Implicaciones directas del régimen de protección al consumidor en el mercadeo digital

POR: CAMILO ALFONSO ESCOBAR MORA
gerente general de Jurídia, empresa de derecho preventivo para toda clase de
proyectos y asuntos de TIC
www.juridia.co.
Contacto: gerencia@juridia.co

A) En materia de información

1. En materia de información ordinaria (artículos 23 a 28, 49 a 54, 56, y 59 a 61 de la Ley 1480 de 2011). De conformidad con el numeral 7 del artículo 5, la información es “todo contenido y forma de dar a conocer la naturaleza, el origen, el modo de fabricación, los componentes, los usos, el volumen, peso o medida, los precios, la forma de empleo, las propiedades, la calidad, la idoneidad o la cantidad, y toda otra característica o referencia relevante respecto de los productos que se ofrezcan o pongan en circulación, así como los riesgos que puedan derivarse de su consumo o utilización”.

2. En materia de publicidad (artículos 29 a 33, 50, 56, y 59 a 61 de la Ley 1480 de 2011). De conformidad con el numeral 12 del artículo 5, la publicidad es “toda forma y contenido de comunicación que tenga como finalidad influir en las decisiones de consumo”.
Por su parte, de conformidad con el numeral 13 del artículo 5, la publicidad engañosa es “aquella cuyo mensaje no corresponda a la realidad o sea insuficiente, de manera que induzca o pueda inducir a error, engaño o confusión”.
B) En materia contractual (artículos 34 a 44, 46 a 54, 56, y 59 a 61 de la Ley 1480 de 2011) De conformidad con el numeral 4 del artículo 5, un contrato de adhesión es “aquel en el que las cláusulas son dispuestas por el productor o proveedor, de manera que el consumidor no puede modificarlas, ni puede hacer otra cosa que aceptarlas o rechazarlas”.
seguridadC) En materia de calidad (artículos 6 a 17, 56, 59 a 61, y 68 a 74 de la Ley 1480 de 2011) De conformidad con el numeral 1 del artículo 5, la calidad es la “condición en que un producto cumple con las características inherentes y las atribuidas por la información que se suministre sobre él”.
Por su parte, de conformidad con el numeral 6 del artículo 5, la idoneidad o eficiencia es la “aptitud del producto para satisfacer la necesidad o necesidades para las cuales ha sido producido o comercializado”. Finalmente, de conformidad con el numeral 5 del artículo 5, la garantía es la “obligación temporal, solidaria a cargo del productor y el proveedor, de responder por el buen estado del producto y la conformidad del mismo con las condiciones de idoneidad, calidad y seguridad legalmente exigibles o las ofrecidas. La garantía legal no tendrá contraprestación adicional al precio del producto”.
D) En materia de seguridad (artículos 7 a 17, 19 a 22, 56, y 59 a 61 de la Ley 1480 de 2011) De conformidad con el numeral 14 del artículo 5, la seguridad es la “condición del producto conforme con la cual en situaciones normales de utilización, teniendo en cuenta la duración, la información suministrada en los términos de la presente ley y si procede, la puesta en servicio, instalación y mantenimiento, no presenta riesgos irrazonables para la salud o integridad de los consumidores. En caso de que el producto no cumpla con requisitos de seguridad establecidos en reglamentos técnicos o medidas sanitarias, se presumirá inseguro”.
Por su parte, de conformidad con el numeral 17 del artículo 5, un producto defectuoso es “aquel bien mueble o inmueble que en razón de un error del diseño, fabricación, construcción, embalaje o información, no ofrezca la razonable seguridad a la que toda persona tiene derecho”.
E) En materia de hábeas data –protección de datos personales– (artículos 50 en su numeral f, 56 y 59 a 61 de la Ley 1480 de 2011) La ley 1480 no consagra una definición específica sobre el hábeas data, ni tampoco determina en detalle sus alcances o la forma en que se debe proteger este derecho de los consumidores por parte de los productores y proveedores. Sin embargo, la Ley 1581 de 2012 sí desarrolla completamente este tema, y la Constitución Política de Colombia en el artículo 15, que hace parte del capítulo sobre los derechos fundamentales, define su naturaleza y alcance: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.
En materia de hábeas data se deben tener presentes y aplicar los siguientes principios (señalados en las jurisprudencias de la Corte Constitucional de la República de Colombia):
• Principio de lealtad y licitud del dato: señala que el dato no puede ser recolectado por medios fraudulentos o desleales. Por tanto, la persona debe ser informada de la razón y los mecanismos por medio de los cuales se van a recibir sus datos.

• Principio de calidad de los datos: los datos deben ser exactos (íntegros e inalterados. Incluso se debe indicar fecha, modo y lugar de su captación).

ley• Principio de necesidad del dato: consagrado como el grado de relevancia, conducencia y pertinencia que posee el dato en el contexto en que se desea tratar dicho dato. Solo se puede captar el dato necesario, se debe evitar incurrir en excesos infundados de la información suministrada y/o solicitada por parte del Sistema de Seguridad Informática y en general del Sistema de Seguridad de la Información.

• Principio de finalidad del dato: entendido como el uso adecuado de la información exclusivamente para los propósitos en que es creado, almacenado, captado, y en general tratado. Por tanto, debe existir además una clara determinación de las competencias de los miembros que tratarán dichos datos sobre los alcances y los fines que pueden buscar y para los cuales se encuentran facultados cada uno de los miembros.

• Principio de actualidad del dato: por medio del cual la información tratada por el Sistema de Seguridad Informática y en general de Seguridad de la Información debe ser suficiente, veraz y oportuna. Dichos verbos rectores conducen a una interrelación con el principio de autodeterminación informativa conceptualizado como la prerrogativa otorgada al titular del dato para modificarlo,  suprimirlo o complementarlo cuando existan causas que así lo justifiquen para lograr una información fiable. Claro está que los datos administrados de tipo histórico que sirvan para fines estadísticos a nivel de antecedentes no pueden alterarse dada su naturaleza cronológica; si las circunstancias cambian, pueden incorporarse notas aclaratorias que expresen las transformaciones surtidas en la información con el transcurso del tiempo, si ese es el fin deseado.

