A propósito del ecommerce y la reciente ley de protección de datos en Panamá
Recientemente se hizo oficial la implementación de la ley de protección de datos en Panamá, un tema que lleva varios años rigiendo de manera muy similar en el continente europeo, Estados Unidos y otros países que se siguen sumando a esta iniciativa para salvaguardar los derechos de la privacidad.
Es cierto que en nuestra vida cotidiana, constantemente compartimos nuestra información, no solamente en redes sociales, sino también de manera tradicional, en el gimnasio, en el banco, incluso en restaurantes, pero también es cierto que fue justamente la explosión de las redes sociales y plataformas digitales quienes hicieron este tema aún más evidente y delicado.
La elección de los Estados Unidos en 2016, donde salió ganador Donald Trump, destapó una caja de pandora que cambió el mundo digital y el manejo de los datos para siempre. Seguramente recordarán el famoso escándalo de Cambridge Analytica y la manera en la que manipularon a millones de personas de quienes tenían perfiles sumamente completos y cargados de data.
Justo ese mismo año nace la GDPR, Regulación General de Protección de Datos, de sus siglas en inglés, como una iniciativa de la Unión Europea para proteger a sus ciudadanos, no solamente en territorio europeo sino a nivel mundial. Es así como nacen las bases que ahora abren el paso a su réplica en Panamá, la región y el mundo.
Y es aquí donde entra el ecommerce como uno de sus protagonistas, ya que sin datos personales, no hay a quién venderle o no hay cómo entregar el producto adquirido. Y va mucho más allá, la capacidad de captar datos y darles seguimiento para efectos de marketing se va restringiendo cada día más.
Este es un tema sumamente extenso que combina perfectamente la ley y la tecnología y es por esa razón que le pedí a Nicole Pérez, abogada panameña especialista en el tema, que nos ayude a entender la ley, su reglamento y como impacta directamente en nuestro negocio digital.
Aunque todo suena un poco denso y complejo de implementar tecnológicamente hablando, la realidad es que si tienes el apoyo de la plataforma correcta, es mucho más fácil de lo que parece. Personalmente fundé y actualmente dirijo tres compañías relacionadas al comercio electrónico y en cada una de ellas utilizamos Shopify como plataforma para administrar el negocio digital y la experiencia que vive nuestro usuario visualmente. Shopify viene lista para brindarte las herramientas necesarias para cumplir con prácticamente todas las reglas del juego que verás a continuación en el excelente resumen de Nicole.
E-commerce y protección de datos
Esta parte del artículo fue desarrollado por Nicole Pérez (nperez@cldlegal.com ig: @nicolebianeth). Disclaimer: el presente artículo no constituye una asesoría legal, y está realizado sólo con propósitos informativos. Para brindarle un consejo legal es necesario analizar cada caso en específico.
¡Habemus reglamento! Finalmente, luego de una larga espera, contamos con una normativa en materia de protección de datos personales completa, y es que, desde la promulgación de la Ley 81 de 2019, entrada en vigor en marzo de 2021, teníamos como deuda la reglamentación respecto a esta normativa. Esta deuda fue finalmente saldada por el Decreto Ejecutivo 285 de 2021, del 28 de mayo de 2021, normativa que nos permite aplicar la Ley 81 de 2019 a nuestros negocios.
En la actualidad, nos encontramos ante una economía basada en datos, los cuales son utilizados por todas las industrias para tomar decisiones y monetizar sus ideas. Esto, toma especial importancia en el e-commerce, en donde los datos personales nos permiten tomar un sin número de decisiones para captar y fidelizar clientes, al igual que brindar nuestros servicios asociados con nuestra actividad comercial en línea.
Así las cosas, es necesario que cada empresa de e-commerce, adapte medidas en materia de protección de datos personales, que van más allá de la implementación de Terms & Conditions y Políticas de Privacidad. Cuando hablamos de protección de datos personales, debemos considerar los siguientes términos cómo pilares para políticas efectivas en materia de protección de datos personales: consentimiento, principios, derechos ARCO y responsabilidad proactiva. Con este FAQ conocerás más de las medidas mínimas que debes tomar para cumplir con la normativa sobre Protección de Datos Personales.
¿Qué es un Dato Personal?
Un dato personal, es todo dato que identifica o hace identificable a una persona, a manera de ejemplo, nombre, apellido, correo electrónico, huella dactilar, dirección IP, cookies implementadas, entre otros.
¿Qué datos puede recabar mi ecommerce?
Debes tomar en cuenta que al recabar y tratar datos personales solo podrás recolectar los datos mínimos necesarios para la finalidad propuesta. Por ejemplo, si estás vendiendo pasadías en un hotel, no requieres conocer la talla de zapatos del titular del dato.
