6 razones para tomar en serio la buena gestión de los datos personales en tu negocio

Los datos constituyen en la actualidad uno de los mayores activos que tiene cualquier organización. Desafortunadamente, cuando hablamos de protección de datos personales, muchos empresarios lo ven como algo negativo, una regulación más que sólo tiene costos para la organización sin beneficios concretos. Sin embargo, la realidad es otra y, si está bien pensada, la implementación efectiva de una política en la materia constituye una verdadera ventaja competitiva para cualquier negocio. Repasamos a continuación algunas de las razones para tomar en serio este tema como estrategia positiva con alto impacto para tu negocio.

1. Cumplir con las obligaciones legales

No está demás recordar que el primer motivo para tomar en serio la protección de los datos personales que usamos en las organizaciones es cumplir con las obligaciones constitucionales y legales. En concreto, el artículo 15 de la Constitución Política, la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, y el Decreto 1074 de 2015, por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo (el cual viene a modificar el Decreto 1377 de 2013).

En este sentido, el artículo 15 de la Constitución nos señala, entre otros, que “todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre (…). De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (…)”.

Y el artículo 2 de la Ley 1581 de 2012 nos recuerda que “los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada”.

En la actualidad, son muy pocos los casos en los cuales el régimen legal de protección de datos no es de aplicación, como se señalan a continuación:

• a las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico;
• a las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo;
• a las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia;
• a las bases de datos y archivos de información periodística y otros contenidos editoriales;
• a las bases de datos y archivos regulados por la Ley 1266 de 2008 (información financiera y crediticia, comercial, de servicios y la proveniente de terceros países); y
• a las bases de datos y archivos regulados por la Ley 79 de 1993 (Censos de Población y Vivienda).

En todos los demás casos, cualquier tipo de entidad deberá cumplir con los mandatos previstos por la Ley. De no ser así, se le podrá aplicar el régimen sancionatorio asociado (de eso, hablaremos más adelante).

2. Generar mayor confianza en tus clientes y trabajadores

Sin duda alguna, tomar en serio la protección de los datos personales dentro de tu organización te permitirá generar una extraordinaria confianza tanto de tus clientes como de tus trabajadores.

En efecto, la transparencia se ha transformado en poco tiempo en uno de los temas más valorados por los potenciales clientes a la hora de elegir una empresa. Ya no es suficiente ofrecer un excelente producto o servicio, sino que la empresa debe demostrar frente a las personas que muestran un interés por tu actividad que vas respondiendo a los nuevos desafíos de sociedad, tal como, entre otros, la protección de los datos personales. En este sentido, el diseño de una estrategia adecuada en la materia permitirá mostrar (y comunicar acerca de ella) que tu organización actúa de manera activa para proteger a tus clientes, tomando en cuenta sus nuevas preocupaciones.

Lo mismo ocurre con tus trabajadores. Cada vez, con mayor frecuencia, los trabajadores se ven expuestos frente al uso de las nuevas tecnologías. Por ejemplo, de manera demasiado frecuente todavía, los empleadores suelen solicitar datos personales sensibles a la hora de proceder a la contratación de un candidato (datos políticos, orientación sexual, religión, etc.) a pesar de la estricta inutilidad práctica de esos datos, y en ausencia de adopción de medidas adicionales de seguridad. Otro ejemplo: el uso masivo del Whatsapp con los trabajadores, sin ningún tipo de autorización expresa por parte de los titulares. En todos esos casos, además de incumplir la normativa, se genera una desconfianza creciente, en detrimento de la productividad de los empleados y de sus motivaciones.

En cambio, adoptar medidas tempranas y preventivas permite mitigar en gran medida dichos problemas, generando mayor confianza y, por la misma ocasión, mayor productividad y compromiso hacia la empresa. Adoptando una actitud positiva y proactiva, y explicando con transparencia a todos los interesados las políticas seguidas por tu organización, tus clientes verán tu compromiso, y tus trabajadores se sentirán mucho más implicados con la empresa, creando así un círculo virtuoso de gran valor.