• Principio de pertinencia del dato: postulándose que solo podrá reposar en la base de datos o ser monitoreado por parte del Sistema de Seguridad Informática y en general de Seguridad de la Información el dato que guarde causa o efecto eficiente con el objetivo del mercado relevante de un sistema de información (debe ser pertinente con el fin específico y momento concreto que dé origen a su captación). Cuando esto no se presente la información debe ser suprimida, no interceptada, no enviada o no solicitada.

• Principio de circulación restringida: dispone que solo el ente (empresa o entidad) facultado para captar, monitorear, almacenar y en general gestionar un dato tiene el derecho de tratarlo. Terceros agentes no tienen la autorización para conocer el dato. Además, este principio predica que el dato solo puede viajar por el sistema que guarda relación con el dato y no por otras redes.

• Principio de autodeterminación informativa: en el cual se manifiesta que todo titular de un dato goza de autonomía para configurar sus datos personales

El derecho preventivo en los proyectos de mercadeo basados en las TIC

POR: CAMILO ALFONSO ESCOBAR MORA
Gerente general de Juridia, empresa de Derecho Preventivo
para toda clase de proyectos y asuntos de TIC
www.juridia.co.
Contacto: gerencia@juridia.co

Existe una incertidumbre acerca del régimen jurídico que se aplica a las tecnologías de la información y las comunicaciones (TIC). Para muchos, las normas jurídicas que existen no son coherentes ni aplicables a esa nueva realidad digital y de convergencia tecnológica; para otros, es claro que existe un derecho aplicable a las TIC porque son un medio de comunicación y gestión, pero no un fin en sí mismo (es decir que no replantean el mundo ni, por lo tanto, al derecho).
Para superar ese dilema, es pertinente hacer una aclaración acerca de la forma en que el derecho aplica en los proyectos de TIC y, posteriormente, hacer unas reflexiones sobre la manera en que dichas normas se pueden cumplir de forma preventiva, idónea y eficaz.

Modelos de gestión de las TIC

En un primer modelo, las TIC tienen un sentido instrumental conforme al cual sirven como un medio transaccional, pero no son un fin en sí mismo (que es lo que ocurre cuando sirven para publicar o intercambiar información pero no son transaccionales plenamente).

90En un segundo modelo de gestión, las TIC tienen un sentido finalista con base en el cual brindan una interfaz de interacción plena entre los sujetos y objetos involucrados en una relación comunicativa. Por ejemplo, iTunes es autosuficiente, pues tanto la plataforma como sus productos son naturalmente digitales e involucran de manera integral todo el proceso comunicativo entre las partes.

Para ambas clases de modelo de gestión, se han establecido unos principios jurídicos a fin de darle pleno reconocimiento y validez jurídica y probatoria a las TIC. Estos principios (la mayoría están consagrados en la Ley 527 de 1999, en Colombia) son:
a) Principio de la equivalencia funcional. Hace referencia al reconocimiento de efectos jurídicos y probatorios a los soportes y medios digitales, dado que son equivalentes (no análogos) en sus funciones y efectos a los soportes y medios físicos tradicionales.
Por tanto, cuando una norma disponga que se debe cumplir con un determinado requisito (requisito concebido para los medios tradicionales), generador de efectos jurídicos, dicho requisito podrá ser satisfecho empleando medios, contenidos y soportes digitales (bien sea a nivel instrumental o finalista) siempre que se cumpla (no de manera idéntica, sino equiparable) con el objeto, alcance, formalidades, sustancia y finalidad perseguida por dicha norma.
Entonces lo relevante es cumplir con las formalidades y elementos esenciales y naturales que las normas establecen para un determinado acto, relación o negocio jurídico, aunque la forma de llevarlos a cabo emplee soportes y modelos logísticos distintos a los tradicionales.
Como se observa, las TIC deben someterse a las mismas prerrogativas, efectos, formalidades, funcionalidades, deberes, derechos y finalidades jurídicas que se han concebido (o conciban) para un acto o negocio jurídico que se desarrolle de forma física.
Esto permite que las actuaciones desarrolladas al interior de las tecnologías de la información y de las telecomunicaciones cuenten con seguridad, reconocimiento y validez jurídica.
Entonces lo que se debe hacer en cada proyecto de TIC es generar equiparaciones para cumplir con las formalidades, funcionalidades y finalidades exigidas por las normas jurídicas creadas para los
sistemas, medios y relaciones humanas basadas o logradas en átomos (es decir en medios físicos tradicionales) al interior de los sistemas, actuaciones, medios y relaciones humanas formadas, basadas o logradas en bits (es decir en medios digitales).
Esto se hace diseñando instrumentos de derecho preventivo a la medida de cada una de sus variables (por ejemplo: términos y condiciones de uso; políticas de protección de datos personales; contratos de licenciamiento de software, de compraventa, de prestación de servicios; contratos con los anunciantes, aliados, proveedores; protocolos jurídicos de seguridad de la información; manuales jurídicos de buenas prácticas para la protección al consumidor en medios digitales, entre otros).
Y si se acompaña lo anterior del empleo de medidas de seguridad técnica (como lo es el control de accesos a una plataforma) se potenciará el cumplimiento del derecho en las TIC. Ya que no solo se trata de contar con documentos, sino de generar realidades tecnológicas y humanas que permiten vivir, sentir y disfrutar del derecho a través de medidas técnicas que cumplan con los deberes y derechos que sean aplicables en una respectiva plataforma y que estén consagrados en cada uno de los instrumentos de
derecho preventivo que se creen e incorporen (por ejemplo, si la política de protección de datos personales establece que los datos que se recolecten serán almacenados en servidores seguros, pues la medida técnica –es decir tener un servidor seguro– permitirá que dicha premisa jurídica sea una realidad mayor).

b) Principio de la neutralidad tecnológica. Hace referencia a que las normas no pueden vincular la producción de efectos jurídicos a un entorno o tecnología específica.
Entonces existe plena aplicación, cobertura y amparo de las normas (sustantivas, procesales y probatorias) en una relación jurídica, sin distinción a la tecnología o procedimiento que sea
empleado por sus intervinientes. Y en correlación a lo anterior, toda tecnología está sometida al derecho porque es simplemente medio y no fin en sí misma, y siempre estará sujeta a la soberanía
y normatividad del Estado o Estados donde opere o cause efectos.
En complemento, este principio determina que las normas deben reconocer el resultado efectivo que brinda la tecnología, y no el medio tecnológico o modus operandi que se emplee, es decir, que se debe atender al fondo y no a la forma. Por esto, debe detectarse y atenderse todos los efectos que genere una tecnología específica y así determinar cuál es la normatividad que le aplica. Si las normas son neutrales
tecnológicamente, el derecho no posee vacíos legales en las TIC, solo es cuestión de adaptar, mediante los presentes principios, su aplicación a este medio.

