Implicaciones directas del régimen de protección al consumidor en el mercadeo digital

La Ley 1480 de 2011 (estatuto del consumidor colombiano) establece los siguientes deberes que su empresa debe cumplir plenamente en la planeación, diseño y ejecución de campañas de mercadeo digital:

A) EN MATERIA DE INFORMACIÓN:

A) 1. EN MATERIA DE INFORMACIÓN ORDINARIA (artículos 23 a 28, 49 a 54, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 7 del artículo 5 de la Ley 1480 de 2011 la información es “Todo contenido y forma de dar a conocer la naturaleza, el origen, el modo de fabricación, los componentes, los usos, el volumen, peso o medida, los precios, la forma de empleo, las propiedades, la calidad, la idoneidad o la cantidad, y toda otra característica o referencia relevante respecto de los productos que se ofrezcan o pongan en circulación, así como los riesgos que puedan derivarse de su consumo o utilización”.

A) 2. EN MATERIA DE PUBLICIDAD (artículos 29 a 33, 50, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 12 del artículo 5 de la Ley 1480 de 2011 la publicidad es “Toda forma y contenido de comunicación que tenga como finalidad influir en las decisiones de consumo”.

Por su parte, de conformidad con el numeral 13 del artículo 5 de la Ley 1480 la publicidad engañosa es “Aquella cuyo mensaje no corresponda a la realidad o sea insuficiente, de manera que induzca o pueda inducir a error, engaño o confusión”.

LAWB) EN MATERIA CONTRACTUAL (artículos 34 a 44, 46 a 54, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 4 del artículo 5 de la Ley 1480 de 2011 un contrato de adhesión es “Aquel en el que las cláusulas son dispuestas por el productor o proveedor, de manera que el consumidor no puede modificarlas, ni puede hacer otra cosa que aceptarlas o rechazarlas”.

C) EN MATERIA DE CALIDAD (artículos 6 a 17, 56, 59 a 61, y 68 a 74 de la Ley 1480 de 2011):

De conformidad con el numeral 1 del artículo 5 de la Ley 1480 de 2011 la calidad es la “Condición en que un producto cumple con las características inherentes y las atribuidas por la información que se suministre sobre él”.

Por su parte, de conformidad con el numeral 6 del artículo 5 de la Ley 1480 de 2011 la idoneidad o eficiencia es la “Aptitud del producto para satisfacer la necesidad o necesidades para las cuales ha sido producido o comercializado”.

Finalmente, de conformidad con el numeral 5 del artículo 5 de la Ley 1480 de 2011 la garantía es la “Obligación temporal, solidaria a cargo del productor y el proveedor, de responder por el buen estado del producto y la conformidad del mismo con las condiciones de idoneidad, calidad y seguridad legalmente exigibles o las ofrecidas. La garantía legal no tendrá contraprestación adicional al precio del producto”.

D) EN MATERIA DE SEGURIDAD (artículos 7 a 17, 19 a 22, 56, y 59 a 61 de la Ley 1480 de 2011):

De conformidad con el numeral 14 del artículo 5 de la Ley 1480 de 2011 la seguridad es la “Condición del producto conforme con la cual en situaciones normales de utilización, teniendo en cuenta la duración, la información suministrada en los términos de la presente ley y si procede, la puesta en servicio, instalación y mantenimiento, no presenta riesgos irrazonables para la salud o integridad de los consumidores. En caso de que el producto no cumpla con requisitos de seguridad establecidos en reglamentos técnicos o medidas sanitarias, se presumirá inseguro”.

Por su parte, de conformidad con el numeral 17 del artículo 5 de la Ley 1480 de 2011 un producto defectuoso es “Aquel bien mueble o inmueble que en razón de un error el diseño, fabricación, construcción, embalaje o información, no ofrezca la razonable seguridad a la que toda persona tiene derecho”.

