parte, la transmisión se refiere más a la operación (proceso) de comunicar –enviar un flujo de datos–, en una relación de extremos, entre el responsable y el encargado. Debe notarse que la ley señala que la transmisión implica per se un tratamiento sobre el dato, mientras que la transferencia no.

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

En el capítulo 2 del decreto se agrupan una serie de nociones frente al elemento ‘autorización’ bajo los principios que orientan el deber ser en el tratamiento de datos personales. En efecto, el art. 4 desarrolla, bajo los principios de finalidad y libertad, la forma como debe operar la recolección de los datos de los titulares. En el art. 7 del decreto se regula el modo de obtener la autorización bajo el amparo del art. 9 de la ley. Permite el tratamiento automatizado de la autorización, siempre que ella se manifieste por escrito o de forma verbal o por medio de una conducta del titular que permita inferir de forma razonable su consentimiento en el tratamiento de la información.

Aclara el artículo que a esta inferencia no puede arribarse por vía del silencio del titular. El art. 9 del decreto, al desarrollar la facultad del titular de revocar la autorización y por esta vía suprimir sus datos, introdujo como obligatorio para el responsable y encargado la disposición de mecanismos gratuitos y de fácil acceso para presentar su solicitud de supresión. Una vez efectuada la reclamación por parte del titular, el encargado contará con 15 días hábiles (en términos generales) para proceder a su supresión o de lo contrario será sancionado.

Especial mención hacemos del art. 10 del decreto ya que introduce un procedimiento para la refrendación o validación de los datos personales recogidos con anterioridad a la vigencia del decreto. La disposición en mención impone a los responsables y encargados un procedimiento que deberá cumplirse a fin de continuar con el tratamiento de datos personales sobre bases de datos anteriores al decreto. La validación de los datos recogidos en bancos de datos hasta el día 26 de junio de 2013 podrá hacerse así:

El responsable solicitará la autorización a los titulares para continuar con el tratamiento; esto lo podrá hacer por un medio automático (correo electrónico, página web, etc.) permitiendo que el titular autorice por cualquier medio su tratamiento. En esta misma comunicación el responsable deberá hacer conocer al titular su política de tratamiento de la información, así como el modo de ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos. Si transcurridos 30 días hábiles a partir de dicha comunicación, el titular no expresa su intención de supresión del dato, la norma supone que ha operado la autorización y, por ende, el responsable o encargado podrá continuar con el tratamiento en las condiciones y finalidades señaladas en la política. En todo caso, subsistirán para el responsable el cumplimiento de todas las reglas y principios en el tratamiento de los datos. El parágrafo del art. 10 del decreto crea un periodo de gracia de 30 días para quien requiera implementar medios alternativos de comunicación con los titulares.

El capítulo 3 del decreto aborda la cuestión de las políticas de tratamiento como documento cardinal para el establecimiento de un macrosistema de aseguramiento de la información en las organizaciones. Este documento será la carta de navegación para las empresas para el manejo adecuado en protección de datos. Asimismo, se advierte sobre la necesidad de confeccionar el aviso de privacidad como otra herramienta para la difusión de las políticas a los titulares de los datos. El art. 16 señala la obligación de conservar el modelo de aviso de privacidad utilizado en momentos específicos, por lo que las empresas deberán adoptar mecanismos para su conservación. El art. 19 señala que por medio de instrucciones en materia de seguridad de la información, la Superintendencia de Industria y Comercio impartirá directrices, las cuales constarán en circulares y resoluciones. El art. 23 del decreto hace obligatoria la adopción a nivel organizacional de la función de responsable de los datos personales. Al señalar que esta designación puede recaer sobre una persona o un área, configura de manera amplia la forma en que las empresas podrán cumplir con dicho requisito.

Por otra parte, en el capítulo 4 del decreto se trata la regulación de la transmisión y transferencia internacional de datos, y como se señaló arriba, persisten serias dudas sobre el alcance de ambas figuras. Parece existir un yerro en el art. 24, ya que en el numeral 2 se habla expresamente de la transmisión internacional de datos sin que sea necesario informar al titular de tal circunstancia (la transmisión) ni contar con su autorización si entre el responsable y el encargado media un contrato. Mediante una interpretación rigurosa del artículo en su contexto entendemos que esta exclusión también debe amparar la transmisión de datos que se hace dentro del territorio nacional; sin embargo, la redacción de la norma está desarrollada para otorgar dicho beneficio solo en la transmisión internacional y no para la nacional. Bajo el art. 25 se señala que el contrato entre responsable y encargado deberá especificar las circunstancias especiales y las principales características del instrumento regulador de la relación entre el dueño de la base de datos y quien la gestiona (encargado).

El último capítulo del decreto se encarga de desarrollar el postulado de responsabilidad demostrada, como deber empresarial en el tratamiento de datos personales. Esta demostración se analizará a petición de la Delegatura para la Protección de Datos Personales, teniendo en cuenta entre otros factores: el tamaño de la empresa, su naturaleza jurídica, la naturaleza de los datos, el tipo de tratamiento y los riesgos potenciales. El art. 26 del decreto establece que la Superintendencia podrá solicitar a las empresas una descripción de sus procedimientos, así como evidencia de las medidas adoptadas en materia de aseguramiento de la información. Esto último no parece apropiado en esta etapa, ya que es deber de la Superintendencia impartir directrices en esta materia, lo que se hará a medida que se desarrolle nuestro sistema de protección de datos. Por lo anterior, este último escenario se dificulta en su condición temporal. El art. 27 finaliza señalando que la Superintendencia impartirá las directrices, tomando como parámetros de revisión en las organizaciones lo siguiente:

[su_list icon=”icon: circle-thin”]

  • La existencia de una estructura en la organización que propenda por la implementación de reglas sobre protección de datos.
  • La adopción de mecanismos internos para llevar a la práctica las políticas.
  • Los procesos que garanticen la atención de las prerrogativas de los titulares en ejercicio de los derechos a conocer, actualizar, rectificar y suprimir la información que sobre ellos se ha recogido.

[/su_list]

El asunto de una contratación correcta del encargado del manejo de redes sociales en una empresa, es aún una asignatura pendiente.

Marco jurídico para contratar un community manager

Por: Iván Dario Marrugo Jiménez
Abogado 2.0. Especialista en Derecho de las
Tecnologías y Seguridad de la Información. CEO
Marrugo Rivera & Asociados, Estudio Jurídico.
Twitter: @imarrugoj

El asunto de una contratación correcta del encargado del manejo de redes sociales en una empresa, es aún una asignatura pendiente. A pesar de la proliferación de las labores y gestiones de aquellas personas en las que hoy las empresas ponen su confianza, subsiste un alto grado de incertidumbre jurídica acerca de la contratación del Community Manager (CM): ¿Contrato de trabajo?, ¿prestación de servicios?, ¿interno o externo?, ¿con un pago fijo mensual o por porcentajes? Innumerables dudas surgen sobre cómo enganchar de forma correcta a esta importante figura en el mundo digital.

El asunto de una contratación correcta del encargado del manejo de redes sociales en una empresa, es aún una asignatura pendiente.

A pesar de que para muchos la Internet parece una zona anárquica y carente de leyes, en realidad han venido acuñándose ciertas reglas creadas alrededor de este nuevo entorno, lo que también ha supuesto nuevos criterios para las relaciones contractuales. ¿Cuál puede ser entonces un buen mecanismo para contratar a quien será responsable de nuestra estrategia de comunicación empresarial 2.0?