91c) Principio de la prevalencia del derecho sustantivo preexistente. Hace referencia a que el derecho tradicional no debe modificarse, alterarse o desconocerse, sino precisamente prevalecer en su aplicación en los entornos digitales (en cualquier proyecto de TIC).
La trayectoria de la ciencia jurídica ha establecido unas categorías y principios del derecho que son flexibles, transversales y dúctiles, aplicables a los diversos estadios, contextos y desarrollos de la humanidad indistintamente a la calidad de los sujetos, objetos (canales, medios, soportes y entornos) y productos (bienes o servicios) que intervengan en una relación jurídica. Por ello, en cada proyecto de TIC aplicará la normatividad nacional, extranjera e internacional que le resulte vinculante según su modelo de operación y los efectos que cause.

d) Principio de la neutralidad de la red. Hace referencia a la facultad de intervención que poseen los oferentes de un proyecto de TIC (bien se trate de prestadores del servicio de acceso a Internet, prestadores de servicios en línea, productores, proveedores o comercializadores, tanto de carácter público como privado) en relación al grado de control o libertad que le brindan a los usuarios sobre las actitudes, accesos y contenidos digitales (de audio, voz, imagen, texto o sus combinaciones) que estos almacenan, transmiten, crean, emiten, comparten y en general gestionan por medio de sus redes, infraestructuras, plataformas, servicios y aplicaciones.
Este principio tiene dos posturas:
• Para algunos, debe existir plena libertad en el tráfico de datos porque nadie tiene soberanía en las TIC ni puede alterar su navegación, operación y uso espontáneo (por ejemplo, para esta postura, la Internet nació como un proyecto y medio libre y no es válido limitar la interactividad sobre los datos que viajan por la Red o sobre las actividades que se desarrollan al interior de la misma).
• Para otros, debe existir un control previo sobre todo dato que viaje en un proyecto de TIC o sobre toda actuación que se desarrolle por este medio, para así evitar los daños previsibles y mitigar los riesgos previsibles (por ejemplo, para esta postura, el administrador de una red social o de una aplicación debe verificar el contenido de los datos y actividades que un usuario vaya a presentar a otro y solo permitirá su envío si no es ilegal).

Ambas visiones se encuentran limitadas y ajustadas en la teoría del abuso del derecho, por medio de la cual no se podrá abusar del ejercicio del derecho a la libertad ni tampoco del ejercicio del derecho de control. Lo anterior debido a que el derecho de una persona solo puede llegar hasta donde inicia el
derecho de otra persona y solo puede ser restringido un derecho cuando exista una orden oficial de carácter judicial o de carácter administrativo que así lo disponga.

Entonces en cada iniciativa se deberá generar un balance (proporcionalidad) entre libertad y control (restricción) según las variables que se encuentren presentes en cada proyecto de mercadeo soportado en TIC. Con base en su naturaleza, objeto y efectos, se determinará cómo lograrlo de manera válida; si se trata, por ejemplo, de una aplicación que proyecta datos de menores de edad, se exigirá que se aplique un mayor control, pero si se trata de un blog sobre el clima, no existirá mayor control que el ordinario y, por ende, se brindará más libertad.

Ahora bien, para lograr un cumplimiento preventivo de las normas que sean aplicables a un proyecto de mercadeo desarrollado mediante las TIC se debe determinar la clase de plataforma, infraestructura, datos, contenidos, servicios, sector, territorio y modelo de negocio del involucrado.

Es claro que el derecho aplica sin problema alguno en las TIC en virtud de los principios de validez jurídica previamente ilustrados.
De esta forma, la Ley 527 de 1999 es la norma base y, según cada modelo de negocio y de gestión involucrado, aplicará regulación sectorial.
Por tanto, en cada proyecto de mercadeo digital se deben crear instrumentos jurídicos de derecho preventivo a la medida de cada una de sus variables y de la normatividad que le sea aplicable según su naturaleza, objeto y efectos.

Entonces, el problema del derecho no es de objeto sino de sujeto, porque el derecho sí es completo y aplicable a cualquier desarrollo o asunto humano (por ejemplo las TIC). El problema es de las personas que lo desconocen, no lo aplican sistemáticamente o no saben llevarlo a un caso concreto o variable específica (es una labor de creatividad con calidad y estrategia).

De esta forma, la seguridad jurídica (y la confianza) en las TIC se logra a partir de la capacidad para diseñar soluciones e instrumentos de derecho preventivo en cada una de sus etapas de interacción con los usuarios.

Dichos insumos de derecho preventivo deben estar presentes desde la navegación en la herramienta (es decir en una relación extracontractual) hasta la realización de transacciones dentro de ella (es decir en una relación contractual si se trata de plataformas de empresas privadas o en la prestación de un servicio público, si se trata de plataformas que cumplan alguna función pública).

Con ello se permite que en cada proyecto de mercadeo basado en TIC se cumpla con los deberes y con los derechos que consagre la normatividad general y especial que sea aplicable según cada caso, por medio de una experiencia de usuario precisa, coherente, minimalista, idónea, creativa y fundamentada. Así las TIC se pueden diseñar, desarrollar, aprovechar y ejecutar con eficiencia, seguridad, confianza e innovación jurídica.

El derecho preventivo en los proyectos de mercadeo basados en tecnologías de la información y las comunicaciones (TIC)

A continuación se expone un escrito producto de mis hallazgos, fundamentaciones, consideraciones y aportes para que el derecho aplique con claridad y de forma adecuada en los proyectos de mercadeo que se desarrollan por medio de tecnologías de la información y las comunicaciones (en adelante TIC).

