Hoy en día somos un poco más sensibles de que exista un gran intercambio de información, que las personas con la intención de consumir algún bien o servicio proporcionen información y las empresas ofrecen esos bienes y productos además de aprovechar dichos datos de las personas, con este intercambio, a gran escala lo que se ha podido generar una serie de perfiles para generar publicidad enfocada a personas dicho perfil.
Para conocer más sobre la ciberseguridad y protección de datos en las empresas, tuvimos la oportunidad de platicar en nuestro podcast semanal con Gustavo Miranda, abogado de TI, privacidad y protección de datos personales en el despacho de abogados Jáuregui y Del Valle, S.C, además estuvo colaborando hace un tiempo en el INAI (Instituto Nacional de Transparencia) en el área de verificación.
El tema de protección de datos personales en México viene a raíz de una reforma al artículo 16 constitucional, que habla de la garantía de nadie puede ser molestado en su persona y se le agrega el párrafo donde señala que todos tienen el derecho a la protección de datos personales y se otorgan los derechos que se conocen como ARCO:
- Acceso: Una persona puede preguntar a las organizaciones qué datos han obtenido de ellos, en algunos casos de dónde los obtuvieron, para qué los obtuvieron, si se han comunicado o se han hecho transferencias a otras empresas y si se han realizado decisiones automatizadas donde se elaboren perfiles sin que exista una persona física como tal involucrada.
- Rectificación: Se parte de la premisa de que una empresa de buena fe, da por hecho que si las personas proporcionan su información, ésta es verídica, ahora bien, esta información en dado caso de que no haya sido correcta o con el paso del tiempo cambió entonces la persona puede acercarse a corregirla y/o actualizarla, de igual forma si la empresa se da cuenta que estos datos no están actualizados, ellos pueden hacerlo también.
- Cancelación: Cuando una persona decide que ya no quiere que su información sea usada y le comunica a la empresa que la elimine, entonces llena una solicitud de cancelación; la solicitud pasa por dos procesos, la empresa debe establecer o medir si no existe una obligación legal de todavía tener la información y si este no fuera el caso entonces la meten a un periodo donde la siguen teniendo pero ya no la usan.
- Oposición: Cuando alguien hace un manejo de datos existen las finalidades que son necesarias pero después de ahí vienen una serie de datos que son adicionales y no son necesarias para la función original, entonces puedes oponerte al uso de datos de cierta forma como por ejemplo que te envíen publicidad o que comuniquen tus datos a sus socios comerciales para Marketing.
Los datos personales es cualquier información relacionada a una persona que la haga identificable o que pueda hacerla identificable. Antes se concebía la idea de que necesitábamos toda la información de una persona (nombre completo, dirección, etc), sin embargo gracias a la tecnología el concepto de datos personales se reduce a cualquier información mientras esté relacionada a una persona física y que puedan saber con ella que eres tú o identificarte, al estilo del juego “Adivina quién”, donde mediante ciertas características ibas eliminando y sabiendo quién es el personaje; en la actualidad las personas podrán decir que probablemente las empresas no saben quiénes son pero sí conocen tus preferencias y van perfilando con ellas, conforme vayan haciendo más especializada la identificación es cuando la ley les aplica.
Para que tu empresa no realice alguna falta en la ley de la protección de los datos personales, Gustavo nos indica que existen dos formas para acercarse al tema de cumplimiento de ésta:
- Porque ya existe la obligación como tal: Es algo que ya está normado en la ley el proteger los datos de las personas.
- Como modelo de negocio: La información se vuelve un activo muy poderoso para las organizaciones y si lo tratas de monetizar tiene un valor más allá que sólo obtener dinero.
Se sabe que existe que todas las páginas de Internet deben de poner un aviso de privacidad, a raíz de ahí muchos consideran que ya es el cumplimiento de la protección de los datos, sin embargo este aviso sólo representa un 10% del cumplimiento de toda la ley, de hecho debe de ser el resultado de un programa de manejo de datos o ciberseguridad al interior de la empresa que se comunica a través de ese aviso y se indica las condiciones a las que se va a someter el uso de su información, el aviso de privacidad no los va a proteger, no tiene medidas de seguridad ni contempla las otras obligaciones que establece la ley, es simplemente un documento informativo. Lo ideal es que desde que inicies tu negocio concibas un programa completo de privacidad y protección de datos.
