En esta sociedad de las redes y el conocimiento los empresarios se enfrentan al desafío de generar valor dentro de sus compañías a través del análisis masivo de datos, con el uso de las nuevas tecnologías de la información disponibles. Esto no significa simplemente el cambio de lo analógico por lo digital: comercializar sus productos a través de una página web, crear perfiles empresariales en redes sociales, digitalizar sus procesos internos; la cuestión va más allá, puesto que, las empresas enfrentan el reto de crecer no en términos lineales, sino exponenciales.
Por lo tanto, el desafío real está en optimizar el desempeño de sus negocios a través de métodos como la utilización de algoritmos de minería de datos, esto es, un conjunto de heurísticas y cálculos que crean modelos a partir de datos para extraer patrones o estadísticas no descubiertas. De modo que, la acción empresarial a pesar de ser por definición incierta, con el uso de estas herramientas analíticas pretende mejorar las predicciones de eventos futuros desconocidos (¡Incluso situaciones de crisis como las que actualmente atravesamos!).
Sin embargo, estos procesos de análisis de datos, generalmente envuelven la realización de operaciones sobre información de naturaleza personal, que conduce en consecuencia a la aplicación de regímenes de protección de datos personales (como la Ley 1581 de 2012 o la Ley 1266 de 2008), con la consecuente dificultad que envuelve la aplicación de regímenes normativos nacionales o comunitarios a procesos globales y ubicuos de explotación de la información.
Estos regímenes se fundan en el respeto de una serie de garantías y principios entorno a un modelo de consentimiento informado del titular de la información. Es decir, que para el tratamiento de la información personal se requiere del consentimiento previo, expreso e informado del titular de la información (salvo mandato legal o judicial que lo autorice). Razón por la cual, las empresas requieren de un adecuado equilibrio entre eficiencia y justicia, es decir, del diseño de políticas internas que garanticen el respeto del hábeas data sin dejar de producir beneficios a partir del análisis de datos; evitando por demás sanciones de la autoridad de protección de datos (Superintendencia de Industria y Comercio, en nuestro país).
La aplicación del principio de responsabilidad demostrada es el camino para alcanzar este equilibrio, en la medida, en que este permite adoptar medidas que garanticen el respeto de los principios de protección de datos personales, de acuerdo con las particularidades del riesgo generado por las operaciones que la compañía desarrolla. Al respecto, el Decreto 1377 de 2013 dispone que los responsables del tratamiento deben estar en capacidad de demostrarle a la Superintendencia de Industria y Comercio la implementación de medidas apropiadas y efectivas para cumplir con las obligaciones que se desprenden del régimen de protección de datos personales.
En consecuencia, la Superintendencia ha publicado una guía para la implementación de este principio, promoviendo para ello la adopción de un Programa Integral de Gestión de Datos Personales, que sea el resultado de un proceso de debida diligencia al interior de la organización, en el que se tome en cuenta: (i) la existencia de una estructura administrativa interna proporcional a la estructura y tamaño empresarial, así como la gravedad del riesgo; (ii) La adopción de mecanismo internos que permitan la implementación de las políticas de protección de datos efectivas; y (iii) la implementación de mecanismos internos para dar respuesta a las peticiones, quejas o reclamos de los titulares.
No obstante, la cuestión no debe tomarse a la ligera, pues en no pocas ocasiones se decide copiar modelos o políticas de compañías reconocidas para aplicarlas a la propia, frente a lo que sugiero tener en cuenta las siguientes recomendaciones:
- Debe analizarse el contexto particular en que se realiza la explotación de datos, para identificar los beneficios que se obtienen de los mismos, los métodos empleados para ello, y los riesgos en términos de protección de la privacidad y el hábeas data.
- El análisis no sólo debe incluir el componente jurídico (obligaciones frente al tratamiento de datos), sino un análisis sobre cómo las políticas o medidas de protección de los datos personales afectan la competitividad de la empresa, en la medida en que, la distribución del poder informático es desigual, por eso, las políticas deben ser pensadas para la realidad particular de la compañía (sin desconocer los mínimos exigidos por la autoridad de protección de datos).
- Las grandes compañías que participan de la cadena de explotación de datos generalmente toman decisiones en materia de protección de datos, sobre la base de criterios de eficiencia en los que incluyen dentro del coste de la operación el valor de sanciones potenciales por las autoridades de protección; por lo que, que aun asumiendo las sanciones impuestas por el regulador, su actividad continua siendo rentable. Replicar estos modelos de decisión en pequeñas o medianas empresas, start-ups, nuevos emprendimientos pueden conducir a consecuencias desastrosas para ellos (ante la imposibilidad de asumir cuantiosas sanciones).
- Por lo anterior, también es recomendable que los Programas de Gestión de Datos, se preparen y ejecuten, pensando en salir bien librado ante una eventual investigación de la autoridad de protección de datos.
Felipe Valencia Serrano
KBSV Abogados
