Uno de los retos del marketing digital es que, con el auge de las interacciones propias de las redes sociales y las transacciones en eCommerce, la recolección de los datos personales se ha vuelto un asunto complejo. Además, la información que es recibida, almacenada y analizada genera nuevos datos a partir de ese tratamiento que -en gran parte- el mismo consumidor llega a desconocer. 

En este orden de ideas surge la necesidad de establecer protocolos, sistemas o invitar a que se promulguen leyes que se encarguen de la protección de datos en entornos digitales. Es decir, el uso y el reuso de mucha de esta información puede tener diversas finalidades que incluso llegan a ser perjudiciales para sus clientes o titulares. En otras palabras, la persona natural cuya información sea objeto de tratamiento por parte de una marca, emprendimiento o negocio.

Como resultado, es indispensable pensar que el derecho a la privacidad y protección de los datos personales en los entornos o ecosistemas digitales es una prioridad. De igual manera, el cuidado de este tipo de información también es una enorme oportunidad de generar valor en las actividades comerciales y de marketing digital de tu marca o negocio. 

Velar por la correcta gestión de los datos personales puede llegar a ser una excelente ventaja competitiva porque genera confianza en los usuarios de tus productos o servicios. Asimismo, elevas la reputación de tu emprendimiento o negocio, y no corres el riesgo de sanciones que podrían ser perjudiciales para el futuro de tu marca. 

Empecemos entonces por darle una atenta mirada al ámbito legal sobre la protección de datos personales, para lo cual hemos consultado al doctor Luís Félix Barriga Palomino, abogado socio de Fonte -firma colombiana de asesoría legal y empresarial- y al doctor Andrés Ángel fundador y CEO de SL Legal + Tecnología. 

De esta manera te quedará claro cuán importante es la autorización para el uso de los datos de tus clientes. Asimismo, su correcto uso será de gran ayuda para potenciar las ventas y estrategias de marketing de tu marca o negocio.

El marco legal del cuidado de la información y datos personales como activos corporativos

En el ámbito de las interacciones que se dan tanto en el marketing tradicional como en el digital surgió la necesidad de acudir a las leyes sobre la protección de los datos personales. Esto está mediado por los retos que suponen momentos del desarrollo de las tecnologías de la información, en el que cobran protagonismo los datos como activos personales y corporativos.

A lo anterior se suma la aparición de nuevos protocolos que garantizan, en lo posible, la privacidad y la seguridad de información empresarial que, por lo general, está en constante riesgo. 

Adicionalmente, se registran cada vez más aumentos en los flujos de datos y su exposición a una creciente variedad de delitos cibernéticos, como el secuestro de información (ransomware) y la intromisión a las bases de datos con software malicioso (malware).
De acuerdo con Fonte, este flujo de datos tiene dos características especiales:

• La transferencia, cuando el responsable o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un tercero, que a su vez es responsable de su manejo y se encuentra dentro o fuera del país.

• La transmisión de esos datos personales a través de un tratamiento que implica la comunicación de los mismos, ya sea dentro o fuera del país, por cuenta del responsable.

A su vez, estas dos características están amparadas por dos principios:

• Principio de libertad. Consiste en que el tratamiento de los datos personales solo puede hacerse con el consentimiento, previo, expreso e informado del cliente, usuario o titular. 

• Principio de finalidad. El titular de los datos personales debe ser informado de forma clara, suficiente y previa sobre  la finalidad de la información suministrada.

Para avanzar en lo relacionado con la protección de datos en entornos digitales haremos un recorrido por tres aspectos que nos presenta Andrés Felipe Ángel Posada, abogado y máster en Derecho de las Telecomunicaciones y Tecnologías de la Información, como lo son:

Pero antes, te invitamos a que tomes el curso gratuito “La protección de datos como potenciador de marketing”, para que uses de manera apropiada la información personal de tus compradores y le generes beneficios a tu emprendimiento.

1) Régimen de protección de datos

La base de la protección de datos tanto en entornos digitales como tradicionales está amparada por el artículo 15 de la Constitución Política de Colombia, que en uno de sus extractos dice:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”. 

De otro lado, acá también nos ocupa hablar de lo que en términos legales se conoce como el habeas data. De acuerdo con el estudio jurídico Fonte, el habeas data se trata del “derecho de carácter constitucional que poseen todas las personas de conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.
Este trasfondo constitucional y jurídico es el sustento de la Ley 1266 de 2008 (Habeas Data Financiero) y la Ley 1581 de 2012 (Protección de Datos Personales). Estas reglamentan los principios y disposiciones que se aplican a cualquier base de datos que esté expuesta al tratamiento por parte de personas u organizaciones públicas o privadas.