Si bien cada caso requiere de un análisis pormenorizado, a grandes rasgos podemos sugerir a las empresas que tengan en cuenta lo siguiente:

[su_list icon=”icon: circle-thin”]

  • Cree, modifique y actualice un manual de identidad corporativa, términos y condiciones de uso y la política de privacidad de su sitio web así como un manual de funciones para el CM.
  • Defina cuál será la responsabilidad del CM frente al uso de sus signos distintivos y si tendrá funciones derivadas del área de servicio al cliente. (Es importante que esta persona conozca si puede tomar decisiones o simplemente actúa como un filtro con otras áreas encargadas de resolver reclamos).
  • Asegúrese de dejar claro a estas personas que la empresa conservará en todo caso la gestión y control de la red social y que la actuación del CM no se hace a título personal sino institucional. (El contrato deberá establecer que todo el contenido así como los datos e información como usuarios / followers son de titularidad de la empresa). • Implemente, comparta y haga conocer a profundidad al CM su política de privacidad y manejo de datos personales y reglas sobre seguridad de la información. Esta persona deberá seguir meticulosamente su política a fin de mantener su reputación como empresa (sin mencionar que será su salvaguarda frente a escenarios donde se debata la responsabilidad de la empresa frente alguna crisis).
  • Imponga como necesarias reglas claras de exoneración de responsabilidad de la empresa frente a comentarios personales del CM. Esto evitará los excesos al momento de su actuación frente a comentarios de terceros o situaciones específicas de su trabajo.
  • Procure monitorear sus actuaciones y preste especial atención en la realización de campañas que tengan como medio la realización de un concurso, rifa o similar. Defina cuáles serán las normas en estos tipos de proyectos.
  • Frente al clausulado tenga en cuenta especificar los servicios que prestará el CM, excepciones, etc. Establezca un acuerdo de confidencialidad con sanciones pecuniarias en caso de incumplimiento, duración de los servicios, plazos de monitoreo, precio y condiciones de pago de los mismos.

[/su_list]

Análisis del Decreto 886 sobre protección de base de datos

Por: Iván Dario Marrugo Jiménez – @imarrugoj

Se expidió el decreto reglamentario que pone en marcha el Registro Nacional de Bases de Datos en Colombia. En efecto, junto con el Decreto 1377 de 2013, que reglamentó parcialmente la Ley de protección de datos, empieza a clarificarse el camino para un sistema completo en el país.

Decreto_1El análisis que hoy podemos hacer del recién expedido Decreto 886 inicia por la revisión en el aspecto cronológico de su expedición. Debemos anotar que el mismo no se expidió en el tiempo señalado normativamente, toda vez que el Artículo 25 de la Ley 1581 de 2012 menciona en su parágrafo que el gobierno debió reglamentarlo dentro del año posterior a la promulgación de la precitada ley. Si bien el Ministerio de Comercio, Industria y Turismo presentó hace algún tiempo un proyecto de decreto, la mencionada reglamentación esperó un tiempo bastante largo para ver la luz.

Es de resaltar los objetivos que vienen a cumplirse con el Registro Nacional de Bases de Datos como instrumento orientador del estado actual del fenómeno de los datos personales y su tratamiento automatizado o no.

Este nuevo proceso no comporta la construcción de un repositorio central de bases de datos sino que constituye, como bien lo indica el artículo 25 de la Ley, un directorio público de las bases de datos sujetas a tratamiento que operan en el país, y que será administrado por la Superintendencia de

Industria y Comercio. Su principal uso será como herramienta de supervisión y monitorización sobre el universo de sujetos obligados y, en últimas, como un elemento que permitirá el acceso a la información por parte de los titulares de datos personales.

Es de resaltar que este decreto guarda alta coincidencia con el proyecto de decreto presentado a consideración en 2013. Solamente fue eliminado de la información mínima del registro lo relativo a la “vigencia de la base de datos”. Recuérdese que todo tratamiento está sujeto a la temporalidad definida por el responsable y las condiciones particulares de las actividades sobre los datos; por tanto, no pueden existir tratamientos infinitos e indefinidos, y en cuanto a la finalidad del tratamiento debe acotarse también en su sujeción temporal.

El capítulo II del Decreto 886 define los elementos mínimos que contendrá el registro, sin perjuicio de que la Superintendencia de Industria y Comercio establezca mayores condiciones en cuanto a información en el proceso de registro. Los artículos 6 y 7 del decreto establecen las condiciones en que responsable y encargado presentarán la información del registro.