E) EN MATERIA DE HÁBEAS DATA -PROTECCIÓN DE DATOS PERSONALES- (artículos 50 en su numeral f, 56 y 59 a 61 de la Ley 1480 de 2011):

La Ley 1480 de 2011 no consagra una definición específica sobre el hábeas data, ni tampoco determina en detalle sus alcances y/o la forma en que se debe proteger este derecho de los consumidores por parte de los productores y/o proveedores. Sin embargo, la Ley 1581 de 2012 si desarrolla completamente este tema, y por su parte la Constitución Política de Colombia en el artículo 15, que hace parte del capítulo sobre los derechos fundamentales, define su naturaleza y alcance -se subraya en negrilla el aparte puntual relativo al derecho de hábeas data- “Todas las personas tienen derecho a su intimidad personal y familiar y a su  buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

marketing_digitalEn materia de habeas data se deben tener presentes y aplicar los siguientes principios (señalados en las jurisprudencias de la Corte Constitucional de la República de Colombia):

Principio de lealtad y licitud del dato: Señala que el dato no puede ser recolectado por medios fraudulentos o desleales. Por tanto, la persona debe ser informada de la razón y los mecanismos por medios de los cuales se van a recepcionar sus datos.

Principio de calidad de los datos: Los datos deben ser exactos (íntegros e inalterados. Incluso se debe indicar fecha, modo y lugar de como se captaron).

Principio de necesidad del dato: Consagrado como el grado de relevancia (conducencia y pertinencia que posee el dato en el contexto en que se desea tratar dicho dato. Solo se puede captar el dato necesario, se debe evitar incurrir en excesos infundados de la información suministrada y/o solicitada por parte del Sistema de Seguridad Informática y en general del Sistema de Seguridad de la Información.

Principio de finalidad del dato: Entendido como el uso adecuado de la información exclusivamente para los propósitos en que es creado, almacenado, captado, y en general tratado. Por tanto debe existir además una clara determinación de las competencias de los miembros que trataran dichos datos sobre los alcances y los fines que puede buscar y para los cuales  se encuentra facultado cada uno de los miembros.

Principio de actualidad del dato: Por medio del cual la información tratada por el Sistema de Seguridad Informática y en general de Seguridad de la Información debe ser suficiente, veraz y oportuna. Dichos verbos rectores conducen a una interrelación con el principio de autodeterminación informativa conceptualizado como la prerrogativa otorgada al titular del dato para modificarlo, suprimirlo, o complementarlo cuando existan causas que así lo justifiquen para lograr una información fiable. Claro está que los datos administrados a nivel histórico que sirvan para fines estadísticos a nivel de antecedentes no pueden alterarse dada su naturaleza cronológica y si las circunstancias cambian pueden incorporarse notas aclaratorios que expresen las transformaciones surtidas en la información con el transcurso del tiempo, si ese es el fin deseado.

Principio de pertinencia del dato: Postulándose que solo podrá reposar en la base de datos o ser monitoreado por parte del Sistema de Seguridad Informática y en general de Seguridad de la Información el dato que guarde causa o efecto eficiente con el objetivo del mercado relevante de un sistema de información (debe ser pertinente con el fin específico y momento concreto que dé origen a su captación). Cuando esto no se presente la información debe ser suprimida, no interceptada, no enviada, o no solicitada.

Principio de circulación restringida: Dispone que solo el ente (empresa o entidad) facultado para captar, monitorear, almacenar y en general gestionar un dato tiene el derecho de tratarlo. Terceros agentes no tienen la autorización para conocer el dato. Además éste principio predica que el dato solo puede viajar por el sistema que guarda relación con el dato y no por otras redes.

Principio de autodeterminación informativa: En el cual se manifiesta que todo titular de un dato goza de autonomía para configurar sus datos personales ante un sistema de información. En ese orden, no se podrá constreñir a un titular para que entregue sus datos, y siempre se debe contar con su autorización de manera expresa y previa a su recolección y uso.