Existe una incertidumbre acerca del régimen jurídico que aplica a las TIC. Para muchos las normas jurídicas que existen no son coherentes ni aplicables a esa nueva realidad digital y de convergencia tecnológica. Para otros es claro que existe un derecho aplicable a las TIC porque son un medio de comunicación y gestión, pero no un fin en sí mismo (es decir que no replantean el mundo, ni por lo tanto al derecho).

Para superar ese dilema es pertinente hacer una aclaración acerca de la forma en que el derecho aplica en los proyectos de TIC y posteriormente hacer unas reflexiones sobre la manera en que dichas normas se pueden cumplir de forma preventiva, idónea y eficaz.

Las TIC, poseen dos principales de modelos de gestión.

1En un primer modelo de gestión las TIC tienen un sentido instrumental conforme al cual sirven como un medio transaccional, pero no son un fin en sí mismo (que es lo que ocurre cuando sirven para publicar o intercambiar información pero no son transaccionales plenamente).

En un segundo modelo de gestión las TIC tienen un sentido finalista con base en el cual brindan una interface de interacción plena entre los sujetos y objetos involucrados en una relación comunicativa[1].

Para ambas clases de modelos de gestión, se han establecido unos principios jurídicos para darle pleno reconocimiento y validez jurídica y probatoria a las TIC. Estos principios (la mayoría están consagrados en la Ley 527 de 1999, en Colombia) son:

a). Principio de la equivalencia funcional: Hace referencia al reconocimiento de efectos jurídicos y probatorios a los soportes y medios digitales, dado que son equivalentes (no análogos) en sus funciones y efectos a los soportes y medios físicos tradicionales.

Por tanto, cuando una norma disponga que se debe cumplir con un determinado requisito, requisito concebido para los medios tradicionales, generador de efectos jurídicos[2], dicho requisito podrá ser satisfecho empleando medios, contenidos y soportes digitales (bien sea a nivel instrumental o finalista) siempre que se cumpla (no de manera idéntica -analógica-, sino equiparable) a cabalidad con el objeto, alcance, formalidades, sustancia y finalidad perseguida por dicha norma,

Es decir que lo relevante es que se cumpla con las formalidades y elementos esenciales y naturales que las normas establecen para un determinado acto, relación o negocio jurídico, aunque su forma de llevarlos a cabo emplee soportes y modelos logísticos distintos a los tradicionales.

Como se observa, las TIC deben someterse a las mismas prerrogativas, efectos, formalidades, funcionalidades, deberes, derechos y finalidades jurídicas que las que se han concebido (o conciban) para un acto o negocio jurídico que se desarrolle de forma física tradicional[3].

Esto permite que las actuaciones desarrolladas al interior de las tecnologías de la información y de las telecomunicaciones cuenten con seguridad, reconocimiento y validez jurídica.

Entonces lo que se debe hacer en cada proyecto de TIC es generar equiparaciones para cumplir con las formalidades, funcionalidades, y finalidades exigidas por las normas jurídicas creadas para los sistemas, actuaciones, medios y relaciones humanas basadas o logradas en átomos (es decir en medios físicos -tradicionales-) al interior de los sistemas, actuaciones, medios y relaciones humanas formadas, basadas o logradas en bits (es decir en medios digitales).

Esto se hace diseñando instrumentos de derecho preventivo a la medida de cada una de sus variables (por ejemplo: términos y condiciones de uso, políticas de protección de datos personales, contratos de licenciamiento del software, contratos de compraventa, contratos de prestación de servicios, contratos con los anunciantes, contratos con los aliados, contratos con los proveedores, protocolos jurídicos de seguridad de la información, manuales jurídicos de buenas prácticas para la protección al consumidor en medios digitales, entre otros).

Y si se acompaña lo anterior del empleo de medidas de seguridad técnica (como lo es el control de accesos a una plataforma) se potenciará el cumplimiento del derecho en las TIC. Ya que no solo se trata de contar con documentos sino de generar realidades tecnológicas y humanas que permiten vivir, sentir y disfrutar del derecho a través de medidas técnicas que cumplan con los deberes y derechos que sean aplicables en una respectiva plataforma y que estén consagrados en cada uno de los instrumentos de derecho preventivo que se creen e incorporen (por ejemplo si la política de protección de datos personales establece que los datos que se recolecten serán almacenados en servidores seguros, pues la medida técnica -es decir tener un servidor seguro- permitirá que dicha premisa jurídica sea una realidad mayor. O si en el manual de buenas prácticas de protección al consumidor se establece que no se le puede proyectar publicidad engañosa pues el hacer un video que acompañe un anuncio gráfico o textual permitirá que el consumidor comprenda mejor el mensaje y así será toda una experiencia de derecho preventivo constante y muy agradable-.

2b). Principio de la neutralidad tecnológica: Hace referencia a que las normas no pueden vincular la producción de efectos jurídicos a un entorno, contexto o tecnología específica[4].

Entonces existe plena aplicación, cobertura y amparo de las normas (sustantivas, procesales y probatorias) en una relación jurídica, sin distinción a la tecnología o procedimiento que sea empleado por sus intervinientes. Y en correlación a lo anterior, toda tecnología está sometida al derecho porque son simplemente medios y no fines en sí mismas -y siempre estarán sujetas a la soberanía y normatividad del Estado o Estados donde operen o causen efectos[5]-).

En complemento, este principio determina que las normas deben reconocer el resultado efectivo que brinda la tecnología[6], y no el medio tecnológico o modus operandi que se emplee (es decir que se debe atender al fondo y no a la forma. Se deben detectar y atender todos los efectos que genere una tecnología específica y según ello se determinará cuál es la normatividad que le aplica), para así brindar sobre el mismo una adecuada aplicación del derecho sustantivo y procesal, y un control por los presuntos vacíos legales, dado que si las normas son neutrales tecnológicamente el derecho no posee vacíos legales en las TIC, pues es cuestión de adaptar, mediante los presentes principios, su aplicación a este medio.

c). Principio de la prevalencia del derecho sustantivo preexistente: Hace referencia a que el derecho tradicional no debe modificarse, alterarse o desconocerse, sino precisamente prevalecer en su aplicación en los entornos digitales (en cualquier clase de proyecto de TIC).

