Colombia cuenta con la Ley 1581 de 2012, conocida como Ley de Protección de Datos Personales. Esta norma establece obligaciones para todas las empresas, sin excepción alguna, así como para personas naturales que utilicen datos personales para fines comerciales, entre otros.
Algunas de estas obligaciones son: el uso de los datos personales puede hacerse siempre y cuando exista autorización expresa por parte del titular del dato, disponer mecanismos para informarle sobre los usos y/o finalidades de los datos personales, y establecer políticas de tratamiento de datos personales y otros aspectos relacionados con el uso adecuado de la información.
Las siguientes recomendaciones están orientadas exclusivamente al sitio web de una organización o una persona que realice actividades comerciales y deben ser transversales a todos los procesos de la empresa.
1. Tener en cuenta las características particulares de su organización
Se debe tener presente el tipo de organización en la cual se desempeña, debido a que, en algunos casos, ciertos mercados se encuentran regulados y existe una normativa específica sobre el tipo de información que debe solicitarle al usuario o cliente. Sin embargo esto no es la regla general, por lo cual se recomienda seguir las obligaciones tal como establece la Ley 1581 de 2012.
2. Identificar las fuentes de captura y obtención de la información de la página web
Es necesario identificar en la página web, todos los formularios de contacto, o fuentes de captura de información personal. No solamente se trata del registro de contacto, también puede ser “suscríbase a nuestro boletín”, ya que el correo electrónico es un dato personal semiprivado y requiere autorización del titular del dato para su captura (así lo ha expresado la SIC en diferentes conceptos). También pueden ser chats o videochats, ya que este último, captura datos sensibles como es la imagen de una persona. En todos los casos anteriores, se debe informar al usuario para qué se va a utilizar la información solicitada. Una vez identificadas estas fuentes, se debe tener la autorización para el uso de los datos personales, incluyendo la finalidad. No se pueden pasar por alto las cookies, pues al capturar datos personales, requieren la autorización del titular. La mejor manera es informándolo dentro de las finalidades de la página web, tal y como lo establece la SIC en relación al tratamiento de datos personales.
3. No caer en el error de “Acepto los Términos y Condiciones” y del clic por defecto
Es demasiado normal que las páginas web utilicen “Aceptar los términos y condiciones” para el caso del tratamiento de datos personales. Sin embargo el hecho de que sea normal, no significa que esté bien. La sugerencia es cambiar dicho texto e incorporar “Autorizo el tratamiento de mis datos personales” al lado de la casilla donde la persona pueda dar clic consintiendo y abajo, incluir un texto explicativo donde se detalle para que se usan los datos y la forma de tratamiento.
El problema de la casilla al lado del autorizo, es que en algunas ocasiones ya está el clic por defecto, y en el peor de los casos no existe dicha casilla, por lo que la persona puede dejar registrado sus datos sin evidencia del consentimiento expreso para su uso. Para la ley ese tipo de consentimiento no es válido.
4. Incorporar la Política de Tratamiento de Datos y el Aviso de Privacidad
Se recomienda como buena práctica que la política de tratamiento de datos personales se encuentre en un lugar visible. Así mismo, se debe incorporar el aviso de privacidad, en caso de que no pueda poner a disposición las políticas de tratamiento de datos. Es importante tener unas buenas y adecuadas políticas de tratamiento de datos personales a fin de evitar una posible sanción, como sucedió en el caso de IBIS COMPANY Colombia.
5. Consejos adicionales para comercio electrónico
Al contar con una pasarela de pagos en línea, se deben seguir las obligaciones establecidas en materia de comercio electrónico según lo establecido en la ley 1480 de 2011, relativa a la protección del consumidor. En materia de seguridad y protección de información personal esta ley establece lo siguiente:
• Mantener en mecanismos de soporte duradero la prueba de la relación comercial, de tal forma que garantice la integridad y autenticidad de la información y que sea verificable por la autoridad competente.
• Adoptar mecanismos de seguridad apropiados y confiables que garanticen la protección de la información personal del consumidor y de la transacción misma. El proveedor será responsable por las fallas en la seguridad de las transacciones realizadas por los medios por él dispuestos, sean propios o ajenos.
¿Qué no se debe hacer en un sitio web?
Publicar fotografías sin autorización del titular, publicar listas de personas con sus datos personales o tener un formulario de contacto sin autorización para el tratamiento de datos personales.
Abogada, especialista en Derecho Informático y Nuevas Tecnologías