3. Prevenir los riesgos crecientes asociados a las nuevas tecnologías y mejorar la reputación online

Cumplir con la normativa en materia de protección de datos personales constituye un gran aliado cuando se trata de prevenir los riesgos asociados a las numerosas amenazas que existen para una empresa, y en particular el riesgo cibernético. En efecto, a la hora de analizar las distintas bases de datos que se utilizan en un negocio, resulta estrictamente necesario tener claro cuales son las medidas de seguridad que han sido adoptadas hasta la fecha. A la par, permite ir evaluando en un primer momento la eficacia de ellas, así como su necesidad y utilidad.

Cuando se trata de riesgos cibernéticos, cualquier medida adicional de protección que se pueda adoptar en un negocio constituye una ventaja competitiva. En este sentido, un robo masivo de datos personales para un comercio electrónico en consecuencia de una omisión del empresario de adoptar medidas fuertes de seguridad podría significar la “muerte” pura y simplemente del negocio, dado la inmensa afectación inmediata para los clientes. En cambio, la sensación sería muy distinta si esos mismos clientes saben que la organización siempre ha adoptado todas las medidas materialmente posibles pero que, en un caso concreto, los hackers consiguieron entrar en el sistema y robar sus datos y que, en todo caso, el comercio intenta mitigar las consecuencias de este desafortunado hecho. En esta última situación, la confianza y reputación del comercio seguirá siendo alta, a pesar de lo ocurrido.

Lo podemos apreciar, esta tarea debe corresponder a una voluntad real del empresario (o de la Junta Directiva), la cual se plasmará en la práctica a través del cumplimiento del principio de responsabilidad demostrada. En efecto, dicho principio permitirá al empresario ir mejorando poco a poco la seguridad de sus instalaciones y sistemas, teniendo una visión global de las posibles amenazas y adoptando un plan de contingencia en el caso en que una o varias de esas amenazas se cumplan.

4. Mejorar los procesos internos y potenciar la innovación

Tener una visión integral de las bases de datos de un negocio, sus finalidades, así como las distintas medidas de seguridad asociadas a cada una de ellas constituye también un gran valor a la hora de mejorar los procesos internos e incluso, innovar. Muchas veces, un negocio seguirá aplicando un cierto proceso de manera casi automático desde años, sin evaluar la utilidad del mismo, la necesidad de pedir ciertos datos, cómo se almacenan dichos datos ni cuánto tiempo se deben conservar. Además de constituir un costo muchas veces innecesario, se puede gastar mucho tiempo con este tipo de tareas, restando mucha productividad.

El cambio de paradigma viene a la hora de realizar el inventario de las bases de datos, en el momento en que, como empresario, nos preguntamos cuál es la necesidad de pedir tal dato o cual otro. ¿Qué vamos a hacer con ellos? La mayoría de las veces, la respuesta es NADA, es decir que pedir este dato en concreto es totalmente innecesario. Un ejemplo sencillo sería la inscripción a una newsletter: ¿Porqué pedir la dirección de la persona si únicamente le vamos a enviar un correo electrónico informativo? Otra cosa será cuando esta misma persona se convertirá en cliente. Sin embargo, mientras tanto, no es útil para tu negocio. Por tanto, puedes de manera sencilla modificar el proceso, mejorando la experiencia del usuario, sin grandes esfuerzos.

Imagínate ahora que por cada persona que llama a tu negocio para una mera consulta, los operadores le soliciten sus nombres, apellidos, dirección, correo electrónico, etc. cuando la persona únicamente tenía una pregunta sencilla, estás haciendo perder el tiempo tanto de tu cliente como de tu trabajador, sin olvidar el impacto económico negativo para ti. Además, resultaría necesario almacenar de manera segura toda esta información, sin ningún fin en particular.

