Riesgos legales en el manejo de información de clientes

Manejo informacion clientesCon frecuencia utilizamos herramientas de marketing en nuestras páginas web como formularios y solicitudes de contacto, las cuales llevan implícitos varios aspectos legales. Al solicitar información y utilizarla dentro de nuestras bases de datos, automáticamente asumimos una serie de responsabilidades con la administración de esa información.

Para conocer más del tema y aclarar dudas, entrevistamos a Luis Felipe Tenorio, abogado especialista en temas legales de internet. Escuchar entrevista en SoundCloud.

David Gómez: Muchas de las páginas tienen formulario de contacto, la pestaña que dice “Contáctenos”. La gente pone su nombre, su correo electrónico y el mensaje que quiere enviar. ¿Cuáles son los efectos que implica tener un formulario de contacto?

Luis Felipe Tenorio: Una de las cosas que le pasa al empresario es que no es consciente que está construyendo una base de datos y por lo tanto, queda sometido a la reglamentación sobre el manejo de este tipo de información.

David Gómez: Porque uno cree que base de datos es una cosa organizada, en un software o en archivo Excel, pero no que un formulario de contacto constituya una base de datos…

Luis Felipe Tenorio: Desde el momento en el que haya un solo dato proveniente de una fuente externa, y que haya entrado a través de la web, es una base de datos. Una base de datos no tiene ni siquiera que ser un número plural de datos, es el hecho de archivar la información que alguien más te entregó.

David Gómez: ¿Qué responsabilidades se asumen al tener una página web y solicitar datos?

Luis Felipe Tenorio: Lo primero que se debe tener en cuenta para pedir información, es el tratamiento de los datos personales. La ley tiene algo y es que las palabras son supremamente engañosas, y muchas veces desde el punto de vista legal, las palabras no significan lo que en la vida diaria significan. Cuando se dice tratamiento de datos personales, suena que vas a hacer algo con los datos, vas a manipularlos, vas a transformarlos, vas a comercializarlos, vas a hacer algo y eso se llama tratamiento, tratamiento es cualquier operación con datos, incluido el recibirlos.

David Gómez: Sin haberlos pedido ya expresamente ya se está comprometido…

Luis Felipe Tenorio: La pestaña de “Contáctenos” ya es pedirlos. El formulario de contacto debe tener una casilla, un cuadro abajo que se debe marcar y hasta que no se haya marcado no se pueda seguir adelante. Donde diga que autoriza la recolección de la información, esa es la primera necesidad de la página web,  y debe estar dentro del formulario de contacto y no solamente en la política de privacidad.

David Gómez: Y eso aplica incluso cuando no hay formulario, cuando en la página dice: “Para contactarnos escribanos al correo electrónico info o contacto@… y la gente envía un correo…

Luis Felipe Tenorio: Es exactamente lo mismo. Este es uno de los mitos más generalizados que se han encontrado en el tema de comercio electrónico y de Habeas Data. Hay algunos colegas que con la mejor intención del mundo le recomiendan a la empresa que tenga un contacto en forma de correo electrónico, y como de que alguna manera se sugiere que estás escapando de la ley 1581 de 2012, ley que reglamenta esta materia.

Resulta que desde el momento que recibes ese correo, es tratamiento de base de datos, por lo tanto cuando le dijiste al usuario “Escribanos a tal dirección”, abajo le dijiste su información va a ser recopilada y usted autoriza el uso, etc.

David Gómez: Muchas personas pueden considerar que los datos que la gente le manda a un correo no los va a usar para nada, ¿esto lo exime?

Luis Felipe Tenorio: La ley define tratamiento como cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de datos (Artículo tercero de la Ley 1581), entonces como ves desde el momento mismo en que recibiste el correo de ese usuario, ya eres un tratante de datos. Esta empresa no lo hizo por formular un contacto, lo hizo por la administración, por un correo electrónico que recibió, pero ¿por qué recibió el correo?, porque invitó al usuario a que le escribiera y a partir de ese momento es responsable del tratamiento.