El Decreto Ejecutivo 285, establece que para conocer cuales son los datos mínimos necesarios, y que sean adecuados, pertinentes para la finalidad que estés realizando, debes tomar en cuenta el estado de la tecnología, la naturaleza, el ámbito, contexto y fines del tratamiento, a esto se llama principio de proporcionalidad.
¿Cómo obtengo el consentimiento?
El consentimiento es un pilar clave para tratar datos personales. El consentimiento, no es más que la manifestación de la voluntad del titular a que sus datos sean objeto de determinado tipo de tratamiento.
Cómo responsable del tratamiento debes asegurar la trazabilidad de dicho consentimiento para que sea válido, es decir, tener la capacidad de comprobar que el titular del dato, otorgo esa autorización, de manera previa, libre e informada.
Nos referimos a un consentimiento informado, cuando le facilitamos la información suficiente sobre el tratamiento del dato personal con respecto a las condiciones establecidas en el Decreto Ejecutivo 285 de 2021, es decir, al momento de captar la información del titular, deberás cumplir con informar mínimamente lo siguiente: la identidad y datos del responsable del tratamiento, las finalidades del tratamiento, la condición que legitima el tratamiento de los datos personales (las cuales se establecen en los artículos 6, 8 y 33 de la Ley 81) , los destinatarios de los datos personales, intención de transferir datos personales a un tercer país, plazo de conservación de los datos personales, existencia, forma y mecanismo para ejercer sus derechos ARCO, existencia de decisiones automatizadas, datos del contacto del oficial de datos personales.
¿Cómo debo tratar el dato personal?
Debes tratar los datos personales mínimamente, en base a los principios que se establecen en la Ley 81 de 2019, y lo desarrollado en el Decreto Ejecutivo 285 de 2019. A continuación, expondremos brevemente, estos principios:
Principio de lealtad: debes recabar los datos sin engaños o falsedad. Por medios leales y lícitos.
Principio de finalidad: debes recabar los datos personales con una finalidad determinada, la cual será informada debidamente al titular. Posterior a esto, no puedes utilizar los datos con fines distintos, por ejemplo, recabaste los datos con fines de obtener el servicio y brindar promociones sobre tu negocio al titular del dato, y con posterioridad, utilizas ese dato para que tu empresa de mercadeo, ofrezca promociones de otros negocios, esto sería incumplir con la Ley.
Otro punto a tomar en cuenta en este principio, es el tiempo máximo en el cuál puedes tratar el dato, en ningún caso podrás conservarlo por más tiempo que el estipulado por la Ley. Para conocer el plazo que aplica para cada caso, se debe acudir a las leyes especiales que regulan cada materia en específico.
Principio de proporcionalidad: sólo podrás utilizar los datos que sean adecuados, pertinentes y mínimos necesarios para la finalidad establecida. Es decir, en este caso menos es más, si solo requieres contar con nombre y apellido, para la finalidad escogida, deberá ser lo único que solicites.
Principio de veracidad y exactitud: los datos deben ser exactos y puestos al día de manera que respondan a la situación actual. La responsabilidad de tener los datos actualizados, no es del titular del dato, todo lo contrario, es una responsabilidad que recae en el responsable del tratamiento, por lo cual deberás contar con medidas internas en tu organización para que estos se encuentren actualizados constantemente. Recuerda, proactividad no reactividad.
Principio de transparencia: debes comunicar la información sobre el tratamiento de manera clara y sencilla, también debes informar al titular sobre sus derechos ARCO y la manera de ejercerlo.
Principio de confidencialidad: toda información que sea tratada, debe ser guardada con la debida confidencialidad y secreto.
Principio de licitud: la licitud del dato se puede determinar de dos formas: 1) que se obtenga el consentimiento previo, informado e inequívoco del titular o 2) por fundamento legal. En el caso de e-commerce, se aplicaría el primer supuesto.
Principio de portabilidad: el titular debe contar con el derecho de obtener una copia de los datos personales que están siendo tratados en un formato común y genérico.
Principio de seguridad de los datos: cómo titular debes contar con medidas de seguridad para el tratamiento del dato, estas medidas serán tanto técnicas como organizativas. Además, deberás informar al titular cuando exista una vulneración al sistema, el Decreto Ejecutivo 285, establece un término de 72 horas a partir de que se tuvo conocimiento para informar la vulnerabilidad.
¿El titular puede revocar el consentimiento en algún momento?