Conoce los tipos de datos personales y sus características

• Públicos: no necesitan de ninguna autorización para su uso. Es decir, cuando se habla de tu profesión u oficio, el tipo de negocio que tienes, tu nombre completo y el número de tu cédula. 

• Semiprivados: información que además de ser relevante para sus titulares, también lo es para otras entidades. Aplica para tu dirección de email, el número de tu celular, la dirección de tu residencia.

• Privados: su relevancia solo incumbe al directamente implicado. También necesitan autorización para su uso. Aquí tenemos el caso de la información suministrada en visitas domiciliarias, perfilamiento, gustos personales. 

• Sensibles: su uso es susceptible de discriminación o de provocar algún malestar al directamente implicado, por lo que requieren autorización explícita para ser usados. Por ejemplo, la orientación sexual, afinidad con algún partido político, credo religioso, estado de salud, información biométrica, si implica a menores de edad, afiliación a un sindicato.

• Biométricos:  hacen parte de los datos sensibles y según Fonte, se refieren a los datos estadísticos relativos a los fenómenos o procesos biológicos. Por ejemplo, estatura, color de piel, ojos y cabello; contextura física, etnia, marcas de nacimiento, entre otros. 

Ahora veamos cómo se aplica la autorización para la entrega de este tipo de datos según las leyes que ya citamos.

Autorización o consentimiento para el uso de datos personales

Al acto de consentimiento que da cualquier consumidor para que las empresas o personas encargadas del manejo de la información puedan utilizar esos datos personales es a lo que se le conoce como autorización. Además, dicha autorización debe darse a conocer de manera expresa o por algún medio para continuar con un proceso determinado.

Sin embargo, según el artículo 10 de la Ley 1581, hay casos en los que el consentimiento del titular de los datos personales no es necesario. Por ejemplo:

• Para la entrega de información solicitada por una entidad pública o administrativa en pleno uso de sus funciones legales o por el efecto de una orden judicial.
• Cuando se requieren datos de naturaleza pública.
• Para la atención de casos de urgencia médica o sanitaria.
• El manejo de información autorizado por la ley para fines históricos, estadísticos o de trabajos científicos.
• Datos sobre el Registro Civil de las personas.

Para complementar es importante que el contenido de la autorización debe comunique los siguiente:

• Identificación de la entidad que utilizará los datos (razón social, NIT, dirección física, web, número de tel).
• Tratamientos y finalidades aplicables a los datos.
• Derechos que le asisten al titular de información personal.
• En caso de tratar datos sensibles, identificar estos datos e informar la finalidad específica a aplicar sobre estos. Igualmente se deberá informar carácter facultativo de las respuestas relacionadas con el tratamiento de estos datos.
• Canales para atender consultas y reclamos.
• Mecanismos para acceder a la política de tratamiento de información personal.

2) Protección de datos y marketing

Este tal vez sea el punto que más esperabas en relación de lo que inciden las leyes que regulan el manejo de los datos personales para tu marca o negocio.  En términos de marketing tradicional y digital hay un ciclo de vida del manejo de los datos para empresas de todo tipo definido por 5 momentos:

1. Recolección y/o minimización de datos
2. Almacenamiento y procesamiento de información
3. Seguridad de los datos 
4. La responsabilidad de la empresa en su gestión de los datos (accountability)
5. Finalización de la relación o proceso con cliente o su fidelización

En cada punto de este intervienen aspectos como:

• El logro del consentimiento del cliente no es suficiente por sí solo.
• Dicho consentimiento se deberá obtener con un soporte que demuestre que este si se entregó. El consentimiento de cualquier persona tampoco basta por sí solo.

Por consiguiente, se debe demostrar que solamente el usuario, y no un intermediario que use el nombre de ese consumidor o su email, ha dado su autorización. Esto significa que debe haber una correspondencia o acuerdo entre el remitente y el destinatario de estas acciones, que a su vez es mediada por un proceso de doble confirmación del que hablaremos a continuación.

La doble confirmación entre cliente y empresa

Esto no es más que el consentimiento dado por el titular de la dirección de correo electrónico para usarse con fines de email marketing o envío de newsletters. Además, debe estar sometido a un método de doble confirmación que sirva como una garantía jurídica, así esta no sea una obligación legal.

Posteriormente, se envía un email de confirmación a la dirección de correo electrónico indicada al momento del consentimiento o autorización. En dicho mensaje el usuario tendría la posibilidad de confirmar que accedió al hacer clic en un enlace de confirmación.