Por: Camilo Alfonso Escobar Mora©
Gerente General de Jurídia

Jurídia – Centro de Alta Formación en Derecho Preventivo de las Tecnologías de la Información y las Comunicaciones

www.juridia.co
Contacto: gerencia@juridia.co

 

 

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

Análisis del Decreto 1377 de 2013 a propósito de la protección de datos en Colombia

Por: Iván Marrugo Jiménez
@imarrugoj

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

Un punto importante con relación al art. 3 del decreto se refiere a que subsisten las inquietudes frente a lo que se entiende por transferencia y transmisión de datos, ya que estas nociones permanecen de manera imprecisa y aún no logran aclarar lo que aparece de manera indeterminada en la Ley 1581 de 2012. Al respecto puede inferirse del articulado (en contexto con el art. 26 de la ley) que ambas nociones guardan una estrecha consonancia, pero debe advertirse que la transferencia hace alusión al procedimiento relacional (en el sentido consensual, mediando o no contrato) entre el responsable y un receptor (que adquiere el papel de responsable) ubicado dentro o fuera de Colombia. Por otra parte, la transmisión se refiere más a la operación (proceso) de comunicar –enviar un flujo de datos–, en una relación de extremos, entre el responsable y el encargado. Debe notarse que la ley señala que la transmisión implica per se un tratamiento sobre el dato, mientras que la transferencia no.

De forma analítica presentamos a continuación los principales aspectos contenidos en el Decreto 1377 de 2013, con el fin de generar escenarios participativos y de discusión alrededor de este tema cardinal para la sociedad de la información.

En el capítulo 2 del decreto se agrupan una serie de nociones frente al elemento ‘autorización’ bajo los principios que orientan el deber ser en el tratamiento de datos personales. En efecto, el art. 4 desarrolla, bajo los principios de finalidad y libertad, la forma como debe operar la recolección de los datos de los titulares. En el art. 7 del decreto se regula el modo de obtener la autorización bajo el amparo del art. 9 de la ley. Permite el tratamiento automatizado de la autorización, siempre que ella se manifieste por escrito o de forma verbal o por medio de una conducta del titular que permita inferir de forma razonable su consentimiento en el tratamiento de la información.

Aclara el artículo que a esta inferencia no puede arribarse por vía del silencio del titular. El art. 9 del decreto, al desarrollar la facultad del titular de revocar la autorización y por esta vía suprimir sus datos, introdujo como obligatorio para el responsable y encargado la disposición de mecanismos gratuitos y de fácil acceso para presentar su solicitud de supresión. Una vez efectuada la reclamación por parte del titular, el encargado contará con 15 días hábiles (en términos generales) para proceder a su supresión o de lo contrario será sancionado.

Especial mención hacemos del art. 10 del decreto ya que introduce un procedimiento para la refrendación o validación de los datos personales recogidos con anterioridad a la vigencia del decreto. La disposición en mención impone a los responsables y encargados un procedimiento que deberá cumplirse a fin de continuar con el tratamiento de datos personales sobre bases de datos anteriores al decreto. La validación de los datos recogidos en bancos de datos hasta el día 26 de junio de 2013 podrá hacerse así:

El responsable solicitará la autorización a los titulares para continuar con el tratamiento; esto lo podrá hacer por un medio automático (correo electrónico, página web, etc.) permitiendo que el titular autorice por cualquier medio su tratamiento. En esta misma comunicación el responsable deberá hacer conocer al titular su política de tratamiento de la información, así como el modo de ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos. Si transcurridos 30 días hábiles a partir de dicha comunicación, el titular no expresa su intención de supresión del dato, la norma supone que ha operado la autorización y, por ende, el responsable o encargado podrá continuar con el tratamiento en las condiciones y finalidades señaladas en la política. En todo caso, subsistirán para el responsable el cumplimiento de todas las reglas y principios en el tratamiento de los datos. El parágrafo del art. 10 del decreto crea un periodo de gracia de 30 días para quien requiera implementar medios alternativos de comunicación con los titulares.