Hay dos formas en las que el INAI puede comenzar un proceso de verificación o una auditoría en tu empresa, cuando una persona denuncia hechos que contravienen a la ley o cuando pueden iniciar procedimientos de oficio, es básicamente la facultad que tiene una autoridad que al momento que tiene conocimiento de un hecho que resulta relevante y que pueda constituirse en una infracción a la ley, por ejemplo cuando sale una noticia donde dicen que se robó la base de datos de alguna empresa. Las sanciones están catalogadas entre 8,000 y 30 millones de pesos, mucho depende del tipo de infracción que se haya cometido y el ingreso de las organizaciones para determinar esa multa, pero a considerar son la capacidad económica de la empresa o persona física que violó la ley, la infracción o conducta que cometió y la intencionalidad o bien si es una persona que ha repetido una sanción.
México es uno de los países más relevantes en América Latina en el tema de protección de datos, la autoridad que es el INAI ha sido señalado como promotor activo del tema, llevando aproximadamente 10 años de que se ejerzan este tipo de derechos existiendo aún ciertas áreas de oportunidad, sin embargo va por buen camino debido a que recientemente se firmó el acuerdo que sustituyó al TLCAN (
Tratado de Libre Comercio de América del Norte), donde existe un apartado que señala el tema de economía digital que habla que efectivamente hay un intercambio de información para esto pero que el canje de datos debe de igual forma tener un marco normativo que regule la información como tal. Los países identifican que hay evolución en los modelos de negocio que se están dando y que entre Estados Unidos, Canadá y México habrá acuerdos de comercio y se debe tomar la parte regulatoria para que el comercio se pueda hacer de acuerdo a los estándares internacionales. Estados Unidos percibe la privacidad más que como un derecho fundamental, como un derecho del consumidor, donde existe la condicionante que la persona debe ser un consumidor para que se apliquen estas regulaciones, a diferencia de México que cualquier persona, sin importar si es prospecto, consumidor o incluso colaborador de la misma empresa, tienen derecho a la privacidad de sus datos. A final de cuentas, es algo que se debe cumplir porque lo exige la ley y sobre todo porque a veces sin darte cuenta, la empresa solicita o recibe información, en el simple entendido de que tenga redes sociales, todos los días está recibiendo información de sus consumidores.
Para cerrar, Gustavo nos comparte tres acciones que las empresas pudieran estar haciendo o cambiando en el corto plazo para poder tener un mejor manejo de la información de manera general y que no necesariamente requieran una inversión imposible de realizar:
- Identifica tu flujo de datos: Desde cuándo se obtiene el dato, por qué áreas pasa, para qué lo estás utilizando y si esta información es realmente necesaria, es un proceso desde que entra el dato hasta que se elimina.
- Los procesos son llevados por personas: Puedes montar una serie de medidas de seguridad en el interior de tu empresa y puedes hacer todas las actividades del cumplimiento de la ley pero si no refuerzas toda la estructura en conocimiento con tus colaboradores, esto va a resultar irrelevante.
- Que te den información no es una vía libre para hacer lo que quieras con ella: Algunas organizaciones buscan hacer más con la información que les brindamos, sin embargo el dárselas no significa que puedan hacer uso de ella de otras maneras a las ya establecidas. De igual manera, la información pública no significa que es de libre uso, aún así la obtengas de una página de Internet o la Sección Amarilla, al final te obliga a hacer una serie de pasos para dar un cumplimiento.
Usar la información no es un juego, todos debemos estar al pendiente de ello para darles una buena función. Si quieres conocer más sobre este interesante y amplio tema junto a Gustavo Miranda, te invitamos a escuchar o ver la entrevista completa en cualquiera de nuestras plataformas:
- Spotify: http://tiny.cc/pg10qz
- Apple Podcast: http://tiny.cc/66inqz
- Youtube: http://tiny.cc/9wu3tz
- Instagram TV: @doerslatam
#IDoMarketing