Al contrario, mediante una adopción temprana de una política seria de protección de datos personales, te puedes dar cuenta rápidamente de esos problemas, y resolverlos poco a poco hasta incluso imaginar procesos innovadores que nunca habrías podido diseñar sin esta nueva visión integral de tu negocio, basado en tu práctica en materia de protección de datos.

5. Facilitar la expansión internacional de tu negocio

Si tienes previsto realizar una internacionalización de tu negocio, tomar en serio el tema de la protección de datos no solo es fundamental, sino que es imprescindible, dado que la mayoría de los Estados han adoptado legislaciones estrictas en la materia. En los 27 Estados miembros de la Unión Europea, se trata del famoso “Reglamento General de Protección de Datos” (RGPD), aplicable a las empresas colombianas a partir del momento en el que venden bienes o prestan servicios a ciudadanos de la UE. Más cerca de nosotros, encontramos la Ley de Privacidad de los Consumidores de California (CCPA), o bien la Ley de Protección de Datos de los Consumidores de Virginia. También desde poco (2021), China con sus dos leyes de protección de datos personales y de seguridad de datos.

Por su parte, América Latina no se quedó atrás en la regulación. Así, Brasil adoptó en 2018 su Ley General de Protección de Datos (entró en vigor en 2020); Ecuador adoptó en 2021 la Ley Orgánica de Protección de Datos Personales; México tiene desde 2010 su Ley Federal de Protección de Datos Personales en Posesión de los Particulares, para citar algunos ejemplos.

La buena noticia es que, a pesar de contar con una proliferación de normas a nivel internacional, casi todas se inspiran del Reglamento Europeo, del 27 de abril de 2016 (incluido Colombia, a través de las interpretaciones y explicaciones dadas por la Superintendencia de Industria y Comercio). Eso significa en la práctica que los negocios que ya tienen implementado de manera adecuado un sistema -real y eficaz- de protección de datos personales en Colombia, podrán adaptarse a sus nuevos mercados internacionales en un tiempo mucho menor (ahorrando tiempo y, sobre todo, dinero) que los que no lo tomaron en serio, dado que ya tendrán la práctica necesaria en la materia.

6. Y, por supuesto, evitar sanciones de la SIC (o de cualquier otra autoridad de control)

Si todavía no estas convencido, recordamos que la Ley colombiana prevé, en caso de incumplimiento, entre otros:

• multas de carácter personal e institucional hasta por el equivalente de 2.000 salarios mínimos mensuales legales vigentes,
• suspensión de las actividades hasta por un término de 6 meses,
• cierre temporal de las operaciones y/o cierre inmediato y definitivo de la operación.

Por su parte, el Reglamento Europeo prevé multas de hasta 20 millones de € o hasta el 4% de su facturación. De manera general, todas las normas en la materia prevén un importante (y supuestamente disuasorio) régimen sancionador.

Por si tienes dudas acerca de esas sanciones, cabe mencionar que entre 2018 y 2020, la Superintendencia de Industria y Comercio (SIC) impuso 323 multas, equivalente a un recaudo de $14.665 millones. Entre las infracciones más frecuentes, encontramos, el incumplimiento de las siguientes obligaciones:

• Solicitar y conservar copia de la autorización otorgada por el titular;
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley;
• Garantizar al titular, en todo momento, el pleno y efectivo ejercicio del derecho de Habeas Data;
• Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
• Tramitar las consultas y reclamos formulados en los términos señalados en la Ley;
• Informar, a solicitud del titular, sobre el uso dado a sus datos.

Además, resulta esencial entender que la SIC no sanciona exclusivamente a las grandes multinacionales con multas multidinerarias (por ejemplo, sancionó en octubre de 2021 a la empresa Claro, con una multa de $950 millones de pesos), sino que también investiga y, en su caso, puede sancionar a cualquier otro tipo de organización (asesores, propiedad horizontal, centros educativos, etc.).

¡Espero que esas razones te ayuden a llevar una buena gestión de los datos personales en tu negocio!