Ciberseguridad

Datos personales para fines de comercio electrónico, parte 1

Una de las consecuencias positivas de esta pandemia del COVID 19 ha sido la virtualidad, durante muchos meses nos hemos visto abocados a utilizar los canales digitales para vender o adquirir productos, solicitar servicios principalmente, ad portas del ultimo día sin IVA, y la época decembrina donde el comercio electrónico será vital en la continuación de la reactivación económica no solo en nuestro país, sino para el resto de las naciones que contemplan la defensa de los datos personales. Estas facilidades también conllevan riesgos, por lo tanto, se hace vital y a partir de la información que nos comparte la Superintendencia de Industria y Comercio abordar los pasos para evitar ante una materialización del riesgo daños a las organizaciones en estos momentos, por eso es relevante compartir esta información.

El tratamiento de los datos personales se ha venido desarrollando en los últimos años de una forma relevante, la información como activo de las personas naturales han llevado a los estados a formalizar su responsabilidad a Responsables y Encargados de los mismos en la empresa privada y en las organizaciones públicas. Respecto de la protección del consumidor en el comercio electrónico, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) ha recomendado lo siguiente sobre privacidad y seguridad:

“48. Las empresas deberían proteger los datos personales del consumidor, asegurándose de que sus prácticas relacionadas con la recopilación y el uso de datos del consumidor sean legales, transparentes y justas, y que permitan la participación y elección del consumidor y tomen precauciones de seguridad razonables. 49. Las empresas deberían gestionar el riesgo relacionado con la seguridad digital e implementar medidas de seguridad para reducir o mitigar los efectos adversos relacionados con la participación del consumidor en el comercio electrónico.”. Según nuestra Constitución Política, “el ejercicio de los derechos y libertades (…) implica responsabilidades”. Adicionalmente, “la actividad económica y la iniciativa privada son libres, dentro de los límites del bien común” y, “la empresa, como base del desarrollo, tiene una función social que implica obligaciones”.

Algunas de esas obligaciones son cumplir la Constitución Política y las leyes, así como “respetar los derechos ajenos y no abusar de los propios”. En esa medida, cualquier actividad de comercio electrónico debe ser respetuosa de, entre otros, lo que ordena el artículo 15 de la Carta Política, según el cual “en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”. La Ley Estatutaria 1581 de 2012 desarrolló este mandato constitucional y fue redactada de manera neutral tecnológica y temáticamente, razón por la cual aplica a cualquier tratamiento de datos independientemente de su finalidad. Asimismo, está al margen de las herramientas técnicas y/o científicas que se utilicen para dicho efecto.

Esta guía tiene como propósito presentar algunas sugerencias a quienes utilizan datos personales para realizar actividades de comercio electrónico, con el fin de orientarlos para que desde el diseño de cualquier actividad o gestión se tengan en cuenta las exigencias de las regulaciones sobre Tratamiento de Datos Personales, donde desarrollaremos las primeras etapas de la siguiente manera:

1.  Cumplir las normas locales sobre Tratamiento de Datos Personales (TDP) cuando su proyecto de comercio electrónico tiene efectos en varios países o utiliza datos de personas ubicadas en diferentes partes del mundo

Aunque cada día el mundo es más transfronterizo, global e hiperconectado, ello no significa que las normas nacionales sobre Tratamiento de Datos Personales hayan desaparecido o que no sean de obligatorio cumplimiento. Por eso, para que su proyecto de comercio electrónico no sea objetado o cuestionado jurídicamente es muy relevante que desde el inicio realice un estudio de riesgos legales de las regulaciones nacionales. Lo anterior, le permitirá definir una estrategia inteligente para, entre otras cosas; mitigar dichos riesgos, ganar y mantener la confianza de los consumidores, no afectar la buena reputación de su organización, y evitar eventuales investigaciones de las autoridades de protección de datos o de otras entidades.

2.  Implementar estrategias de Responsabilidad Demostrada (accountability) frente al Tratamiento de Datos Personales (TDP) para fines de comercio electrónico.

Desde el inicio, su organización debe establecer la manera como probará que ha adoptado medidas útiles para cumplir las reglas sobre el Tratamiento de datos. Es necesario tener presente que “los responsables del Tratamiento de Datos Personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012” y en el Decreto 1377 de 2013. (Incorporado en el Decreto 1074 de 2015). Medidas “apropiadas” son aquellas ajustadas a las necesidades del Tratamiento de datos y “efectivas” son las que permiten lograr el resultado o efecto que se desea o espera. En otras palabras, no se deben adoptar medidas inoperantes, inservibles, inútiles o infructuosas. Solo se deben instaurar aquellas adecuadas, correctas, útiles, oportunas y eficientes con el propósito de cumplir los requerimientos legales para realizar Tratamiento de Datos Personales.