David Gómez: ¿Cualquier empresa podría recoger cualquier tipo de dato o hay alguna limitación o legislación al respecto?

Luis Felipe Tenorio: Hay cierto tipo de datos que se consideran datos sensibles. La ley habla de tres tipos de datos:

  1. Públicos
  2. Semipúblicos
  3. Datos privados.

Datos públicos: Tu aparición en el directorio telefónico, cuando hay una sentencia en contra tuya, la titularidad de tus bienes en la oficina de bienes y registros, son datos públicos.

Datos semipúblicos: Por ejemplo Datacrédito o información a las que ciertas empresas pueden acceder, el acceso es más restringido.

Datos privados: Son los que definen quién eres, tu identificación, tu dirección, tu teléfono, tu correo electrónico, entre otros.

David Gómez: ¿Si yo pido nombre y correo electrónico esos son datos privados?

Luis Felipe Tenorio: Esos son datos privados, sin necesidad de pedir identificación. Son datos privados y no hay la necesidad de pedir absolutamente nada más, ya es un tratante de datos por el hecho de haber pedido esas dos cosas.

David Gómez: ¿Quién es un tratante de datos privados?

Luis Felipe Tenorio: Generalmente las empresas son tratantes de datos privados o semiprivados. El dato público no se considera que uno sea tratante de él, porque significa que ya está en algún deposito al cual uno simplemente ya se está accediendo. Bueno, queda un cuarto tipo de datos, la ley lo menciona en un capítulo separado y los llama Datos sensibles.

Datos sensibles son los que convierten al usuario en población de riesgo, preguntarle cosas como el origen racial. Preguntar raza está taxativamente prohibido. Preguntar orientación política, convicciones religiosas o en general cualquier cosa que se pueda entender que va a terminar afectando las garantías del usuario.

Ahora vamos a los datos privados que son los que el 99.9 % de las personas les interesa.

El recolector de los datos, la persona que administra, tiene que tener mucho cuidado. Si es una base de datos en computador o física, debe tener un procedimiento interno, así no tenga departamento de organización o métodos, vaya y pídale a un amigo Ingeniero de Sistemas o Ingeniero Industrial que le ayude a establecer un procedimiento con privilegios de seguridad y demás. El empresario va a estar en problemas si un empleado suyo toma y descarga la bases de datos y se la vende a un comercializador de datos, o peor, a un usuario final.

Adivina de donde salen la mayoría de las llamadas de tarjetas de crédito y ofrecimientos de préstamos que hacen los bancos. Entonces esa es una responsabilidad que es clarísima la custodia, el manejo, la veracidad de los datos, esta es responsabilidad de quien los recolectó. El tema de la veracidad se puede descargar diciendo, pues es que yo lo estoy usando tal cual como el usuario me lo entrego, pero la carga de la prueba queda en cabeza de él. Él es el que tiene que probar que su usuario le entregó la información en la forma que la tiene depositada en su base de datos.

David Gómez: Una vez la persona entrega sus datos ¿quién es dueño de estos datos?

Luis Felipe Tenorio: La persona que los entregó es para siempre dueño de esos datos y por eso es tan importante el tema de la autorización y lo que dice la autorización. El usuario debe tener siempre la posibilidad de retirarse de la base de datos, escribir un correo que se entenderá por el sólo hecho de ser enviado sobre ese asunto, un derecho de petición diciendo “yo les pido que por favor me retiren de su base de datos” y deben hacerlo.

Si ese dato ya ha sido vendido, lo más prudente que puede hacer el empresario es contestarle “De acuerdo con la autorización que usted suministro es posible que ese dato haya sido compartido con nuestros aliados o con otras entidades”.