El capítulo 3 del decreto aborda la cuestión de las políticas de tratamiento como documento cardinal para el establecimiento de un macrosistema de aseguramiento de la información en las organizaciones. Este documento será la carta de navegación para las empresas para el manejo adecuado en protección de datos. Asimismo, se advierte sobre la necesidad de confeccionar el aviso de privacidad como otra herramienta para la difusión de las políticas a los titulares de los datos. El art. 16 señala la obligación de conservar el modelo de aviso de privacidad utilizado en momentos específicos, por lo que las empresas deberán adoptar mecanismos para su conservación. El art. 19 señala que por medio de instrucciones en materia de seguridad de la información, la Superintendencia de Industria y Comercio impartirá directrices, las cuales constarán en circulares y resoluciones. El art. 23 del decreto hace obligatoria la adopción a nivel organizacional de la función de responsable de los datos personales. Al señalar que esta designación puede recaer sobre una persona o un área, configura de manera amplia la forma en que las empresas podrán cumplir con dicho requisito.

Por otra parte, en el capítulo 4 del decreto se trata la regulación de la transmisión y transferencia internacional de datos, y como se señaló arriba, persisten serias dudas sobre el alcance de ambas figuras. Parece existir un yerro en el art. 24, ya que en el numeral 2 se habla expresamente de la transmisión internacional de datos sin que sea necesario informar al titular de tal circunstancia (la transmisión) ni contar con su autorización si entre el responsable y el encargado media un contrato. Mediante una interpretación rigurosa del artículo en su contexto entendemos que esta exclusión también debe amparar la transmisión de datos que se hace dentro del territorio nacional; sin embargo, la redacción de la norma está desarrollada para otorgar dicho beneficio solo en la transmisión internacional y no para la nacional. Bajo el art. 25 se señala que el contrato entre responsable y encargado deberá especificar las circunstancias especiales y las principales características del instrumento regulador de la relación entre el dueño de la base de datos y quien la gestiona (encargado).

El último capítulo del decreto se encarga de desarrollar el postulado de responsabilidad demostrada, como deber empresarial en el tratamiento de datos personales. Esta demostración se analizará a petición de la Delegatura para la Protección de Datos Personales, teniendo en cuenta entre otros factores: el tamaño de la empresa, su naturaleza jurídica, la naturaleza de los datos, el tipo de tratamiento y los riesgos potenciales. El art. 26 del decreto establece que la Superintendencia podrá solicitar a las empresas una descripción de sus procedimientos, así como evidencia de las medidas adoptadas en materia de aseguramiento de la información. Esto último no parece apropiado en esta etapa, ya que es deber de la Superintendencia impartir directrices en esta materia, lo que se hará a medida que se desarrolle nuestro sistema de protección de datos. Por lo anterior, este último escenario se dificulta en su condición temporal. El art. 27 finaliza señalando que la Superintendencia impartirá las directrices, tomando como parámetros de revisión en las organizaciones lo siguiente:

[su_list icon=”icon: circle-thin”]

  • La existencia de una estructura en la organización que propenda por la implementación de reglas sobre protección de datos.
  • La adopción de mecanismos internos para llevar a la práctica las políticas.
  • Los procesos que garanticen la atención de las prerrogativas de los titulares en ejercicio de los derechos a conocer, actualizar, rectificar y suprimir la información que sobre ellos se ha recogido.

[/su_list]

El asunto de una contratación correcta del encargado del manejo de redes sociales en una empresa, es aún una asignatura pendiente.

