Las autorizaciones para tratamiento de datos personales están lejos de ser un cheque en blanco y debe tener cuidado con lo que firma

PRECAUCIÓN. Se debe revisar bien todo lo que se firma en caso de datos personales.
PRECAUCIÓN. Se debe revisar bien todo lo que se firma en caso de datos personales.

La Ley de Protección de datos personales está vigente; aunque no exista superintendente. Las empresas no pueden solicitar el uso de información de los clientes para cualquier cosa.

En las últimas semanas ciudadanos y organizaciones como Usuarios Digitales han denunciado que bancos y empresas comerciales, entre otros, piden autorización de utilizar los datos personales de sus clientes mediante formatos generales, poco claros, que representan una especie de cheque en blanco.

Andrés Castillo, abogado experto en derecho digital de Bi Solutions, explicó que, en la mayoría de casos, lo que está pasando es que las empresas no se están asesorando debidamente y, por el contrario, están copiando modelos sacados de páginas web y que corresponden a otros países.

“Esto contradice lo que está establecido en nuestra Ley de Protección de Datos Personales. No se puede pedir un consentimiento general para cualquier tipo de uso. Básicamente, lo que están haciendo es bajar de determinados textos para decir que son las autorizaciones. No están optando por contratar el personal profesional calificado para justamente implementar políticas y procesos que les permitan llegar a una gobernanza de datos”, puntualizó Castillo.

No se puede imponer un formato a los clientes en donde se pide autorización para que los datos personales sirvan para todo tipo de posesión, aprovechamiento y rentabilización, no solo dentro de la empresa, sino con proveedores y otras instituciones.

El cliente puede negarse a uno o varios de los usos que pretende la empresa, por lo que se debe ofrecer la opción de “consentimiento expreso y claro” para cada cosa y no a través de un formato general.

Así, se puede aceptar que su información personal se use para que le envíen promociones y nuevas ofertas del banco o comercio con el que firmó un contrato por servicios. Al mismo tiempo, se puede negar a que su información se comparta con otros negocios o proveedores.

“Si va en contra de la ley, cualquier autorización firmada no tiene valor jurídico y puede ser objetada en cualquier momento”, afirmó Castillo.

Ley vigente

Según la Ley de Protección de Datos Personales, el 26 de mayo de 2023 se termina el periodo de transición de dos años para que empresas y personas se adapten a la normativa.

Así, en teoría, en apenas 23 días se aplicarían sanciones para quienes incumplan con el manejo adecuado de los datos personales.

 Sin embargo, hasta la fecha no se ha nombrado al Superintendente de Protección de Datos. El Presidente de la República debe remitir una terna al Consejo de Participación Ciudadana para esta designación; pero las disputas políticas lo han impedido junto con los nombramientos en otros organismos de control.

Mientras no se designe a la autoridad, no se podrá sancionar a nadie. Sin embargo, Castillo recalcó que esto no quiere decir que lo establecido en la Ley no esté vigente y los ciudadanos no tengan derechos que reclamar.

Una determinada omisión o infracción a la Ley no solo puede generar responsabilidades administrativas, a través de la Superintendencia de Protección de Datos Personales, sino también responsabilidades civiles e incluso penales

El Código Integral Penal (COIP) vigente ya establece tipos de delitos con respecto al tratamiento de datos. Así, por ejemplo, existe una figura para sancionar a quien accede a información personal sin contar con las autorizaciones y consentimientos correspondientes.

Se puede recibir una pena privativa de libertad de uno a tres años, en caso de que se llegue a determinar que una persona natural o jurídica está comercializando una base de datos sin permiso.

“La ciudadanía debe saber que tiene derechos. Por ejemplo, puede exigir conocer en qué bases de datos tienen sus datos e información; dónde están esa información y datos y para qué los utilizan. Si no está de acuerdo, se puede pedir la eliminación, corrección, entre otras acciones”, añadió Castillo.

En máximo 15 días, las empresas deben responder a cualquier cliente sobre cualquier petición de acceso, rectificación y autorización de manejo de datos personales.

“Que se comience a exigir un mejor manejo les pondrá más presión a las empresas en el país y comenzará a cambiar las cosas”, dijo Carlos Rivera, abogado experto en derechos del consumidor. (JS)

10% de las empresas han hecho algo para adaptarse a la Ley

A una empresa le puede tomar entre tres y seis meses aplicar todos los temas legales y tecnológicos para cumplir con la Ley de Protección de Datos Personales.

Sin embargo, en gran parte de los casos, puede tomar al menos entre uno y dos años. Por eso, cuando se aprobó la normativa, en mayo de 2021, se establecieron dos años de transición.

Ese periodo de transición, según Hugo Vera, gerente general de Bi solution, no ha sido aprovechado por la mayoría de las empresas.

“Un 10% de organizaciones han hecho algo; el 30% debe estar en camino de implementar cambios; pero entre el 50% y 60% no han hecho nada”, recalcó.

Las organizaciones en el país deben pensar que es preferible invertir ahora, tanto recursos económicos como profesionales, para evitar que en poco tiempo vengan 100 o 500 personas a plantear denuncias con riesgo de quiebra para el negocio.

El hecho de que actualmente no se pueda sancionar, no quiere decir que las infracciones no se acumulen en contra de las empresas.

Cuando exista Superintendente de Protección de Datos, se podrá imponer sanciones equivalentes al 0,1% y 0,7% de toda la facturación del negocio en caso de infracciones leves; pero los porcentajes suben a más del 0,7% y hasta el 1% de la facturación cuando sean infracciones graves.

Al igual que ante los abusos de las llamadas de cobranza, las personas tienen vía alternativas, que no incluyen a la todavía inexistente Superintendencia de Protección de Datos Personales, para reclamar sus derechos. Esas vías alternativas se describen en una nota de LA HORA del 28 de febrero de 2023.

Como en el caso de cualquier contrato firmado, los ciudadanos deben tener cuidado con la letra pequeña para evitar abusos.