Los datos que puede recoger la empresa no son los que quiera tampoco. Hay una ley que se llama el principio de finalidad, los datos que es legítimo recoger son datos que obedezcan a un objetivo que esté relacionado con el que el usuario está buscando cuando llega tu página web.

David Gómez: Hay compañías que ofrecen seminarios virtuales, te dicen regístrese al webinar. Si yo me registro, estoy dando mi información para ese fin específico de atender a una conferencia virtual, no lo estoy dando para otros fines.

Luis Felipe Tenorio: La empresa solamente puede pedir datos que estén relacionados con la transacción que interesa al usuario. La empresa no puede decir “aprovechemos porque en el futuro podremos necesitar eso” o “aprovechemos porque tenemos un negocio con la comercializadora de datos y recogemos esos datos”. La empresa que ofrece el webinar solamente puede recolectar datos relacionados con ese webinar, ni siquiera puede decir que la autorización va a ir más allá que ese webinar. Los únicos datos que puede recolectar son los que están legítimamente relacionados con el interés de compra, con el interés de vinculación del usuario a la página web, no más.

David Gómez: ¿Qué pasa cuando en esta política de privacidad hay una cláusula que le da derecho al dueño de la página para que comparta o e incluso venda la información? Uno como usuario en muchos casos puede por desconocimiento, por no leer o por lo que sea, estar entregando el alma sin saberlo. No leemos, aceptamos y seguimos. ¿Qué pasa cuando aún si doy el derecho de compartir o de vender la información?, ¿Tengo un control a futuro sobre eso? o simplemente ya asumo la responsabilidad.

Luis Felipe Tenorio: Salió un artículo en The New York Times referente a este tema. El “acepto” o “no acepto” en los sitios de internet. El autor decía que hemos llegado a tal punto con estos documentos, que una empresa podría bajar completo “Mi lucha” de Hitler y para poder hacerlo le dan acepto y sólo por esto se volvería militante del partido nazi.

Por ley toda página web en Colombia debe tener política de privacidad y debe estar específicamente señalada. La política de privacidad es lo que le notifica al usuario cómo se van a manejar sus datos, cuáles son los derechos y deberes del usuario y del dueño de la página web.

Es una cosa que mucha gente no lee, esta por allá abajo, diminuta y lo único que se consigue es que la gente no la vea, pero hay que tenerla. La política de privacidad debe ser leal, debe decirle a las personas, todas aquellas cosas que implican tratar con esa base de datos.

Si hay una cláusula por allá escondida en la mitad de la política de privacidad un texto diciendo “yo me reservo el derecho de comercializar estos datos suyos”, esta se considera ineficaz. Es decir, se considera no escrita, no existe. Si el empresario quiere comercializar su base de datos con información entregada por sus usuarios, la autorización del usuario debe ser expresa y separada de la política de privacidad. Puede estar dentro del mismo hipervínculo de la política de privacidad, pero debe estar marcado y el usuario debe haberlo visto por separado.

David Gómez: ¿Qué pasa cuando una página web no tiene política de privacidad o utiliza una política muy genérica?

Luis Felipe Tenorio: Una de las cosas que se encuentra con más frecuencia es que las empresas entran a la política de privacidad del Apple Store o de Amazon, o de cualquier titán de internet, y la utilizan. Creen que esta le puede servir. Resulta que no, la política de privacidad debe ajustarse a dos cosas: a tu negocio y al tipo de objeto que se venda.

No es lo mismo si se vende música o ropa, que si se venden autopartes o comercializas accesorios o fabricas pulseras, collares, aretes, todo puede cambiar tu política de privacidad. Si tu política de privacidad está mal hecha o no tienes política de privacidad, vas a quedar asumiendo total responsabilidad de administrar sin ninguna salvedad, sin ninguna limitación, esto te vuelve ilimitadamente responsable por la calidad de los datos, por los efectos que pueda traer, por el nivel de vinculación que tengan, por su protección. De manera que si en un momento dado algo llega a pasar con esos datos y no se tiene política de privacidad, te expones a las sanciones que pueda poner la Súper Intendencia de Industria y Comercio (SIC). Puede ser desde multas hasta suspensión del sitio web por un determinado tiempo, y la suspensión de las acciones que estén relacionadas con tratamiento de datos.