Marco jurídico para contratar un community manager

Por: Iván Dario Marrugo Jiménez
Abogado 2.0. Especialista en Derecho de las
Tecnologías y Seguridad de la Información. CEO
Marrugo Rivera & Asociados, Estudio Jurídico.
Twitter: @imarrugoj

El asunto de una contratación correcta del encargado del manejo de redes sociales en una empresa, es aún una asignatura pendiente. A pesar de la proliferación de las labores y gestiones de aquellas personas en las que hoy las empresas ponen su confianza, subsiste un alto grado de incertidumbre jurídica acerca de la contratación del Community Manager (CM): ¿Contrato de trabajo?, ¿prestación de servicios?, ¿interno o externo?, ¿con un pago fijo mensual o por porcentajes? Innumerables dudas surgen sobre cómo enganchar de forma correcta a esta importante figura en el mundo digital.

El asunto de una contratación correcta del encargado del manejo de redes sociales en una empresa, es aún una asignatura pendiente.

A pesar de que para muchos la Internet parece una zona anárquica y carente de leyes, en realidad han venido acuñándose ciertas reglas creadas alrededor de este nuevo entorno, lo que también ha supuesto nuevos criterios para las relaciones contractuales. ¿Cuál puede ser entonces un buen mecanismo para contratar a quien será responsable de nuestra estrategia de comunicación empresarial 2.0?

Si bien cada caso requiere de un análisis pormenorizado, a grandes rasgos podemos sugerir a las empresas que tengan en cuenta lo siguiente:

[su_list icon=”icon: circle-thin”]

  • Cree, modifique y actualice un manual de identidad corporativa, términos y condiciones de uso y la política de privacidad de su sitio web así como un manual de funciones para el CM.
  • Defina cuál será la responsabilidad del CM frente al uso de sus signos distintivos y si tendrá funciones derivadas del área de servicio al cliente. (Es importante que esta persona conozca si puede tomar decisiones o simplemente actúa como un filtro con otras áreas encargadas de resolver reclamos).
  • Asegúrese de dejar claro a estas personas que la empresa conservará en todo caso la gestión y control de la red social y que la actuación del CM no se hace a título personal sino institucional. (El contrato deberá establecer que todo el contenido así como los datos e información como usuarios / followers son de titularidad de la empresa). • Implemente, comparta y haga conocer a profundidad al CM su política de privacidad y manejo de datos personales y reglas sobre seguridad de la información. Esta persona deberá seguir meticulosamente su política a fin de mantener su reputación como empresa (sin mencionar que será su salvaguarda frente a escenarios donde se debata la responsabilidad de la empresa frente alguna crisis).
  • Imponga como necesarias reglas claras de exoneración de responsabilidad de la empresa frente a comentarios personales del CM. Esto evitará los excesos al momento de su actuación frente a comentarios de terceros o situaciones específicas de su trabajo.
  • Procure monitorear sus actuaciones y preste especial atención en la realización de campañas que tengan como medio la realización de un concurso, rifa o similar. Defina cuáles serán las normas en estos tipos de proyectos.
  • Frente al clausulado tenga en cuenta especificar los servicios que prestará el CM, excepciones, etc. Establezca un acuerdo de confidencialidad con sanciones pecuniarias en caso de incumplimiento, duración de los servicios, plazos de monitoreo, precio y condiciones de pago de los mismos.

[/su_list]

Análisis del Decreto 886 sobre protección de base de datos

Por: Iván Dario Marrugo Jiménez – @imarrugoj

Se expidió el decreto reglamentario que pone en marcha el Registro Nacional de Bases de Datos en Colombia. En efecto, junto con el Decreto 1377 de 2013, que reglamentó parcialmente la Ley de protección de datos, empieza a clarificarse el camino para un sistema completo en el país.

Decreto_1El análisis que hoy podemos hacer del recién expedido Decreto 886 inicia por la revisión en el aspecto cronológico de su expedición. Debemos anotar que el mismo no se expidió en el tiempo señalado normativamente, toda vez que el Artículo 25 de la Ley 1581 de 2012 menciona en su parágrafo que el gobierno debió reglamentarlo dentro del año posterior a la promulgación de la precitada ley. Si bien el Ministerio de Comercio, Industria y Turismo presentó hace algún tiempo un proyecto de decreto, la mencionada reglamentación esperó un tiempo bastante largo para ver la luz.

