“No se trata de si se puede o no usar los datos, sino cómo”, indicó León Weinstok, abogado de la firma BLP y experto en protección de información. “Lo que se debe hacer es cumplir lo que dice la ley”.
Las empresas, las instituciones y otras entidades deben tener claridad sobre el proceso de gestión y protección de los datos de clientes, proveedores y colaboradores, así como asesorarse adecuadamente desde el punto de vista legal, de comunicación y tecnológico.
Y deben ir más allá, pues deben ajustar su comportamiento en la gestión de datos a las normas internacionales y nacionales, teniendo en cuenta la brecha y atraso de estas últimas.
“Las empresas deben ser transparentes y explicar qué hacen con los datos”, recordó Andrés Corrales, socio director de Pitch Media, firma especializada en gestión de la reputación.
Aparte de las consecuencias legales y políticas, como en el caso de la Unidad Presidencial de Análisis de Datos (UPAD), las compañías y entes deben considerar los cambios y exigencias de los consumidores en cuanto a la privacidad de su información.
Un informe de Deloitte del 2019 ya advertía que siete de cada 10 consumidores entre 20 y 40 años de edad (los llamados millennials) tienen preocupaciones sobre la seguridad de su información personal y el uso que le dan las empresas.
Para el 50% de ellos su relación, como clientes, con las compañías está relacionada directamente con el manejo de los datos y una cuarta parte dejó su vínculo con alguna firma por el mal manejo de la información personal.
A nivel global son conocidos los casos de firmas como Equifax, que pagó una multa de $700 millones por una masiva filtración de datos de 150 millones de personas en 2017.
La aerolínea British Airways también sufrió en 2018 por el robo de datos personales y financieros de sus clientes de su sitio web y su aplicación móvil, lo que le valió una multa equivalente a los $230 millones.
Una encuesta de la firma EY, aplicada a más de 745 compañías en 19 países, reveló que existe poca preparación por parte de las organizaciones para el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea.
| Elemental |
|---|
| Principios básicos que deben contemplar las empresas en el manejo de los datos: |
| Consentimiento: el cliente debe dar su consentimiento informado, expreso e inequívoco, lo que implica que se debe indicar para qué se usarán. |
| Gestión: la empresa deben indicar quién es el garante de la información. |
| Derechos de las personas: acceso, rectificación, supresión y revocación. |
| Notificación: se debe comunicar a los afectados cuando sus datos son víctimas de un incidente que afecta la integridad y seguridad de la información. |
| Fuente: BLP |
Actúe
Es normal y legal que las empresas tengan bases de datos.
Pero no deben esperar a que se les venga el desastre encima y más bien deben prevenir, anticiparse y actuar apegadas a la legislación de protección de datos de las personas.
LEA MÁS: Evite que su empresa sea afectada por la desactualización de la ley de datos de Costa Rica
Eso implica, no solo establecer las medidas correctas para la recolección, acumulación, análisis y uso de los datos, así como su protección.
Se debe contemplar cuáles son los cuidados que deben tener los propietarios o socios, ejecutivos y colaboradores de la compañía a la hora de utilizar un dispositivo (por ejemplo la laptop) en un sitio público, desde el uso de una red wifi a la protección de las pantallas.
Las compañías deben tener claridad sobre su reputación o imagen pública para definir su estrategia, así como entrenar a su personal y a sus voceros sobre cómo se gestionan los datos de los clientes.
Weinstok recordó que no se puede hacer uso de la información a la libre y que cada persona puede decidir si brinda o no sus datos, así como su utilización.
Si el cliente brinda sus datos personales para recibir un servicio o la factura o el tiquete electrónico no pueden ser usados para otro fin.
Lo mismo ocurre con la información de los colaboradores para efectos de planilla, seguridad social o pólizas.
Si un cliente brinda su nombre y su correo electrónico para factura o tiquete electrónico, estos datos no pueden ser empleados para enviarle promociones.
Las empresas deben tener claro que el usuario puede conocer cuáles datos suyos se almacenan (acceso), a actualizarlos (rectificación), a que se eliminen (supresión) y a anular su consentimiento (revocación).
| Sea proactivo |
|---|
| Adopte medidas para cumplir la ley y ser proactivos con sus clientes: |
| Asesórese: apóyese en firmas legales, de comunicación y de tecnología especializadas en gestión de datos. |
| Auditoría: realice una auditoría del manejo de datos que realiza su empresa. |
| Normas: establezca protocolos, manuales, políticas de privacidad y de cookies o pixel, reglas y buenas prácticas. |
| Proteja los datos: utilice cifrado de datos para proteger información personal y corporativa que está registrada en celulares, laptops y tabletas. |
| Seguridad: actuale sistemas operativos, aplicaciones y sistemas de protección de información. |
| Controle: determine las métricas, indicadores y alertas en la gestión de la información. |
| Transparencia: los propietarios de los datos (clientes, proveedores y colaboradores) deben tener acceso a la información y pueden pedir actualizar o suprimir información. |
| Fuente: BLP, Pitch Meida y GBM |
¿Cuándo individualizar?
Las empresas también deben tener claridad sobre cuándo y para qué pueden usar información agregada, así como cuándo y para qué pueden usar la información desagregada, donde se identifica a las personas.
La información estadística o agregada puede usarse para fines de análisis del comportamiento de los clientes, donde no se requiere consentimiento de las personas.
Es el caso de análisis de morosidad, de análisis de tráfico (de sitio web, de red social, de personas en un centro comercial o de tránsito), de hábitos de compra de los consumidores o de la información que se elabora en estudios de mercado y en censos o encuestas.
En este ámbito están los datos de las encuestas de hogares y otras informaciones del Instituto Nacional de Estadísticas y Censos (INEC), de la Superintendencia de Telecomunicaciones (Sutel), del Banco Central o del Ministerio de Agricultura y Ganadería.
En el caso de estadísticas, investigaciones o estudio lo que rige son los derechos de autor.
Las entidades bancarias pueden utilizar la información del cliente para efectos de cobro, de acuerdo al contrato establecido con el deudor cuando se otorgó un préstamo o la tarjeta de crédito. Esos mismos datos no se pueden emplear para otros fines, sin embargo.
Hay casos de investigación fiscal o de comportamiento crediticio donde se obtienen los datos de personas para los fines, según los procedimientos y en los límites determinados por las respectivas leyes.
Tampoco se puede utilizar datos o información de las personas en forma individualizada e identificable en los casos de análisis de tráfico, de hábitos o que ellos brindaron en un cuestionario.
Luis Alonso Ramírez, de GBM, indicó que los datos personales se pueden anonimizar, convirtiéndolos en información donde no se pueda identificar a los individuos, reduciendo los riesgos que presenta la obtención y tratamiento masivo de los datos de carácter personal.
A nivel empresarial en la actualidad se dispone de sistemas de inteligencia artificial para el resguardo automatizado de la información, así como la supervisión de accesos y la adopción de medidas contra amenazas.