La trayectoria de la ciencia jurídica ha establecido unas categorías y principios del derecho que son flexibles, transversales y dúctiles, aplicables a los diversos estadios, contextos y desarrollos de la humanidad indistintamente a la calidad de los sujetos, objetos (canales, medios, soportes, y entornos) y productos (bienes o servicios) que intervengan en una relación jurídica. Por ello, en cada proyecto de TIC aplicará la normatividad nacional, extranjera e internacional que le resulte vinculante según su modelo de operación y los efectos que cause.

Solo se deberán crear nuevas normas cuando los elementos normativos existentes resulten realmente insuficientes (y de hecho aunque una norma resulte insuficiente o ambigua en algún punto, aspecto o tema, los principios generales del derecho siempre aplicarán -por ejemplo el principio de buena fe aplicará a cualquier desarrollo de TIC, incluso en la teletransportación si se llega a crear-. Por lo tanto el derecho no está ni se quedará corto frente a las TIC).

d). Principio de la neutralidad de la red: Hace referencia a la facultad de intervención que poseen los oferentes de un proyecto de TIC (bien sea prestadores del servicio de acceso a internet, prestadores de servicios en línea, productores, proveedores o comercializadores, tanto de carácter público como privado) en relación al grado de control o libertad -permisividad- que le brindan a los usuarios sobre las actitudes, accesos y contenidos digitales (de audio, voz, imagen, texto, o sus combinaciones) que estos almacenan, transmiten, crean, emiten, comparten y en general gestionan por medio de sus redes, infraestructuras, plataformas, servicios y/o aplicaciones.

Este principio tiene dos vertientes (cosmovisiones -posturas-):

– Para algunos debe existir plena libertad en el tráfico de datos porque nadie tiene soberanía en la TIC y nadie puede alterar su navegación, operación y uso espontáneo (por ejemplo, para esta postura, la Internet nació como un proyecto y medio libre y no es válido limitar la interactividad sobre los datos que viajan por la red o sobre las actividades que se desarrollan al interior de la misma).

– Para otros debe existir un control previo sobre todo dato que viaje en un proyecto de TIC o sobre toda actuación que se desarrolle por este medio para así evitar los daños previsibles y mitigar los riesgos previsibles (por ejemplo, para esta postura, el administrador de una red social o de una app debe verificar el contenido de los datos y actividades que un usuario vaya a presentar a otro y solo permitirá su envío si no es ilegal -es decir si existe certeza que no se va a causar un daño o a generar un riesgo elevado de daño-).

Ambas visiones se encuentran limitadas y ajustadas en la teoría del abuso del derecho por medio de la cual no se podrá abusar del ejercicio del derecho a la libertad ni tampoco del ejercicio del derecho de control. Lo anterior debido a que el derecho de una persona solo puede llegar hasta donde inicia el derecho de otra persona y solo puede ser restringido un derecho cuando exista una orden oficial de carácter judicial o administrativo que así lo disponga.

Entonces en cada iniciativa se deberá generar un balance (proporcionalidad) entre libertad y control (restricción) según las variables que se encuentren presentes en cada proyecto de mercadeo soportado en TIC. Con base en su naturaleza, objeto y efectos se determinará como lograrlo de manera válida; si se trata por ejemplo si una aplicación que proyecta datos de menores de edad se exige se debe aplicar un mayor control o si por ejemplo se trata de un blog sobre el clima no existirá mayor control que el ordinario, y por ende se brindará más libertad.

4Ahora bien, para lograr un cumplimiento preventivo de las normas que sean aplicables a un proyecto de mercadeo desarrollado mediante las TIC se debe determinar la clase de plataforma, infraestructura, datos, contenidos, servicios, sector, territorio, y modelo de negocio de involucrado.

Es claro que el derecho aplica sin problema alguno en las TIC en virtud de los principios de validez jurídica previamente ilustrados. De esta forma la Ley 527 de 1999 es la norma base y, en complemento a ella, según cada modelo de negocio y de gestión involucrado aplicará su regulación sectorial.

Por tanto, en cada proyecto de mercadeo digital se deben crear instrumentos jurídicos de derecho preventivo a la medida de cada una de sus variables y de la normatividad que le sea aplicable según su naturaleza, objeto y efectos, por ejemplo (se reiteran algunos de los instrumentos señalados previamente cuando se ilustró el principio de la equivalencia funcional): términos y condiciones de uso; política de protección de datos personales; leyendas legales concretas, visibles y claras en cada pantalla que se le proyecte al usuario; manual jurídico de buenas prácticas del mercadeo digital; contratos a la medida de los negocios e intervinientes que se encuentren presentes en cada proyecto; manuales jurídicos de protección y gestión de la propiedad intelectual; códigos de conducta para la protección al consumidor; modelos jurídicos de seguridad de la información; capacitaciones jurídicas permanentes; sellos de confianza, marcas de certificación, retroalimentación y asesoría legal continua de las normas aplicables a los proyectos de mercadeo según el sector, usuarios, estrategias, y territorios involucrados, etc.

Entonces el problema del derecho no es de objeto sino de sujeto, porque el derecho si es completo y aplicable a cualquier desarrollo o asunto humano (por ejemplo las TIC), el problema es de las personas que lo desconocen, que no lo aplican sistemáticamente, o que no lo saben aterrizar a un caso concreto o variable específica (es una labor de creatividad con calidad y estrategia).

De esta forma la seguridad jurídica (y la confianza) en las TIC se logra a partir de la capacidad para diseñar soluciones e instrumentos de derecho preventivo en cada una de sus etapas de interacción con los usuarios.

Dichos insumos de derecho preventivo deben estar presentes desde la navegación en la herramienta (es decir en una relación extracontractual) hasta la realización de transacciones dentro de ella (es decir en una relación contractual si se trata de plataformas de empresas privadas o en la prestación de un servicio público si se trata de plataformas que cumplan alguna función pública).