Es de resaltar los objetivos que vienen a cumplirse con el Registro Nacional de Bases de Datos como instrumento orientador del estado actual del fenómeno de los datos personales y su tratamiento automatizado o no.

Este nuevo proceso no comporta la construcción de un repositorio central de bases de datos sino que constituye, como bien lo indica el artículo 25 de la Ley, un directorio público de las bases de datos sujetas a tratamiento que operan en el país, y que será administrado por la Superintendencia de

Industria y Comercio. Su principal uso será como herramienta de supervisión y monitorización sobre el universo de sujetos obligados y, en últimas, como un elemento que permitirá el acceso a la información por parte de los titulares de datos personales.

Es de resaltar que este decreto guarda alta coincidencia con el proyecto de decreto presentado a consideración en 2013. Solamente fue eliminado de la información mínima del registro lo relativo a la “vigencia de la base de datos”. Recuérdese que todo tratamiento está sujeto a la temporalidad definida por el responsable y las condiciones particulares de las actividades sobre los datos; por tanto, no pueden existir tratamientos infinitos e indefinidos, y en cuanto a la finalidad del tratamiento debe acotarse también en su sujeción temporal.

El capítulo II del Decreto 886 define los elementos mínimos que contendrá el registro, sin perjuicio de que la Superintendencia de Industria y Comercio establezca mayores condiciones en cuanto a información en el proceso de registro. Los artículos 6 y 7 del decreto establecen las condiciones en que responsable y encargado presentarán la información del registro.

Obsérvese que como sujetos obligados, ambos actores procederán a realizar labores sobre el tratamiento que ejercen, lo cual por efectos operativos conducirá indefectiblemente a que exista correlación en bases de datos cuando se trate de un dato personal registrado de forma asincrónica tanto por un responsable como por el encargado. Debemos anotar que el titular podrá escoger a su arbitrio frente a quien presenta reclamación, pudiendo acudir al responsable del tratamiento.

El artículo 8 merece un poco más de análisis en lo relacionado con los canales para el ejercicio de derechos, ya que la experiencia práctica vivida con ocasión de las actividades del artículo 10 del Decreto 1377, hacen prever al menos como algo factible el que nuevamente se generen inconvenientes operativos para los sujetos en la actividad del registro. En la redacción de este octavo artículo no es totalmente claro cómo pueden los sujetos obligados cumplir con la exigencia de mantener el mismo canal por el que se recogió inicialmente el dato. Es bien sabido que los canales se sujetan a la realidad técnica y operativa al momento de la recolección, lo cual en muchos casos es imposible de mantener o reproducir con exactitud en un momento ulterior; es decir, no necesariamente el canal utilizado en la recolección de datos, como por ejemplo en una rifa, es el canal más adecuado en un momento posterior, y la obligación de mantener dicho canal supondría una carga desproporcionada para el responsable.

Los artículos 9, 10 y 11 del decreto representan la realidad del tratamiento adecuado de datos personales por las empresas y organizaciones, toda vez que recogen dos elementos fundamentales a la hora de las actividades con datos personales. Uno es la identificación (nombre), que obedece al proceso de clasificación y calificación, el cual deberá realizar el sujeto obligado con el fin de hacer la inscripción de forma correcta al Registro Nacional de Bases de Datos; en segunda medida, esta nominación debe estar acorde con la finalidad para la cual fueron recabados los datos personales.

El artículo 10 establece las formas de tratamiento, esto es, la modalidad en la que se ejerce el procesamiento de los datos; en términos generales, habrá tratamiento automatizado o tratamiento manual – no automatizado.

Por su parte, el artículo 11 establece, con respecto a las políticas de tratamiento, plena coincidencia con los artículos 25 de la Ley 1581 de 2012 y el 13 del Decreto 1377 de 2013 como documento estructural y de obligatoria observancia para los responsables.

