Bruno Mejía. Gerente, Competencia y Mercados, EY Law
El día a día de las actividades comerciales y de marketing implica el envío de correos electrónicos, la realización de encuestas, la elaboración de contratos, el procesamiento de información financiera; entre otras actividades que implican necesariamente tratar datos personales ―”la data es el nuevo petróleo” dicen algunos―.
La emergencia sanitaria que vivimos, además, y la necesidad de distanciamiento social que conlleva, ha hecho que el comercio electrónico y la comunicación virtual cobren aún más importancia, incrementando a su vez la necesidad de tratar datos personales.
Si bien el tratamiento de estos datos conlleva beneficios para los consumidores, tales como mejor información y ofertas customizadas a sus necesidades; también se dan casos de mal manejo de la información que podrían acarrear costos legales y reputacionales: ofertas no solicitadas, o “leaks” de información personal que atentan contra la privacidad de las personas.
En línea con ello, la Autoridad Nacional de Protección de Datos Personales (“Autoridad”) ha fortalecido sobremanera su labor fiscalizadora en los últimos tiempos, a través de los canales digitales, con el fin de verificar el cumplimiento de la normativa que regula la materia.
La Autoridad, de hecho, ha venido iniciando procedimientos de fiscalización a las empresas solicitándoles información tanto de la implementación en sus páginas web de las exigencias previstas en la normativa (lado pasivo) como de las publicaciones que difunden a través de sus distintas redes sociales promocionando sus productos o servicios que ofrecen en el mercado (lado activo).
Ahora bien, ¿qué pueden hacer las empresas para no incurrir en algún tipo de riesgo al momento de realizar el tratamiento de datos personales? Más importante que tener una capacidad reactiva ante la fiscalización de la Autoridad, resulta de vital relevancia que las empresas cambien el “chip” y muestren, más bien, una conducta proactiva que permita anticiparse a cualquier contingencia (sea por parte del titular del dato personal o de la propia Autoridad).
A continuación compartimos cinco recomendaciones que pueden servir a las empresas a fin de evitar que incurran en algún riesgo legal o reputacional:
1.Cuenta Contar con una Política de Privacidad “sencilla”: el deber de informar que impone el artículo 18 de la Ley 29733, Ley de Protección de Datos Personales (“LPDP”) no solo implica que, por ejemplo, las páginas web o aplicativos publiquen sus Políticas de Privacidad sino que, además, estas se encuentren redactadas en forma sencilla y sean de fácil comprensión para los usuarios.
Estos documentos, que establecen las reglas de juego aplicables para el tratamiento de datos personales de aquellos usuarios que decidan brindar su información a las empresas, no tienen por qué revestir un alto nivel de complejidad en su texto. Un estudio elaborado por el Privacy Project de The New York Times ha demostrado que puede tomar hasta 35 minutos leer las Políticas de Privacidad de “los gigantes de la tecnología” (Airbnb, Facebook y Uber). Esto, lejos de promover la contratación de los productos o servicios ofrecidos por las empresas a través de sus distintas plataformas, generará que el interesado deje de estarlo y decida optar por aquella empresa que comprendió que cumplir con las normas no implica necesariamente que el documento sea de difícil lectura.
Contar con una Política de Privacidad redactada en un formato claro y sencillo, con oraciones comprensibles y simples, dará una buena señal de transparencia y permitirá que los usuarios puedan decidir la forma en la que desea que se utilicen sus datos.
2.Asegurarnos de contar con consentimiento previo (y evidencia de ello): además del deber de informar previsto en la Ley, los artículos 12 y 13 de su Reglamento establecen, como requisito, que las empresas obtengan el consentimiento previo, voluntario, libre, expreso e inequívoco del titular de los datos personales. Recabar oportunamente este consentimiento dará legitimidad a las empresas para efectuar un tratamiento debido de los datos personales recopilados.
Vale la pena mencionar que este consentimiento no se limita a la manifestación escrita o verbal pues tratándose de entornos digitales, dado el avance tecnológico, también podrá obtenerse la autorización “dando clic”, mediante firma electrónica o a través de cualquier otro medio que permita identificar al titular y recabar su consentimiento.
3.Implementar un procedimiento para el ejercicio de los derechos ARCO: no solo se trata de que las empresas tomen en serio la tarea de proteger los datos personales de sus titulares, sino que, además de ello, permitan a estos últimos tomar consciencia sobre los derechos que la normativa les reconoce. El nombre ARCO es un acrónimo de los derechos de Acceso, Rectificación, Conclusión y Oposición que pueden ejercer los usuarios sobre sus datos personales.
Para ello, recomendamos que el procedimiento que las empresas implementen sea bastante claro, detallando la información a presentar, los tipos de solicitud que se puede formular, el plazo que tomará atender el pedido y cualquier otra documentación que sea necesaria.
4.Conservar la información por un tiempo “prudente”: si bien nuestro marco legal, a diferencia de otras regulaciones en el mundo, no establece un plazo máximo ni mínimo para que las empresas almacenen los datos personales que recaban de sus usuarios, sugerimos que esta información sea conservada por un tiempo prudente.
Ello significa que será conveniente que las empresas conserven datos personales mientras estos les sean de utilidad y cumplan con la finalidad para la cual fue recabada. Recordemos que a mayor tiempo de conservación mayores serán las medidas de seguridad que las empresas deberán implementar para, precisamente, resguardar la información.
Por eso, sugerimos que las empresas cuenten, como una buena práctica empresarial, con un procedimiento de eliminación automática de datos personales, lo que supone, a su vez, la implementación tecnológica de esta funcionalidad en los sistemas que maneja.
5.Implementar sistemas de cumplimiento normativo: estos aseguran que no solo se cumpla con las formalidades establecidas en la Ley, sino que además la organización cuente con una cultura de cumplimiento, que ayude a estar permanentemente atentos a posibles desviaciones, y actualizados ante cambios normativos o modificaciones en la forma de operar de las empresas. En nuestro medio todavía hay aspectos básicos de la Ley en los que hay brechas de cumplimiento. En nuestra experiencia[1], por ejemplo, un número importante de empresas incumple todavía con inscribir ante la Autoridad los bancos de datos personales, sean automatizados (contenidos en soportes tecnológicos) o no automatizados (almacenados, por ejemplo, en archivadores físicos). Esta omisión es considerada por la norma como infracción a la cual se le puede aplicar una multa de hasta S/ 21,5 mil y, en caso la Autoridad requiera dicha inscripción en el marco de un procedimiento sancionador y no se realiza, la multa puede llegar hasta S/ 215 mil.
Implementando estas cinco recomendaciones, los riesgos de incumplimiento se reducen en gran medida. Aunque estos temas podrían parecer para algunos no prioritarios, precisamente la crisis en la que vivimos releva la importancia de evitar multas innecesarias.
[1] Lamentablemente, la Autoridad no publica estadísticas que permitan tener una apreciación cuantitativa de los niveles de cumplimiento de la norma.