Con ello se permite que en cada proyecto de mercadeo basado en TIC se cumpla con los deberes y derechos que consagre la normatividad general y especial que sea aplicable según cada caso por medio de una experiencia de usuario precisa, coherente, minimalista, idónea, creativa y fundamentada. Así las TIC se pueden diseñar, desarrollar, aprovechar y ejecutar con eficiencia, seguridad, confianza e innovación jurídica.

[1]     Por ejemplo iTunes es autosuficiente -finalista- pues tanto la plataforma como sus productos son naturalmente digitales e involucran de manera integral todo el proceso comunicativo entre las partes. Incluso creando aplicaciones comunicativas a la medida de los usuarios, dando paso a una innovación en la dinámica de un modelo de gestión determinado, o incluso generando un nuevo modelo de gestión desconocido en el estado del arte.

[2]     Tal como lo es el requisito jurídico de validez de las herencias realizadas mediante testamento en Colombia, consagrado en el Código Civil Colombiano, consistente en que un testamento debe constar en un documento físico original -es decir que conste en papel, sea el primero expedido, y sea el directamente creado por el testador- y poseer la firma manuscrita de su creador -testador-.

[3]     Equiparando funcionalmente el caso descrito sobre la herencia realizada mediante testamento, el requisito de documento físico puede ser satisfecho mediante un documento electrónico y el requisito de la firma manuscrita puede ser satisfecho mediante una firma electrónica.

[4]     V. gr. El nuevo estatuto del consumidor, Ley 1480 de 2011, aplica tanto en escenarios físicos como en escenarios digitales, pues resulta indiferente el medio empleado en una relación jurídica (lo relevante es proteger al consumidor en cualquier relación que tenga con una empresa, indistinto a como se desarrolle la relación). Inclusive, si el modelo de gestión es finalista se deben detectar, en virtud de la equivalencia funcional, los deberes y derechos existentes entre un modelo de gestión tradicional para igualmente exigirlos y aplicarlos en un modelo de gestión finalista (plenamente digital) para garantizar la seguridad jurídica pues no se debe distinguir,  alterar o limitar el derecho en razón a la tecnología y procedimiento que se encuentre involucrado -como lo es en el caso de YouTube donde si bien este es un modelo de gestión finalista, porque el consumidor no solo es adquirente de contenidos digitales sino que también puede ser un creador o gestor de contenidos digitales (por ello al consumidor se le denomina en estos modelos un PROSUMER, productor y consumidor de contenidos) esto no puede confundir a la ciencia jurídica, ya que en todo caso debe existir un derecho del consumo aplicable de una parte a la visualización (recepción) de contenidos y de otra parte a la generación (emisión) de contenidos, al ser dos momentos distintos e individualizables-.

[5]     Superando así la confusión y afirmación errónea que establece que el derecho posee vacíos legales en los modelos de gestión de las TIC, tanto instrumentales como finalistas, debido a que la tecnología es más ágil y dinámica que las normas escritas

[6]     Es decir que los datos y actuaciones desarrolladas digitalmente tienen como naturaleza y resultado el emitir contenidos de audio, voz, imagen, texto, o sus combinaciones entre sí. Siendo esto así, la neutralidad tecnológica permite que el derecho se enfoque es en el resultado (efectos) que cause un dato y una actuación efectuada digitalmente y no en su medio y forma de gestión (tecnología y forma de operación).

Por: Camilo Alfonso Escobar Mora©
Gerente General de Jurídia

Jurídia – Centro de Alta Formación en Derecho Preventivo de las Tecnologías de la Información y las Comunicaciones

www.juridia.co
Contacto: gerencia@juridia.co

Implicaciones directas del régimen de protección al consumidor en el mercadeo digital

La Ley 1480 de 2011 (estatuto del consumidor colombiano) establece los siguientes deberes que su empresa debe cumplir plenamente en la planeación, diseño y ejecución de campañas de mercadeo digital:

A) EN MATERIA DE INFORMACIÓN:

A) 1. EN MATERIA DE INFORMACIÓN ORDINARIA (artículos 23 a 28, 49 a 54, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 7 del artículo 5 de la Ley 1480 de 2011 la información es “Todo contenido y forma de dar a conocer la naturaleza, el origen, el modo de fabricación, los componentes, los usos, el volumen, peso o medida, los precios, la forma de empleo, las propiedades, la calidad, la idoneidad o la cantidad, y toda otra característica o referencia relevante respecto de los productos que se ofrezcan o pongan en circulación, así como los riesgos que puedan derivarse de su consumo o utilización”.

A) 2. EN MATERIA DE PUBLICIDAD (artículos 29 a 33, 50, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 12 del artículo 5 de la Ley 1480 de 2011 la publicidad es “Toda forma y contenido de comunicación que tenga como finalidad influir en las decisiones de consumo”.

Por su parte, de conformidad con el numeral 13 del artículo 5 de la Ley 1480 la publicidad engañosa es “Aquella cuyo mensaje no corresponda a la realidad o sea insuficiente, de manera que induzca o pueda inducir a error, engaño o confusión”.

LAWB) EN MATERIA CONTRACTUAL (artículos 34 a 44, 46 a 54, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 4 del artículo 5 de la Ley 1480 de 2011 un contrato de adhesión es “Aquel en el que las cláusulas son dispuestas por el productor o proveedor, de manera que el consumidor no puede modificarlas, ni puede hacer otra cosa que aceptarlas o rechazarlas”.

C) EN MATERIA DE CALIDAD (artículos 6 a 17, 56, 59 a 61, y 68 a 74 de la Ley 1480 de 2011):

De conformidad con el numeral 1 del artículo 5 de la Ley 1480 de 2011 la calidad es la “Condición en que un producto cumple con las características inherentes y las atribuidas por la información que se suministre sobre él”.

Por su parte, de conformidad con el numeral 6 del artículo 5 de la Ley 1480 de 2011 la idoneidad o eficiencia es la “Aptitud del producto para satisfacer la necesidad o necesidades para las cuales ha sido producido o comercializado”.

