El uso indebido de información personal es una de las prácticas más comunes y también una de las que más trabajo les está dando a los abogados.
Habeas data, lo que más le da trabajo a los abogados
¿Cuántas veces lo han llamado a promocionarle productos de una empresa con la que jamás ha tenido una relación comercial? ¿O quizá alguna vez ha visto su nombre expuesto en una cadena de correos electrónicos con algún tipo de oferta?
Para no ir más lejos, hace varios meses el diario inglés The Guardian reveló que la firma Cambridge Analytica recopiló información de 50 millones de personas en 2014 a través de una aplicación que se ejecuta en Facebook. Dicha aplicación tenía cerca de 300.000 participantes y la información fue utilizada con intereses políticos. Este tipo de hechos refleja la sensibilidad que despiertan los datos hoy más que nunca en un mundo empresarial más competitivo.
Por eso, ante el auge de la información personal que ‘rueda por ahí’ –de la mano de la tecnología–, la protección de datos es un área de práctica legal que va en franco crecimiento y que hoy se acelera con la nueva ley de protección de datos europea, General Data Protection Regulation (Gdpr), y que obliga a que el usuario dé su consentimiento para que las empresas puedan usar sus datos, expliquen para qué los están usando y cómo los están tratando. ¿A quiénes afecta? A las empresas que manejen datos de ciudadanos europeos, independientemente del país de origen.
Según María Claudia Caviedes, superintendente delegada para la Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC), la reglamentación europea afecta también a empresas colombianas que ofrecen productos a Europa y, de paso, permite sentar un precedente sobre la tendencia en materia de protección de datos.
“Las infracciones más comunes están asociadas a la falta de autorización para manejar información personal”, afirma.
Sin duda, los retos son grandes en el país, al afinarse la regulación europea y la consiguiente necesidad de ajustar la normativa en Colombia por asuntos como el consentimiento para el uso de bases de datos personales.
“A veces, de manera inocente, las empresas incurren en prácticas indebidas con esquemas comerciales basados en referidos. Por ejemplo, cuando te venden una semana de hotel en Santa Marta y el vendedor pide cinco referidos. Eso es una violación a la norma de Habeas Data, porque el consentimiento debe ser previo, expreso e informado”, afirma Carolina Pardo, socia de Baker McKenzie y líder de la firma en protección de datos.
Pero ¿qué precedentes relevantes hay en el país sobre protección de datos? La multa más alta impuesta a una empresa por este asunto fue para Colmédica, por $1.034 millones. Los motivos: la entidad dejó en evidencia información de 30 usuarios que habían realizado consultas por la página web de la empresa y la entidad no había tomado las medidas de seguridad adecuadas. Este tipo de acciones ha sido posible desde la expedición de la Ley 1581 de 2012.
Una paciente digitó su nombre en el motor de búsqueda, cuando le arrojó como resultado la información que había suministrado en el portal para su consulta médica: nombres y apellidos, documento de identidad, dirección de correspondencia y hasta la descripción de la consulta formulada por el usuario con relación a su estado de salud y su diagnóstico.
Un negocio que empieza
Según el experto José Alejandro Bermúdez, socio de Bermúdez Durana Abogados, “es un tema que las compañías colombianas deben tomarse muy en serio. Cuando la alta dirección no le ha puesto los dientes al tema, no se logra imprimir la unidad que necesita este tema en la organización. Va más allá de tener una política”, comenta, tras destacar que las empresas deben debe tener claro los procedimientos, el entrenamiento a todos los empleados, procesos de debida diligencia para proveedores y en general y uso adecuado de las bases de datos.
Y aunque parece un tema nuevo, la protección de los datos personales está ligada al derecho a la intimidad, consagrado en la Constitución Política de Colombia y a la Ley de Habeas Data.
“Hoy uno de los temas claves de discusión es facilitar el flujo internacional de información sin dejar de lado la protección a la información de las personas”, afirma Diego Cardona, socio de Philipi Prietocarrizosa Ferrero DU & Uría, quien destaca que la sociedad aún está en proceso de aprendizaje sobre cuáles son sus derechos y las empresas también están en ese proceso.
La regulación en materia de protección de datos en Colombia aún tiene camino por recorrer. En la medida que la tecnología propicie que los usuarios tengan sus datos personales más expuestos, hay que contar con reglas más claras entre la frontera entre lo público y lo privado.
Un lío para Codensa
La SIC impuso hace varios meses una sanción a Codensa por $240 millones. ¿La razón? Divulgar la dirección de residencia de una persona en Twitter, sin que mediara su autorización y sin las condiciones de seguridad necesarias.
‘Tate quieto’ a Linio
El portal para compra de productos, Linio Colombia, ha sido sancionado durante cinco oportunidades por un valor de $1.118 millones por no atender diversas peticiones de usuarios, quienes solicitaban la supresión de sus datos personales para no continuar recibiendo publicidad y por desacato a una orden impartida por la SIC.
Sanción a colegio Clermont
También se impuso una sanción al Colegio Clermont por más de $240 millones, tras detectar que hacía tratamiento de datos sin contar con la autorización de los titulares, a pesar de recolectar datos sensibles de niños y adolescentes. Tampoco tenía manual de procedimiento para tratamiento de datos, en especial para la atención de quejas y reclamos y tampoco contaba con canales apropiados para administrarlas.