Decreto_2Por otra parte, el capítulo III del decreto 886 de 2014 establece algunos aspectos procedimentales para la actividad del registro. Llama la atención el cambio de la fecha inicial para el registro, pues en el proyecto de decreto se había establecido un plazo de seis meses, pero finalmente se fijó en un año, el cual deberá contarse desde el momento en que la Superintendencia de Industria y Comercio abra el registro. Este capítulo también menciona que dicha Superintendencia impartirá otras instrucciones que suponemos se relacionan con aspectos formales tales como: plazos para el registro, proceso de identificación y autenticación de los usuarios, así como otros requisitos, tal como lo menciona el artículo 12 del decreto. El proceso de actualización de la información se realizará en un plazo máximo de dos meses.

Por último, es importante resaltar que si bien aún no se han expedido las recomendaciones en materia de medidas de seguridad de orden tecnológico, es cierto que en atención al artículo 26 del Decreto 1377 de 2013, hoy, toda empresa en Colombia debe tratar datos personales con medidas que impidan su pérdida, adulteración o fuga, y que dichas medidas técnicas deberán estar acordes con la naturaleza y tipología de datos personales, el tamaño de la empresa y los riesgos potenciales que el tratamiento podrían causar sobre los derechos de los titulares. Sabemos que la Delegatura de Protección de Datos viene trabajando en las recomendaciones de índole técnica y como se ha expresado en distintas ocasiones, la norma obliga a las empresas a contar con medidas de seguridad, pero no estaría de más tener un lineamiento sobre los estándares a utilizar en el resguardo de la información.

Se ha puesto una nueva piedra en la construcción de nuestro sistema de protección de datos personales y este procedimiento –presente en todas las legislaciones a nivel global– nos permitirá consolidar con elementos objetivos, la actividad legítima de las empresas y entidades en cuanto al tratamiento de los datos personales y, de igual forma, atender la expectativa de privacidad de los titulares de datos personales.

La nueva normativa sobre protección de datos pone de presente la necesidad inaplazable para el empresario colombiano de contar con una política de gestión y de protección de datos.

Los retos de la ley de protección de datos para las empresas en Colombia

Por: Iván Dario Marrugo Jiménez
@imarrugoj

La nueva Ley 1581 de 2012 que entró en vigencia en abril, incorpora importantes prerrogativas y obligaciones de manera transversal para todos aquellos que manejen datos de terceros.

La nueva normativa sobre protección de datos pone de presente la necesidad inaplazable para el empresario colombiano de contar con una política de gestión y de protección de datos. Ahora bien, junto con el documento de política también es importante que el empresario desarrolle una cultura organizacional protectora y garante de los datos y de su información. Resulta entonces necesario encontrar un justo equilibrio entre la perspectiva empresarial (respecto de sus obligaciones) y la visión de los usuarios y/o consumidores (con relación a sus derechos), el cual en muchas ocasiones es bastante complejo. Se requiere de un modelo que permita y garantice la prestación de los servicios como empresario, la adecuada protección de los datos de los clientes, en su expectativa de privacidad y de acceso a los servicios. Es allí donde en muchas ocasiones el modelo no funciona. Si se pretende tener total libertad para el tratamiento de los datos de los clientes, seguramente se infringirá la norma; si por el contrario, se asume una posición inflexible y cerrada no se podrá ejecutar con total fluidez el negocio.

Es por ello que la preocupación central para las empresas relacionadas con actividades de mercadeo con operaciones en Colombia no debe radicar únicamente en el cumplimiento normativo, sino que deberá enfocarse en desarrollar a nivel organizacional, una cultura de prevención y protección de los datos. De esta forma se garantiza que los procesos de implantación de sistemas de gestión serán no solo más adaptables, sino también más sencillos en su entorno.