Finalmente, de conformidad con el numeral 5 del artículo 5 de la Ley 1480 de 2011 la garantía es la “Obligación temporal, solidaria a cargo del productor y el proveedor, de responder por el buen estado del producto y la conformidad del mismo con las condiciones de idoneidad, calidad y seguridad legalmente exigibles o las ofrecidas. La garantía legal no tendrá contraprestación adicional al precio del producto”.

D) EN MATERIA DE SEGURIDAD (artículos 7 a 17, 19 a 22, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 14 del artículo 5 de la Ley 1480 de 2011 la seguridad es la “Condición del producto conforme con la cual en situaciones normales de utilización, teniendo en cuenta la duración, la información suministrada en los términos de la presente ley y si procede, la puesta en servicio, instalación y mantenimiento, no presenta riesgos irrazonables para la salud o integridad de los consumidores. En caso de que el producto no cumpla con requisitos de seguridad establecidos en reglamentos técnicos o medidas sanitarias, se presumirá inseguro”.

Por su parte, de conformidad con el numeral 17 del artículo 5 de la Ley 1480 de 2011 un producto defectuoso es “Aquel bien mueble o inmueble que en razón de un error el diseño, fabricación, construcción, embalaje o información, no ofrezca la razonable seguridad a la que toda persona tiene derecho”.

E) EN MATERIA DE HÁBEAS DATA -PROTECCIÓN DE DATOS PERSONALES- (artículos 50 en su numeral f, 56 y 59 a 61 de la Ley 1480 de 2011):

La Ley 1480 de 2011 no consagra una definición específica sobre el hábeas data, ni tampoco determina en detalle sus alcances y/o la forma en que se debe proteger este derecho de los consumidores por parte de los productores y/o proveedores. Sin embargo, la Ley 1581 de 2012 si desarrolla completamente este tema, y por su parte la Constitución Política de Colombia en el artículo 15, que hace parte del capítulo sobre los derechos fundamentales, define su naturaleza y alcance -se subraya en negrilla el aparte puntual relativo al derecho de hábeas data- “Todas las personas tienen derecho a su intimidad personal y familiar y a su  buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

marketing_digitalEn materia de habeas data se deben tener presentes y aplicar los siguientes principios (señalados en las jurisprudencias de la Corte Constitucional de la República de Colombia):

Principio de lealtad y licitud del dato: Señala que el dato no puede ser recolectado por medios fraudulentos o desleales. Por tanto, la persona debe ser informada de la razón y los mecanismos por medios de los cuales se van a recepcionar sus datos.

Principio de calidad de los datos: Los datos deben ser exactos (íntegros e inalterados. Incluso se debe indicar fecha, modo y lugar de como se captaron).

Principio de necesidad del dato: Consagrado como el grado de relevancia (conducencia y pertinencia que posee el dato en el contexto en que se desea tratar dicho dato. Solo se puede captar el dato necesario, se debe evitar incurrir en excesos infundados de la información suministrada y/o solicitada por parte del Sistema de Seguridad Informática y en general del Sistema de Seguridad de la Información.

Principio de finalidad del dato: Entendido como el uso adecuado de la información exclusivamente para los propósitos en que es creado, almacenado, captado, y en general tratado. Por tanto debe existir además una clara determinación de las competencias de los miembros que trataran dichos datos sobre los alcances y los fines que puede buscar y para los cuales  se encuentra facultado cada uno de los miembros.

Principio de actualidad del dato: Por medio del cual la información tratada por el Sistema de Seguridad Informática y en general de Seguridad de la Información debe ser suficiente, veraz y oportuna. Dichos verbos rectores conducen a una interrelación con el principio de autodeterminación informativa conceptualizado como la prerrogativa otorgada al titular del dato para modificarlo, suprimirlo, o complementarlo cuando existan causas que así lo justifiquen para lograr una información fiable. Claro está que los datos administrados a nivel histórico que sirvan para fines estadísticos a nivel de antecedentes no pueden alterarse dada su naturaleza cronológica y si las circunstancias cambian pueden incorporarse notas aclaratorios que expresen las transformaciones surtidas en la información con el transcurso del tiempo, si ese es el fin deseado.

Principio de pertinencia del dato: Postulándose que solo podrá reposar en la base de datos o ser monitoreado por parte del Sistema de Seguridad Informática y en general de Seguridad de la Información el dato que guarde causa o efecto eficiente con el objetivo del mercado relevante de un sistema de información (debe ser pertinente con el fin específico y momento concreto que dé origen a su captación). Cuando esto no se presente la información debe ser suprimida, no interceptada, no enviada, o no solicitada.

Principio de circulación restringida: Dispone que solo el ente (empresa o entidad) facultado para captar, monitorear, almacenar y en general gestionar un dato tiene el derecho de tratarlo. Terceros agentes no tienen la autorización para conocer el dato. Además éste principio predica que el dato solo puede viajar por el sistema que guarda relación con el dato y no por otras redes.

Principio de autodeterminación informativa: En el cual se manifiesta que todo titular de un dato goza de autonomía para configurar sus datos personales ante un sistema de información. En ese orden, no se podrá constreñir a un titular para que entregue sus datos, y siempre se debe contar con su autorización de manera expresa y previa a su recolección y uso.

Por: Camilo Alfonso Escobar Mora©
Gerente General de Jurídia

Jurídia – Centro de Alta Formación en Derecho Preventivo de las Tecnologías de la Información y las Comunicaciones

www.juridia.co
Contacto: gerencia@juridia.co

 

 

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

Análisis del Decreto 1377 de 2013 a propósito de la protección de datos en Colombia

Por: Iván Marrugo Jiménez
@imarrugoj

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

Un punto importante con relación al art. 3 del decreto se refiere a que subsisten las inquietudes frente a lo que se entiende por transferencia y transmisión de datos, ya que estas nociones permanecen de manera imprecisa y aún no logran aclarar lo que aparece de manera indeterminada en la Ley 1581 de 2012. Al respecto puede inferirse del articulado (en contexto con el art. 26 de la ley) que ambas nociones guardan una estrecha consonancia, pero debe advertirse que la transferencia hace alusión al procedimiento relacional (en el sentido consensual, mediando o no contrato) entre el responsable y un receptor (que adquiere el papel de responsable) ubicado dentro o fuera de Colombia. Por otra parte, la transmisión se refiere más a la operación (proceso) de comunicar –enviar un flujo de datos–, en una relación de extremos, entre el responsable y el encargado. Debe notarse que la ley señala que la transmisión implica per se un tratamiento sobre el dato, mientras que la transferencia no.

