Ley de Datos Personales: no los entregue antes de leer esto

Las empresas están solicitando a los clientes consentimientos sobre el uso de sus datos personales. Según expertos, no lo están haciendo de forma correcta.

La Ley de Protección de Datos Personales entró en vigor el 26 de mayo de 2021, pero recién desde este año las empresas están actualizando sus políticas de uso de datos personales y solicitando nuevos consentimientos a sus usuarios o clientes. ¿La razón? Desde el 26 de mayo de 2023, empresas públicas o privadas que incumplan la ley pueden ser multadas con hasta el 1% de su facturación.

De allí que los clientes de empresas como supermercados, centros de salud, bancos o tiendas de ropa, están siendo notificados por diferentes vías sobre las nuevas políticas de uso de datos personales. Pero esto ha tomado a muchas personas por sorpresa. Incluso, hay casos en que, por la necesidad de continuar recibiendo un servicio, han autorizado el uso de sus datos personales, sin saber qué uso le dará determinada empresa ni entender con claridad de qué se tratan estas políticas.

¿Qué son los datos personales? Lo primero es entender qué son los datos personales. Según el despacho jurídico Barrera Andrade Abogados, son aquellos que permiten identificar a una persona de forma directa o indirecta, como nombre, cédula, edad, correo electrónico o teléfono. Además, el tipo de datos que maneja una empresa varía según el modelo de negocio. Por ejemplo, son distintos los datos personales a los que tiene acceso un hospital, un banco o una universidad. Por eso, también suelen solicitar autorización para el uso de datos como: fecha de nacimiento, estado civil, datos biométricos, historial de compras, preferencias de consumo, dirección de domicilio e incluso datos de geolocalización o ubicación en tiempo real de los clientes. El socio de la firma especializada en manejo de datos personales Baclaw, Patric Barrera, aclara que la potestad de dar la autorización para el uso de datos personales es del cliente, quien es el único que puede autorizar el uso de los datos. Pero Barrera recomienda leer cuidadosamente las políticas de uso de datos de las empresas para entender qué datos usarán las empresas y para qué fines, antes de dar su autorización. 

¿Se puede forzar a que el cliente dé una autorización para uso de sus datos personales? Para que una empresa use los datos personales de un cliente tiene que haber un consentimiento. “No le puedo forzar a un cliente a que me dé la información”, explica el abogado Patric Barrera. Barrera explica que una empresa tampoco puede condicionar la provisión de un servicio, venta de un producto u ofrecimiento de descuentos a la autorización de uso de datos personales. Por ejemplo, una institución financiera o un supermercado no puede obligarle al cliente a autorizar el uso de sus datos personales para poder hacer una transferencia o comprar un producto. “Eso está prohibido por la Ley”, enfatiza al señalar que la norma de Protección de Datos Personales establece sanciones para estas prácticas. 

¿Puede una empresa compartir los datos personales con otros? Para la directoria de la Maestría en Derecho Digital e Innovación de la Universidad de Las Américas (UDLA), Lorena Naranjo, la mayoría de las empresas están errando con las solicitudes de consentimiento para el uso de datos personales a sus clientes. Lo más preocupante, detalla la experta, es que las compañías están aprovechando para pedir permisos adicionales a los que ya tenían, como compartir la información del cliente con terceros, que pueden ser desde proveedores o filiales de una marca hasta “aliados estratégicos”. Por ejemplo, una aseguradora podría compartir la información del cliente con sus aliados como farmacias, médicos, hospitales y más. “Si el cliente da su autorización en estos casos está abriendo su información a un universo de empresas”, añade Barrera. 

¿El cliente debería poder escoger qué datos entregar y para qué fines se usarán? Otro problema, según Naranjo, es que en los consentimientos que están enviando las empresas, el cliente no puede escoger qué datos puede autorizar a utilizar ni los fines o propósitos para los que se usarán. “Están incluyendo un montón de tratamientos en un solo aviso. Y el problema es que la persona puede querer aprobar unos y no otros. Pero, le obligan a aprobar todo de una sola vez“, explica Naranjo, exdirectora de la Dirección Nacional de Registros Públicos (Dinardap). La exdirectora de la Dinardap recomienda a las empresas dar la opción a los clientes de elegir los tipos de usos que se darán a sus datos. Por ejemplo, un usuario debería poder elegir si acepta recibir publicidad o ser geolocalizado para ofrecerle promoción de locales cercanos a su domicilio, sin que esto impida o limita que siga recibiendo un servicio. 

¿Se puede revocar el consentimiento? La Ley de Protección de Datos Personales dice que el consentimiento del titular será válido siempre que la manifestación de su voluntad cumpla con lo siguiente: Libre, es decir, se encuentre exenta de vicios del consentimiento.  Específica, sobre los medios y fines del tratamiento de sus datos.  Informada, al cumplir con el principio de transparencia. Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular. Los titulares, además, tienen el derecho a negarse al tratamiento de sus datos. Una de las razones para oponerse es que la finalidad sea de mercadeo, es decir, para la promoción de una marca, sus productos o servicios. El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación. Para ello, las empresas deben ofrecer procedimientos sencillos, similares a las formas en las que obtuvo el consentimiento, dice la norma. 

¿De qué manera los clientes pueden solicitar acceso a sus datos, pedir una actualización o revocar el consentimiento? Algunas compañías han creado correos específicos para que los usuarios ejerzan sus derechos de protección de datos, entre ellos la revocación del consentimiento. Otras han creado formularios específicos en sus páginas web. Y también están las que dan la opción de llamar a un call center. Para informarse sobre estas alternativas es importante que los usuarios lean las políticas de uso datos personales que están comunicando las empresas por diferentes vías. 

¿Cómo hacer denuncias? El abogado Patric Barrera explica que es un problema el hecho de que la Superintendencia de Datos Personales no se haya creado aún, pues es la entidad que tiene que velar por el cumplimiento de la ley y puede aplicar sanciones. Barrera aclara que ese es el nivel administrativo, pero también hay la vía legal para hacer cumplir la norma si la información ha sido mal utilizada o si los datos personales se consiguieron de manera ilegal. Naranjo recuerda, además, que el primer lugar que tiene los usuarios para presentar quejas por el uso indebido de sus datos son las propias empresas responsables de sus datos.

Fuente: Primicias