A todo este proceso le sigue un compromiso de tu marca o negocio de garantizar la seguridad de los datos con base en los principios de integridad, disponibilidad y confidencialidad de la información. Asimismo, debe haber dentro de tu marca o negocio un ejercicio de accountability que establece la SIC. 

Esto se resume en la gestión de los datos personales de sus clientes e información corporativa que va desde protocolos de almacenamiento, responsabilidades individuales y conjuntas, hasta la respuesta oportuna en caso de alguna incidencia.

3) Régimen sancionatorio

En el último aspecto sobre la protección de datos en entornos digitales,  el abogado Andrés Ángel llama la atención sobre tres tipos de sanciones a las que se exponen las marcas o negocios que no cumplan con lo que establece la ley:

1. Administrativas.  Imponen multas hasta de 2 mil salarios mínimos mensuales legales vigentes además de:
   – Cierre temporal o inmediato del establecimiento comercial.

– Suspensión de cualquier tipo de uso de la información de tipo comercial.

2. Civiles. Implican el reconocimiento de daños y perjuicios por aquellos actos que impliquen responsabilidad civil contractual y extracontractual. 

3. Penales. En caso de que se llegaran a cometer delitos informáticos (hackeo, crackeo, ransomware, malware).

Deberes dentro del régimen sancionatorio

Vale anotar que según la Resolución 4573 de 2018 para el manejo de datos personales de todo tipo de usuarios es deber de las marcas y negocios:

• Solicitar copia de la autorización previa, expresa e informada del titular.
• Informar al cliente sobre la finalidad del tratamiento de sus datos. 
• Implementar un manual de políticas y procedimientos de tratamiento de datos.
• Conservar la información personal bajo condiciones de seguridad necesarias.
• Solicitar autorización previa, expresa e informada del usuario para que sea contactado  telefónicamente si le van a ofrecer paquetes de productos o servicios.

Te recomendamos que también consultes las resoluciones 38021, 38085, 27864, 13234, 13822 de 2018 y la 78899 de 2017. Allí encontrarás especificidades sobre las autorizaciones de uso de datos personales para su uso en redes sociales, bases de datos, llamadas desde call center, por referencia de un tercero o para el envío de información y/o material publicitario. 

Para que amplíes estos conceptos sobre el manejo de datos personales en el ámbito convencional y digital de tu marca o negocio, de nuevo te recomendamos que ingreses al webinar gratuito “La protección de datos como potenciador de marketing”.

Para finalizar tres conceptos claves que Fonte destaca para  tener en cuenta:

1. Recuerda que es indispensable obtener la autorización al tratamiento de datos personales directamente del titular y que esta autorización puedes tenerla por escrito, de forma oral o mediante conducta inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.  Sin importar el medio debe conservarse prueba de la autorización otorgada, y, cuando el Titular lo solicite, entregarle copia de esta.

2. Ten claro que se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como el origen racial o ético, la orientación política, datos relativos a la salud, datos relacionados a su vida sexual, datos biométricos, convicciones religiosas o filosóficas, la pertenencia a sindicatos o a organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político. 

3. Ten siempre presente que cuando se trate de datos sensibles, el titular debe saber que no está obligado a autorizar su tratamiento y que es deber del responsable de los datos, informar al titular de forma explícita y previa, cuáles datos son sensibles y cuál será la finalidad del tratamiento que se les dará.

Y 10 recomendaciones de seguridad informática para el tratamiento adecuado de datos personales:

1. Validar antes de circular información a terceros.
2. Solicitar autorización escrita al titular al momento de recolectar información personal.
3. Conservar prueba de las autorizaciones otorgadas.
4. No permitir el acceso a la información por personas no autorizadas.
5. Advertir cuando esté tratando datos personales de menores.
6. Darle trámite a las PQR que conozca o envíela al  área encargada.
7. Validar que no existan reclamos pendientes por resolver en su área.
8. Tener un control de las bases de datos a su cargo.
9. Seguir los protocolos de archivo físico.
10. No utilizar equipos fuera de la compañía sin autorización, establezca contraseñas seguras para los equipos, tenga cuidado con enlaces sospechosos y no instale programas no autorizados en los ordenadores.

Si te gustó este contenido, visita nuestro cluster de Estrategia y Plan de Marketing donde podrás acceder a más artículos y cursos gratuitos para seguir aprendiendo cómo el Marketing Digital potencia el crecimiento de tu negocio.

Y no te pierdas el próximo webinar sobre este tema: Claves de la Ley de Datos Personales en el Mundo Digital, que realizaremos el 13 de octubre con el experto Dr. Luis Félix Barriga Palomino. Regístrate aquí.