La SIC no va a llegar hasta el extremo de decir “usted se quedó sin empresa”, pero en un momento dado si te pueden decir “te sacamos el sitio web del aire y además te imponemos una multa” y esa multa puede derivar de cosas tan sencillas como que la política de privacidad debe contener una política antispam.

Por la cual si yo he pedido que me saquen de la base de datos y después de pasado el término del derecho de petición, yo vuelvo a recibir un correo de ese empresario. Sólo por ese correo, no tiene que ser reiterado, el usuario puede ir a la SIC y decir “esta persona está vulnerando mi derecho de Habeas Data, yo le pedí que me sacara de su base de datos”, esto puede llevar a una acción de la Súper Intendencia que puede ser desde una multa hasta la suspensión del sitio web, o ambas cosas.

David Gómez: Queda uno preocupado con tanta cosa…

Luis Felipe Tenorio: No basta con tener solamente la política de privacidad, también necesitas el tema de términos y condiciones y de propiedad intelectual.

Normalmente, se encuentra uno con el diseñador web que realiza una página fantástica e impresionante, esto le cuesta un ojo de la cara al empresario y está justamente orgulloso de eso. Se rompió la cabeza pensando en un dominio interesante, ha contratado ingenieros para que hagan todo el trabajo de llevar tráfico a su página web y resulta que no ha considerado las implicaciones de la administración de los datos, de la propiedad intelectual que está usando y de la interacción con sus aliados.

En Colombia se creen dos cosas: que internet no tiene leyes y que estamos en el lejano oeste y es el que dispare primero. Se cree que las leyes son menores para las empresas virtuales que para las físicas. Las leyes son distintas, pero tienen una carga legal igual de importante.

David Gómez: Justamente con la explosión de internet ha habido un gran desarrollo de empresas y de emprendimientos basados solamente en la venta de productos online. No se alcanza a visualizar el impacto que esto puede generar, esto que cada vez tiene más relevancia y hay estar muy atento a las leyes.

Luis Felipe Tenorio: El comercio electrónico ha tenido una explosión inmensa. Así como hay empresas solamente en internet, hay empresas tradicionales de muchos años y eso puede ser un consuelo para el empresario en línea que creen que la ley no les aplica.

Luis Felipe TenorioAcerca de Luis Felipe Tenorio
Luis Felipe Tenorio es abogado de la Universidad Javeriana, Cali, MBA y Comunicador Social. Es experto en Gestión del Conocimiento y en Planeación Estratégica. Como abogado asesora a diferentes empresas reales y virtuales (el Estatuto del Abogado no deja dar nombres…) en derecho del consumidor, derecho de la competencia, propiedad intelectual y derecho de Internet. Son bienvenidos a visitar su perfil en Facebook y Linkedin y a seguir sus columnas sobre temas jurídicos para no abogados en www.lexdixit.com.

Descargue Catapulta Digital  >>

Autor de Yellow, Detalles que Enamoran, Bueno, Bonito y Carito, El día que David venció a Goliat y Facebook Toolbox. Antes de fundar Bien Pensado trabajó para compañías como Coca-Cola, DuPont, Avery Dennison, Varta Rayovac y el Grupo Latino de Publicidad. Administrador de Empresas, Especialista en Psicología del Consumidor y MBA. Colombiano, lector compulsivo, testarudo por naturaleza y optimista por convicción. www.DavidGomezGomez.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

One thought on “Riesgos legales en el manejo de información de clientes

  1. Excelente Articulo , son cosas que uno ignora pero lo van aterrizando a hacer las cosas bien y respetar las normas

    Saludos