El adecuado uso de la tecnología para el procesamiento de datos personales de los clientes es una herramienta estratégica para la competitividad de las empresas. El conocimiento de los clientes, así como la satisfacción inmediata de sus necesidades son factores que establecen la diferencia entre los competidores.
Las empresas requieren contar con información de carácter personal de sus clientes que les permita dirigir sus estrategias de mercadeo, venta y servicio al cliente. Dicha información y su manejo implica una serie de responsabilidades y riesgos para las empresas, sus representantes y empleados.
Para disminuir esos riesgos, se deben establecer políticas claras de cumplimiento de las normas que regulan el manejo de los datos personales de los clientes y que regulan el giro comercial de las empresas.
Asimismo, establecer los procedimientos necesarios y suficientes (evitar burocracia excesiva) para cumplir con las normas aplicables y mantener la seguridad de la información.
Las empresas que trabajen con datos otorgados por sus clientes, se encuentran sometidas a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (8968) y su reglamento, así como a las demás normas que se apliquen supletoriamente.
Los datos personales de los clientes no pertenecen a las empresas, estas son simples depositarias. Como tales tienen el deber de proteger la información personal que les entregan y se convierten en responsables del manejo que le dan a esta.
Por ejemplo, en el caso de que la información generada entre la empresa y el cliente involucre la entrega de datos personales de este último, la empresa y sus empleados serán responsables de su utilización interna, así como si se produce su divulgación sin el consentimiento del propietario.
Requisitos
Las empresas que cuenten con bases que contienen datos personales de sus clientes y que tienen una finalidad de comercialización, distribución o difusión comercial según los alcances de la ley, deben inscribirse ante la Agencia de Protección de Datos de los Habitantes (Prodhab). Una empresa que no cumpla con dicha obligación se expone a cuantiosas multas económicas y a la inhabilitación de su base de datos por un periodo de hasta seis meses..
Además, el perjuicio asociado a la fuga de datos personales en las compañías puede ser la pérdida de reputación y el daño en la imagen de la empresa. La compañía podría verse afectada por la exposición negativa ante la opinión pública, los medios de comunicación y sus propios clientes.
Es común que la violación de la seguridad de datos personales sea realizada desde lo interno de la compañía, por empleados, exempleados o terceros que se aprovechan de las deficiencias de seguridad de las empresas.
Por estas razones es que se deben crear procedimientos, políticas y mecanismos de fiscalización dentro de la empresa. Que sean de cumplimiento obligatorio y fácil entendimiento de todos los colaboradores.
Por esta razón, en todas las empresas que manejen datos personales de sus clientes, se debe considerar al menos lo siguiente:
Verificar el cumplimento de la Ley 8968.
Verificar si se debe registrar la base de datos ante la Prodhab.
Definir una estrategia de protección de datos personales empresarial y elaborar el protocolo de actuación que requiere la ley.
Definir políticas ciberseguridad empresarial.
Que en todos los niveles de la empresa se conozcan, se capaciten y acepten las políticas de cumplimiento y ciberseguridad empresarial.
Fiscalización periódica del cumplimiento normativo.
Monitoreo continuo de la efectividad de las políticas de ciberseguridad.
Además de las sanciones en el ámbito administrativo establecidas por la Prodhab, los clientes afectados pueden interponer acciones legales en el ámbito civil y penal.
Dependiendo del caso, se podría considerar la vía civil por responsabilidad contractual o extracontractual por la falta de la debida diligencia en el manejo de los datos personales del cliente. En este escenario, la empresa podría verse expuesta a una demanda por daños y perjuicios, incluso de tipo moral según se considere (derecho a la integridad física, a la imagen, al honor, a la intimidad o vida privada).
Eventuales delitos
Además, según las circunstancias se puede configurar un delito de violación de datos personales, o afectar otros bienes jurídicos protegidos como el derecho a intimidad o la privacidad. En el caso del delito de violación de datos personales, el Código Penal establece penas de prisión de un año a tres años, con agravantes que van de los dos a los cuatro años.
Las políticas de protección de datos y de ciberseguridad deben ser resultado de una labor de análisis por parte de un equipo integral, dirigido por los mandos gerenciales y conformado al menos por profesionales con conocimiento del derecho aplicable y también profesionales con conocimiento desde el punto de vista de ciberseguridad. Contar con antivirus y firewalls ya no es suficiente para proteger a la empresa de las amenazas persistentes de seguridad informática actuales y se debe considerar esta realidad como parte de la estrategia de Ciberseguridad empresarial.
Independientemente del tamaño de la firma, no invertir en medidas para disminuir los riesgos señalados es una contingencia latente que puede enfrentar a la empresa, sus representantes y colaboradores a graves consecuencias legales y financieras.