Si, el titular puede revocar su consentimiento en cualquier momento que considere pertinente y cómo responsable, deberás asegurarle que sea tan fácil revocar, cómo lo fue otorgarlo. La revocación del consentimiento no afecta la licitud del tratamiento que previamente le fue realizado.
¿Qué derecho debo asegurarle a mis clientes?
Además del cumplimiento de lo que hemos desarrollado hasta el momento, deberás asegurar los derechos denominados ARCO, los cuales resumimos a continuación:
Derecho de Acceso: debes asegurar que el titular pueda conocer y acceder a los datos que están siendo tratados, conocer su origen y finalidad.
Se tendrá un plazo de 10 días hábiles a partir de la fecha de presentación de dicha solicitud para otorgar respuesta sobre el derecho de acceso, la cual mínimamente deberá contener: los fines del tratamiento, categoría de datos personales, destinatarios a los que se comunicaron o comunicaran los datos personales, plazo previsto de conservación, el derecho al ejercicio de la rectificación o cancelación de los datos personales, cualquier información sobre el origen de los datos, y la existencia de decisiones automatizadas.
Derecho de Rectificación: el titular del dato puede solicitar en cualquier momento, que se corrijan sus datos que sean incorrectos, irrelevantes, incompletos, desfasados, falsos o impertinentes. Se tendrán 5 días hábiles, siguientes desde su solicitud para completar la solicitud del derecho de rectificación. El titular debe acompañar a su solicitud, la documentación que sustente la inexactitud o carácter incompleto de los datos personales.
Derecho de Cancelación: el titular podrá solicitar la eliminación de sus datos personales que sean incorrectos, irrelevantes, incompletos, desfasados, falsos o impertinentes. Este derecho procederá en casos en específico, por ejemplo, cuando el titular retire el consentimiento en que se basa el tratamiento de su dato personal o cuando los datos hayan sido tratados de manera ilícita.
Derecho de Oposición: siempre que existan motivos fundados y legítimos, el titular se puede oponer a brindar sus datos o que sean objeto de un tratamiento en específico. También se le deberá asegurar la revocación de su consentimiento.
Derecho de Portabilidad: el titular tiene el derecho a obtener una copia de sus datos personales que están siendo objeto de tratamiento, en formato genérico y de uso común.
Existen disposiciones comunes para estos derechos, cómo es la gratuidad del ejercicio de los mismos, es decir, no se podrá cobrar al titular del dato, por ejercer los derechos que le otorga la Ley 81 de 2019. Tampoco podrás contemplar en contratos o en tus políticas de privacidad, la renuncia o limitación de estos derechos, en todo caso si se contempla la limitación o renuncia de los mismos, será considerado nulo.
¿Qué medidas internas, debo contemplar para mi negocio?
Deberás contemplar diversas medidas, lo primero es que conozcas que figura eres dentro del tratamiento de datos personales, puesto que podrás ser responsable o custodio de la base de datos. La relación entre el responsable y el custodio, deberá estar formalizada a través de un contrato de custodia de base de datos, el cual está regulado por el Decreto Ejecutivo 285 de 2021.
En un segundo punto, deberás tener medidas técnicas y organizativas. Cómo comentamos al inicio de este punto, la protección de datos trasciende las fronteras de los términos y condiciones de uso y políticas de privacidad, por eso cómo empresa deberás contar con manuales y procedimientos para el tratamiento de los datos personales y el ejercicio de los derechos de los titulares.
Entre estas medidas técnicas se encuentra la evaluación de impacto de los datos personales y su tratamiento, es decir, que cuentes con la evaluación sobre las posibles vulnerabilidades y amenazas a las cuales los datos personales que estás tratando pueden ser objeto de, por ejemplo, pueden ser por motivos de seguridad de la información, no hayas realizado mantenimiento de los equipos o actualizaciones necesarias a los softwares que estés utilizando, e inclusive por fenómenos meteorológicos y fallas de electricidad. Una vez hayas determinado esto, es necesario que además, crees medidas de mitigación para estas amenazas y vulnerabilidades, así como medidas para continuamente evaluar estos riesgos y nuevas medidas de mitigación.
En el caso que transfieran datos a terceros, por ejemplo a una empresa que te realiza el marketing, deberás en primer punto, asegurarte que la transferencia que estás realizando es lícita y que le has informado al titular que realizarías dicha transferencia y que la empresa de mercadeo cumple con las medidas mínimas o equivalentes en materia de protección de datos y seguridad.
Si te gustó este artículo y te gustaría conocer un poco más sobre el tema y su aplicación en ecommerce, acá te dejo el episodio de mi podcast Ecommerce Simplificado donde hablamos con Nicole al respecto:
E-commerce Simplificado | Ley de Protección de Datos Personales (Panamá)