Ejercicio de E-commerce: ¿conoce y mitiga los riesgos derivados de la indebida protección de los datos personales?
Ejercicio de E-commerce: ¿conoce y mitiga los riesgos derivados de la indebida protección de los datos personales?
Por: Sol Beatriz Calle D´Aleman
Abstract. El comercio electrónico constituye un medio de comercialización propio del mercado global pero en materia de cumplimiento poco interés se muestra en la adecuación legal de los portales especialmente en materia de privacidad y protección de los datos personales. En una inventigación adelantada por la autoridad de control en Colombia, Superintendencia de Industria y Comercio, culminada en Noviembre de 2017, se presentó el caso de un error tecnológico en un proceso de migración ocasionando el envío de información a personas distintas de los titulares de la misma. Corolario de estos problemas, se impuso una cuantiosa sanción que debe dejar como aprendizaje 3 asuntos: la forma de obtención del consentimiento a través del “clik” y la consecuente necesidad de probar y conservar dicha autorización; el cumplimiento del principio de Seguridad de los datos que supone la necesidad de asumir mecanismos que garanticen la integridad, disposición y confiabilidad de la información; y la adecuación del canal de Habeas Data que permita controlar las quejas y reclamos que se presentan en materia de habeas data concretamente sin mezclarlas con otras peticiones. El tratamiento de la información personal en plataformas de e-commerce, representa nuevos retos de cumplimiento para las empresas si realmente se pretende crecer en Colombia los modelos de negocio basados en plataformas de e-commerce, pues solamente el cumplimiento y adopción de medidas seguras otorgarán al ciudadano la tranquilidad y confianza para entregar sus datos en estas plataformas.
Abstract. The electronic commerce is a means of marketing typical of the global market but in terms of compliance little interest is shown in the legal adaptation of the portals, especially in terms of privacy and protection of personal data. In an invention advanced by the control authority in Colombia, Superintendency of Industry and Commerce, culminated in November 2017, the case of a technological error in an immigration process was presented causing the sending of information to persons other than the holders of the same Corollary of these problems, imposed a large penalty that must leave as learning 3 issues: the way to obtain consent through the «clik» and the consequent need to test and keep the authorization; compliance with the principle of Data Security that implies the need to assume mechanisms that guarantee the integrity, disposition and reliability of the information; and the adequacy of the Habeas Data channel that allows controlling the complaints and claims that are presented in the matter of habeas data specifically without mixing them with other requests. The treatment of personal information on e-commerce platforms represents new compliance challenges for companies if they really intend to grow in Colombia the business models based on e-commerce platforms, since only the compliance and adoption of safe measures will grant the citizen the tranquility and confidence to deliver their data on these platforms.
El ejercicio del comercio electrónico constituye un medio de comercialización de bienes y servicios propio del mercado global en el que estamos inmersos, pero en materia de cumplimiento poco interés se muestra en la adecuación legal de los portales y la implementación real de medidas jurídicas que tienen que ver con asuntos fundamentales para el ejercicio del e-commerce: la publicidad, los términos de propiedad intelectual y por supuesto la privacidad y la protección de los datos personales.
En una investigación adelantada por la autoridad de control en Colombia, Superintendencia de Industria y Comercio, culminada en Noviembre de 2017, se presentó el caso de un error en un CRM que envió la confirmación de un pedido a domicilio al teléfono celular de otra persona, generando en ésta última la percepción de que su teléfono había sido usado para realizar un pedido a su nombre, lo que supone un posible fraude. Esta situación se presentó con varios titulares quienes presentaron sus quejas y solicitudes de exclusión de la base de datos ante la empresa en cuyo portal se registraban.
A pesar de que en su respuesta la empresa investigada reconoce la gravedad del asunto, al tiempo afirma que este problema se debió a una falla en la actualización de la plataforma de CRM en un proceso de migración, lo que generó el error “tecnológico” en el envío de la confirmación del mensaje de datos, circunstancia que, según ella, no configura un riesgo inminente por incumplimiento habida cuenta de que el problema se presentó con unos pocos datos en comparación con los miles de datos que trata a través de su plataforma.
En el ámbito del comercio electrónico es frecuente que la obtención del consentimiento esté determinada por la opción de “click” electrónico previa la exposición del link donde el titular o usuario puede acceder a las políticas y avisos de privacidad pertinentes para que, previamente informado, el titular del dato pueda otorgar su consentimiento.
Sin embargo y a raíz de esta investigación de la Superintendencia, es preciso reflexionar sobre tres asuntos:
El primero, tiene que ver con esta forma de obtención del consentimiento y la consecuente necesidad de probar la conservación de dicha prueba. No basta con demostrar que el procedimiento de autorización pasa simplemente por hacer clic en una casilla; quien elige esta forma de obtención de consentimiento debe estar preparado tecnológicamente para demostrar que se dió dicha autorización y especialmente la autenticación de que esa expresión de voluntad proviene de la persona que en efecto podía hacerlo.
El segundo tiene que ver con el cumplimiento del principio de Seguridad de los datos. Sin duda el entorno tecnológico que puede hacer simple la recolección del consentimiento a través de un click, tiene como contrapartida la necesidad de asumir mecanismos de seguridad que garanticen la integridad, disposición y confiabilidad de la información.
Si bien las buenas prácticas de seguridad informática se han hecho presente en todas las organizaciones como consecuencia del manejo de la información en sistemas informáticos, hay una gran brecha entre la gestión de la seguridad informática y la gestión de la seguridad de la información.
El tercer asunto tiene que ver con el canal de Habeas Data dedicado que permitiría a las empresas controlar las quejas y reclamos que se presentan en materia de Habeas Data concretamente, y evitar la mala práctica de mezclar cualquier tipo de reclamación o queja o petición con las que están relacionadas con el ejercicio del Habeas Data.
El inadecuado manejo del canal de Habeas Data, como se evidencia del caso en comento, trae como consecuencia que no se gestione de forma oportuna y adecuada las peticiones del titular del dato relacionadas con su derecho a conocer, actualizar, rectificar o eliminar su información de una base de datos, lo que puede ser muy frecuente en el ámbito del e-commerce y que casi siempre significa una posición desfavorable para el responsable del tratamiento.
Así pues las prácticas frecuentes y aceleradas que se requieren del ejercicio del comercio electrónico, pueden conllevar riesgos de incumplimiento de los principios básicos de la protección de datos personales, de tal manera que aquello que puede parecer simple como un clic, se convierte en un elemento más de una plataforma que requiere ajustarse en sus procesos a las normas sobre privacidad.
La exposición de los datos y de la información personal en plataformas de e-commerce, por el contrario, representan el mayor reto para las empresas que quieren aprovechar las bondades de Internet en la prestación de sus servicios, pues solamente el cumplimiento y adopción de medidas seguras otorgarán al ciudadano la tranquilidad y confianza para entregar sus datos en estas plataformas bajo la premisa de que la empresa que los recibe entiende y cumple con la protección de tales datos. Lo contrario y la proliferación de sanciones como la que se comenta, pueden crear apatía y desconfianza en el consumidor a través de los portales web, y una verdadera hecatombe para afianzar el avance del comercio electrónico en Colombia.