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

En el capítulo 2 del decreto se agrupan una serie de nociones frente al elemento ‘autorización’ bajo los principios que orientan el deber ser en el tratamiento de datos personales. En efecto, el art. 4 desarrolla, bajo los principios de finalidad y libertad, la forma como debe operar la recolección de los datos de los titulares. En el art. 7 del decreto se regula el modo de obtener la autorización bajo el amparo del art. 9 de la ley. Permite el tratamiento automatizado de la autorización, siempre que ella se manifieste por escrito o de forma verbal o por medio de una conducta del titular que permita inferir de forma razonable su consentimiento en el tratamiento de la información.

Aclara el artículo que a esta inferencia no puede arribarse por vía del silencio del titular. El art. 9 del decreto, al desarrollar la facultad del titular de revocar la autorización y por esta vía suprimir sus datos, introdujo como obligatorio para el responsable y encargado la disposición de mecanismos gratuitos y de fácil acceso para presentar su solicitud de supresión. Una vez efectuada la reclamación por parte del titular, el encargado contará con 15 días hábiles (en términos generales) para proceder a su supresión o de lo contrario será sancionado.

Especial mención hacemos del art. 10 del decreto ya que introduce un procedimiento para la refrendación o validación de los datos personales recogidos con anterioridad a la vigencia del decreto. La disposición en mención impone a los responsables y encargados un procedimiento que deberá cumplirse a fin de continuar con el tratamiento de datos personales sobre bases de datos anteriores al decreto. La validación de los datos recogidos en bancos de datos hasta el día 26 de junio de 2013 podrá hacerse así:

El responsable solicitará la autorización a los titulares para continuar con el tratamiento; esto lo podrá hacer por un medio automático (correo electrónico, página web, etc.) permitiendo que el titular autorice por cualquier medio su tratamiento. En esta misma comunicación el responsable deberá hacer conocer al titular su política de tratamiento de la información, así como el modo de ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos. Si transcurridos 30 días hábiles a partir de dicha comunicación, el titular no expresa su intención de supresión del dato, la norma supone que ha operado la autorización y, por ende, el responsable o encargado podrá continuar con el tratamiento en las condiciones y finalidades señaladas en la política. En todo caso, subsistirán para el responsable el cumplimiento de todas las reglas y principios en el tratamiento de los datos. El parágrafo del art. 10 del decreto crea un periodo de gracia de 30 días para quien requiera implementar medios alternativos de comunicación con los titulares.

El capítulo 3 del decreto aborda la cuestión de las políticas de tratamiento como documento cardinal para el establecimiento de un macrosistema de aseguramiento de la información en las organizaciones. Este documento será la carta de navegación para las empresas para el manejo adecuado en protección de datos. Asimismo, se advierte sobre la necesidad de confeccionar el aviso de privacidad como otra herramienta para la difusión de las políticas a los titulares de los datos. El art. 16 señala la obligación de conservar el modelo de aviso de privacidad utilizado en momentos específicos, por lo que las empresas deberán adoptar mecanismos para su conservación. El art. 19 señala que por medio de instrucciones en materia de seguridad de la información, la Superintendencia de Industria y Comercio impartirá directrices, las cuales constarán en circulares y resoluciones. El art. 23 del decreto hace obligatoria la adopción a nivel organizacional de la función de responsable de los datos personales. Al señalar que esta designación puede recaer sobre una persona o un área, configura de manera amplia la forma en que las empresas podrán cumplir con dicho requisito.

Por otra parte, en el capítulo 4 del decreto se trata la regulación de la transmisión y transferencia internacional de datos, y como se señaló arriba, persisten serias dudas sobre el alcance de ambas figuras. Parece existir un yerro en el art. 24, ya que en el numeral 2 se habla expresamente de la transmisión internacional de datos sin que sea necesario informar al titular de tal circunstancia (la transmisión) ni contar con su autorización si entre el responsable y el encargado media un contrato. Mediante una interpretación rigurosa del artículo en su contexto entendemos que esta exclusión también debe amparar la transmisión de datos que se hace dentro del territorio nacional; sin embargo, la redacción de la norma está desarrollada para otorgar dicho beneficio solo en la transmisión internacional y no para la nacional. Bajo el art. 25 se señala que el contrato entre responsable y encargado deberá especificar las circunstancias especiales y las principales características del instrumento regulador de la relación entre el dueño de la base de datos y quien la gestiona (encargado).

El último capítulo del decreto se encarga de desarrollar el postulado de responsabilidad demostrada, como deber empresarial en el tratamiento de datos personales. Esta demostración se analizará a petición de la Delegatura para la Protección de Datos Personales, teniendo en cuenta entre otros factores: el tamaño de la empresa, su naturaleza jurídica, la naturaleza de los datos, el tipo de tratamiento y los riesgos potenciales. El art. 26 del decreto establece que la Superintendencia podrá solicitar a las empresas una descripción de sus procedimientos, así como evidencia de las medidas adoptadas en materia de aseguramiento de la información. Esto último no parece apropiado en esta etapa, ya que es deber de la Superintendencia impartir directrices en esta materia, lo que se hará a medida que se desarrolle nuestro sistema de protección de datos. Por lo anterior, este último escenario se dificulta en su condición temporal. El art. 27 finaliza señalando que la Superintendencia impartirá las directrices, tomando como parámetros de revisión en las organizaciones lo siguiente:

[su_list icon=”icon: circle-thin”]

  • La existencia de una estructura en la organización que propenda por la implementación de reglas sobre protección de datos.
  • La adopción de mecanismos internos para llevar a la práctica las políticas.
  • Los procesos que garanticen la atención de las prerrogativas de los titulares en ejercicio de los derechos a conocer, actualizar, rectificar y suprimir la información que sobre ellos se ha recogido.

[/su_list]