Obsérvese que como sujetos obligados, ambos actores procederán a realizar labores sobre el tratamiento que ejercen, lo cual por efectos operativos conducirá indefectiblemente a que exista correlación en bases de datos cuando se trate de un dato personal registrado de forma asincrónica tanto por un responsable como por el encargado. Debemos anotar que el titular podrá escoger a su arbitrio frente a quien presenta reclamación, pudiendo acudir al responsable del tratamiento.

El artículo 8 merece un poco más de análisis en lo relacionado con los canales para el ejercicio de derechos, ya que la experiencia práctica vivida con ocasión de las actividades del artículo 10 del Decreto 1377, hacen prever al menos como algo factible el que nuevamente se generen inconvenientes operativos para los sujetos en la actividad del registro. En la redacción de este octavo artículo no es totalmente claro cómo pueden los sujetos obligados cumplir con la exigencia de mantener el mismo canal por el que se recogió inicialmente el dato. Es bien sabido que los canales se sujetan a la realidad técnica y operativa al momento de la recolección, lo cual en muchos casos es imposible de mantener o reproducir con exactitud en un momento ulterior; es decir, no necesariamente el canal utilizado en la recolección de datos, como por ejemplo en una rifa, es el canal más adecuado en un momento posterior, y la obligación de mantener dicho canal supondría una carga desproporcionada para el responsable.

Los artículos 9, 10 y 11 del decreto representan la realidad del tratamiento adecuado de datos personales por las empresas y organizaciones, toda vez que recogen dos elementos fundamentales a la hora de las actividades con datos personales. Uno es la identificación (nombre), que obedece al proceso de clasificación y calificación, el cual deberá realizar el sujeto obligado con el fin de hacer la inscripción de forma correcta al Registro Nacional de Bases de Datos; en segunda medida, esta nominación debe estar acorde con la finalidad para la cual fueron recabados los datos personales.

El artículo 10 establece las formas de tratamiento, esto es, la modalidad en la que se ejerce el procesamiento de los datos; en términos generales, habrá tratamiento automatizado o tratamiento manual – no automatizado.

Por su parte, el artículo 11 establece, con respecto a las políticas de tratamiento, plena coincidencia con los artículos 25 de la Ley 1581 de 2012 y el 13 del Decreto 1377 de 2013 como documento estructural y de obligatoria observancia para los responsables.

Decreto_2Por otra parte, el capítulo III del decreto 886 de 2014 establece algunos aspectos procedimentales para la actividad del registro. Llama la atención el cambio de la fecha inicial para el registro, pues en el proyecto de decreto se había establecido un plazo de seis meses, pero finalmente se fijó en un año, el cual deberá contarse desde el momento en que la Superintendencia de Industria y Comercio abra el registro. Este capítulo también menciona que dicha Superintendencia impartirá otras instrucciones que suponemos se relacionan con aspectos formales tales como: plazos para el registro, proceso de identificación y autenticación de los usuarios, así como otros requisitos, tal como lo menciona el artículo 12 del decreto. El proceso de actualización de la información se realizará en un plazo máximo de dos meses.

Por último, es importante resaltar que si bien aún no se han expedido las recomendaciones en materia de medidas de seguridad de orden tecnológico, es cierto que en atención al artículo 26 del Decreto 1377 de 2013, hoy, toda empresa en Colombia debe tratar datos personales con medidas que impidan su pérdida, adulteración o fuga, y que dichas medidas técnicas deberán estar acordes con la naturaleza y tipología de datos personales, el tamaño de la empresa y los riesgos potenciales que el tratamiento podrían causar sobre los derechos de los titulares. Sabemos que la Delegatura de Protección de Datos viene trabajando en las recomendaciones de índole técnica y como se ha expresado en distintas ocasiones, la norma obliga a las empresas a contar con medidas de seguridad, pero no estaría de más tener un lineamiento sobre los estándares a utilizar en el resguardo de la información.

Se ha puesto una nueva piedra en la construcción de nuestro sistema de protección de datos personales y este procedimiento –presente en todas las legislaciones a nivel global– nos permitirá consolidar con elementos objetivos, la actividad legítima de las empresas y entidades en cuanto al tratamiento de los datos personales y, de igual forma, atender la expectativa de privacidad de los titulares de datos personales.