La nueva normativa sobre protección de datos pone de presente la necesidad inaplazable para el empresario colombiano de contar con una política de gestión y de protección de datos.

Dentro de la reglamentación de la Ley atrae la atención la importante labor que la Delegatura para la protección de datos personales de la Superintendencia de Industria y Comercio (SIC) en sus facultades de inspección, control y vigilancia, viene realizando desde el año 2011. La Ley de hábeas data le otorgó a la mencionada entidad potestad para adelantar investigaciones de oficio o a petición de parte de conductas violatorias de la Ley, disponer el bloqueo temporal de datos por riesgo de violación de derechos fundamentales, impartir instrucciones, proferir declaraciones de conformidad en la transferencia internacional de datos, administrar la red nacional de bases de datos, entre otras.

En materia de sanciones y procedimientos se tiene que la SIC actuará como autoridad de protección de datos personales y podrá imponer sanciones así:

[su_list icon=”icon: angle-right”]

  • Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
  • Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses.
  • Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
  • Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

[/su_list]

Estas sanciones económicas atienden una finalidad punitiva y en ningún caso tienen un fin resarcitorio, es decir, el afectado no podrá reclamar indemnización de perjuicios por este medio. Si la persona afectada pretende una indemnización deberá acudir a la vía ordinaria.

En lo relacionado con la transferencia internacional de datos, Colombia adoptó la regla internacional de transferencia entre países catalogados como seguros. El reglamento que ahora se estudia tendrá en cuenta un mecanismo de listas blancas internacionales u otro similar acorde con la práctica internacional.

De lo anteriormente expuesto han surgido en las empresas y en círculos académicos diversos interrogantes. Estas inquietudes así como nuevas que brotarán a futuro, solo serán resueltas una vez inicie la aplicación de tales normas, ya que todos los ejercicios hasta el momento realizados pertenecen a escenarios imaginarios –y por efectos del control previo constitucional–, ajenos a la realidad corporativa y de mercado.

La nueva normativa sobre protección de datos pone de presente la necesidad inaplazable para el empresario colombiano de contar con una política de gestión y de protección de datos.

También es importante resaltar que si bien la autoridad de protección de datos colombiana ha nacido con importantes reseñas y pergaminos que vislumbran un accionar objetivo e importante, no es menos cierto que los asuntos atinentes a la protección de datos no siempre tienen un fin de lucro ni se agotan en el ámbito concurrencial; por lo anterior, el que la autoridad de protección de datos pertenezca a la SIC no solo parece fragmentario, sino que además ofrece cierta sospecha inicial en cuanto a la vigilancia del cumplimiento de la norma por parte de las entidades públicas.

Por último, especial atención deben prestar las empresas que participan en actividades de mercadeo tales como agencias de publicidad, agencias de medios, marketing, branding, mailing, ya que por su natural uso de herramientas virtuales tienen cierta ‘propensión’ a infracciones en materia de protección de datos personales y, por tanto, serán sujetas a inspección por parte de la Delegatura de protección de datos personales. En particular las tareas tradicionales de dichas empresas, tales como envíos de campañas por mailing, pueden volverse un verdadero dolor de cabeza, si no se implementan medidas especiales para la protección de datos de los clientes y/o prospectos.

En síntesis, uno de los grandes retos para las empresas relacionadas con actividades de mercadeo consiste en realizar un trabajo concienzudo de verificación del cumplimiento regulatorio y, en especial, adoptar una política corporativa que tenga una visión preventiva. En este escenario es bastante palmario el viejo adagio: hombre precavido vale por dos. Así mismo, por vía contractual, se deberán establecer aspectos básicos del tratamiento de datos personales de terceros cuando estas empresas actúen como “encargadas” de dicho tratamiento; lo anterior debido a que la norma de conformidad con los estándares internacionales, hace diferencia entre el Responsable y el Encargado, radicando en cabeza de cada uno distintas obligaciones y responsabilidades.