Es preciso resaltar que la regulación sobre datos personales impone cargas probatorias en cabeza de los Responsables del Tratamiento como las siguientes:

  1. Conservar prueba de haber informado al titular, al momento de solicitarle la autorización, de manera clara y expresa lo que ordena el artículo 12 de la Ley 1581 de 2012 y, cuando el Titular lo solicite, entregarle copia de ello.
  2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
  3. Proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.
  4. Documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate.
  5. Desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.
  6. Conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven.
  7. Adoptar las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.

En suma, quienes desarrollen actividades de comercio electrónico deben establecer medidas útiles, apropiadas y efectivas para cumplir sus obligaciones legales. Adicionalmente, tendrán que evidenciar y demostrar el correcto cumplimiento de sus deberes. Dichas herramientas, deben ser objeto de revisión y evaluación permanente, a fin de determinar su nivel de eficacia en cuanto al cumplimiento y grado de protección de los datos personales. El reto de las organizaciones frente al Principio de Responsabilidad Demostrada va mucho más allá de la mera expedición de documentos o redacción de políticas. Se trata de una actividad constante que exige demostrar un cumplimiento real y efectivo en la práctica de sus labores. No basta hacer declaraciones simbólicas de buenas intenciones, sino que es obligatorio evidenciar resultados concretos respecto del debido Tratamiento de los datos personales en los proyectos de comercio electrónico. Es esencial realizar entrenamientos periódicos y especializados al equipo humano de la organización para proveerle la experticia, guía y herramientas que requiere para el correcto desarrollo de las tareas que involucren cualquier Tratamiento de Datos Personales.

3.  Exigir el respeto de la Política de Tratamiento de Datos Personales a los terceros que contrata para realizar actividades de comercio electrónico

Si su empresa (Responsable del Tratamiento) contrata a otra empresa o a un tercero (Encargado del Tratamiento) para realizar actividades de comercio electrónico, exíjale el cumplimiento de su Política de Tratamiento de Datos Personales y los deberes legales que esto conlleva. Con todo, no solo es obligatorio el desarrollo de sus políticas para el Tratamiento de los datos personales, también debe velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas. Recuerde que esos terceros obran en nombre suyo y que usted responde frente a los Titulares de los datos y las autoridades por los errores o negligencia de ellos. Además, la ley les impone a estos la obligación de cumplir una serie de deberes. No pierda de vista que esos terceros actúan en su nombre frente a sus clientes y que, según se haya acordado, ellos tienen acceso a una parte o a la totalidad de sus bases de datos.

4.  Efectuar estudios de impacto de privacidad

Previo al diseño y desarrollo del proyecto de comercio electrónico y en la medida en que sea probable que el mismo entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los Titulares, se sugiere efectuar una evaluación de impacto en la privacidad (Privacy Impact Assessment – PIA por sus siglas en inglés), con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos para garantizar que los datos se tratarán debidamente y conforme con la regulación existente. Dicha evaluación debería incluir, como mínimo, lo siguiente:

  • Una descripción detallada de las operaciones de Tratamiento de Datos Personales que involucra el proyecto de comercio electrónico.
  • Una evaluación de los riesgos específicos para los derechos y libertades de los Titulares de los datos personales. La identificación y clasificación de riesgos, así como la adopción de medidas para mitigarlos, son elementos cardinales del Principio de Responsabilidad Demostrada
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, controles de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los Titulares de los datos y de otras personas eventualmente afectadas.

Los resultados de este estudio, junto con las estrategias para mitigar los riesgos, hacen parte de la aplicación del principio de privacidad desde el diseño y por defecto.

5.  Incorporar la privacidad y la ética desde el diseño y por defecto

La privacidad desde el diseño y por defecto (Privacy by Design and by Default) es considerada una medida proactiva para cumplir con el Principio de Responsabilidad Demostrada. Al introducir la privacidad desde el diseño se está buscando garantizar el correcto Tratamiento de los datos utilizados en los proyectos de comercio electrónico. La mejor manera de garantizar el debido Tratamiento de datos es tomando la privacidad como un componente esencial del diseño y puesta en marcha del proyecto de comercio electrónico.

La Privacidad por Diseño “promueve la visión de que el futuro de la privacidad no puede ser garantizada sólo [sic] por cumplir con los marcos regulatorios; más bien, idealmente el aseguramiento de la privacidad debe convertirse en el modo de operación predeterminado de una organización”. Por eso, desde antes que se recolecte información y durante todo el ciclo de vida de la misma, se deberían adoptar medidas preventivas de diversa naturaleza (tecnológica, organizacional, humana y procedimental, entre otras) con el objeto de evitar vulneraciones al derecho a la privacidad o a la confidencialidad de la información, así como fallas de seguridad o indebidos Tratamientos de datos personales. La ética desde el diseño y por defecto debe irradiar el esquema, desarrollo y uso de los datos en proyectos de comercio electrónico, teniendo que ser parte del ADN de cualquier aspecto relacionado con esa actividad.

Fuente: CARLOS ALFONSO BOSHELL NORMAN