Protección de los datos personales en el comercio electrónico: Análisis sobre las últimas decisiones y directrices de la Superintendencia de Industria y Comercio

Protección de los datos personales en el comercio electrónico: Análisis sobre las últimas decisiones y directrices de la Superintendencia de Industria y Comercio

Por: Juan David Gutiérrez y Fery Daniel Cure

La Superintendencia de Industria y Comercio (SIC) ha mostrado un creciente interés en la aplicación de las normas de protección de datos personales al comercio electrónico. Dos casos recientes decididos por la SIC (Res. 74828 y 76538 de 2019) y la expedición de la “Guía para el tratamiento de datos personales para fines de comercio electrónico”, son ejemplos que valen la pena analizar. 

La legislación colombiana incorpora dos definiciones de comercio electrónico (Ley 527 de 1999 y Ley 1480 de 2011). En ambas queda claro que el elemento central es el desarrollo de operaciones comerciales o de consumo a través de mensajes de datos. Toda plataforma digital, ya sea a través de aplicaciones móviles (APP) o  página web, será una plataforma de comercio electrónico siempre que: 1. Desarrolle operaciones comerciales a través de intercambio de mensajes de datos y 2. Que no se trate de un mero portal de contacto (Ley 1480). 

El objetivo de este texto es sintetizar los puntos más importantes que una empresa debe tener en cuenta en la operación del comercio electrónico para cumplir con la legislación de protección de datos. Son cuatro los asuntos que abordamos a continuación: 1.Obtención y conservación de la autorización del tratamiento de los datos personales; 2. Autenticación de la identidad del titular; 3. Prohibición de usar listas denegatorias; y, 4. Realizar estudios de impacto de privacidad e incorporar la privacidad por diseño. El texto finaliza con unas reflexiones finales sobre los retos futuros, en materia de protección de datos para las empresas interesadas en el comercio electrónico.

1. La autorización del titular de los datos

El comercio electrónico no está exento de cumplir con la regla general que establece la legislación de protección de datos personales: el responsable del tratamiento de datos personas debe contar con el consentimiento previo, expreso e informado del titular. La SIC ha establecido que se requiere la existencia de una acción clara y positiva que refleje la manifestación de voluntad libre, específica e informada del titular en señal de aceptación.  En consecuencia “el silencio, la no-acción o inacción por parte del individuo no constituyen consentimiento. Las casillas ya marcadas por defecto tampoco pues no implican un consentimiento activo por parte del individuo” (Res. 76538 de 2009). En esta misma línea expresó la SIC que ni utilizar casillas checkbox para aceptar los términos y condiciones, ni aceptar el aviso de privacidad, ni aceptar las políticas de tratamiento de la información significan necesariamente que el titular aceptó el tratamiento de sus datos. El titular debe conocer la naturaleza, las finalidades y las consecuencias del uso que se va a dar a su información personal (Res. 74828 y 76538 de 2019).     

Además, el responsable de una base de datos debe conservar prueba de la autorización del titular. Para la SIC acreditar la fecha de creación del usuario en la plataforma no implica que este autorizó el tratamiento de datos personales (Res. 74828 de 2019). Lo que debe acreditarse, según la autoridad, es la prueba de que cada titular autorizó el tratamiento de manera previa expresa e informada. 

2. Autenticación de la identidad del titular

 Con fundamento en el artículo 50 de la Ley 1480 de 2011, la SIC consideró que es deber del responsable asegurarse de que quien autoriza el tratamiento sea realmente quien dice ser y no un suplantador de identidad. Para ello sugiere que los procesos implementados puedan responder a los siguientes interrogantes: ¿Cómo tener certeza de que una persona es quien dice ser? ¿Cómo identificarla electrónicamente? ¿Cómo impedir suplantaciones físicas o electrónicas? ¿Cómo evitar que una persona indique no haber sido quien envío un mensaje de datos o expresó su voluntad? (Res. 74828 y 76538 de 2019).

3. No utilizar listas denegatorias

Las listas denegatorias son aquellas en las que se recopilan información exclusivamente desfavorable del titular. La SIC estableció, con fundamento en la jurisprudencia constitucional, que usar este tipo de listas es una práctica abusiva de la facultad de administrar datos personales y que contraviene los principios de libertad, finalidad y legalidad (Res. 74828 de 2019). En consecuencia, ante una solicitud de supresión de datos personales por un titular no es válido ubicar los datos del titular en listas denegatorias.  

4. Estudios de impacto de privacidad y privacidad por diseño

En desarrollo del principio de responsabilidad demostrada, la SIC recomiendan realizar estudios de impacto de privacidad de manera previa al diseño y desarrollo del proyecto de comercio electrónico que evalué los riesgos específicos para los derechos y libertades de los titulares, junto con las medidas para mitigarlos (Guía SIC 2019). Lo anterior está directamente relacionado con otra sugerencia de la SIC que es la incorporación de la privacidad y la ética desde el diseño y por defecto (privacy by design). Esto significa que los proyectos de comercio electrónico deben estar estructurados y orientados siempre hacia la protección de la privacidad de los usuarios, implementado diferentes medias tecnológicas, humanas, organizacionales y procedimentales de carácter preventivo (Res. 74828 de 2019).

Además, la SIC recomienda utilizar herramientas de anonimización (en los casos en que se factible hacerlo) para que terceros no puedan identificar al titular del dato. Por otro lado, sugiere hacer uso de datos de contacto únicamente en días y horas que no afecten la tranquilidad de las personas. Por último, propone desarrollar actividades que generen confianza de los consumidores, como por ejemplo:  mantener canales abiertos de comunicación, contar con un sistema efectivo de atención de solicitudes y quejas,  y cumplir en la práctica lo dispuesto por las políticas de tratamiento de la información. 

5. Reflexiones sobre retos futuros

Identificamos tres grandes retos para las empresas interesadas en el comercio electrónico en materia de protección de datos personales y privacidad. El primero, es que el cumplimiento cabal de la legislación comienza por contar con equipos conscientes de los riesgos legales derivados del tratamiento de datos personales a través de medios electrónicos. Todavía falta mucho trabajo de divulgación por hacer para que los empleados y colaboradores de las empresas que están desarrollando estas tecnologías estén debidamente sensibilizados sobre dichos riesgos. 

En segundo lugar, se necesita compromiso pleno por parte de la dirección de las empresas para asegurar los recursos necesarios para cumplir con los parámetros exigidos por la legislación de protección de datos personales. Una asesoría legal temprana puede ayudar a evitar riesgos legales, pero las soluciones técnicas, humanas y administrativas que deben implementarse para cumplir implican costos adicionales para las empresas.

Finalmente, a pesar de que la SIC ha ofrecido mayores luces, a través de su doctrina y de sus directrices, sobre la aplicación de la legislación de protección de datos personales, todavía hay zonas grises e interrogantes sobre cómo cumplir en la práctica con la legislación. Dada la proactividad de la SIC en la expedición de directrices, confiamos en que dichas brechas se cerrarán paulatinamente para bien de la seguridad jurídica de los titulares de los datos y de los mismos comerciantes.

1 Comment
  • Jorge Armando Gomez
    Posted at 17:59h, 13 marzo Responder

    Gracias Avante, bastante interesantes las últimas resoluciones, especialmente lo derivado de la sanción a Rappi.

Leave a Reply

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

%d bloggers like this: