Mostrando entradas con la etiqueta Autorización. Mostrar todas las entradas
Mostrando entradas con la etiqueta Autorización. Mostrar todas las entradas

martes, 26 de octubre de 2021

La 🗣️ Referencia 👨‍🦰👩‍🦰 y su Autorización para el Tratamiento de Datos Personales.

 

La autorización debe ser previa, expresa e informada para que los Responsables (empresas, entidades, emprendedores, fintech y startup, propiedades horizontales etc...) que recolectan información personal adicional a la del solicitante (otro titular), puedan realizarle tratamiento.

Cuando se esta por ejemplo frente a la adquisición de un producto financiero es natural que la entidad solicite información personal de otra persona como requisito para recibir la solicitud; la finalidad y el uso que le dé, depende mucho de las política de cada empresa, sin embargo; en muchas ocasiones el interesado no le informa 🗣️ a ese familiar o amigo que ha proporcionados sus datos personales (nombre, teléfono,) a esa entidad.

📌Es importante señalar dos puntos, primero; el ámbito doméstico cuando proporcionamos datos personales a amigos, conocidos y familiares lo cual sale del radar de la normatividad de protección de datos personales (L.1581/2012 art.2 Literal a.) por ser escenarios exclusivamente personales y domésticos; pero, no sucede lo mismo cuando se entrega datos de contacto a organizaciones que desarrollan actividades de comercio, debido a que ellos tienen claro el activo que esto representa (potencial cliente, prospecto etc..) y eso esta bien, de eso se trata.

📌El segundo punto tienen que ver con el riesgo que genera para el comercio en general (empresas, entidades, emprendedores, fintech y startup, propiedades horizontales etc...) especialmente las entidades financieras, cuando en sus archivos físicos o digitales conservan información personal de titulares (nombres, números de contacto personal, correos electrónicos etc..), sin el consentimiento previo, expreso e informado del titular (L.1581/12 art. 3 literal a y art. 9) como requisito sine quanon (necesario) para poder conservar la información personal que administran.

Conozco dos casos del sector 💰💰 financiero 💷💶 en donde utilizaron la información de referencia, es decir; los datos personales (nombre y numero de contacto) del amigo o familiar para adelantar 📲gestiones de cobro📩 lo cual llama mucho la atención, por que lo que para muchas empresas y personas 😃 esto es una practica normal.

🤷‍♂️ En el primer caso la Superintendencia de Industria y Comercio resuelve en recurso de apelación, que una entidad financiera infringió la normatividad de Protección de Datos Personales al utilizar los datos de la "Referencia" para contactar vía telefónica y realizar gestiones de cobro a una madre del producto que adquirió su hijo en el banco, sin el consentimiento de ella. La multa que en recurso de apelación confirmó la Superintendencia fue la máxima legal permitida es decir 2.000 SMLMV que son $351.120.627. (Res. 47280/2021) ¡impresionante! ¿no les parece?, sobre todo porque en general a cualquier entidad financiera le puede pasar y bueno en verdad, nadie quiere una multa independientemente de su valor económico.

🤷‍♀️ El segundo #CasoReal es bien interesante, se los cuento.

🔴Una #Fintech allega el siguiente mensaje a una persona que fue incluida como "referencia", un sábado en la tarde mientras departía con sus familiares y amigos en la finca:

📲"Buenas tardes, nos comunicamos de XXXXXXXX el motivo de esta comunicación es porque nos registra como referencia de (nombre del que solicito el crédito).

No hemos podido comunicarnos con él directamente y por eso le pedimos su colaboración para que le informe que su crédito con XXXXXXXX vence hoy y debe registrar el pago antes de las 5:00 pm para evitar que sea notificada ante las centrales de riesgo. Agradecemos su colaboración."

En este caso llama la atención que la persona no tenia ni idea de eso, y es obligación de la empresa adecuar los procesos para que esto no pase y bueno para hacerles corto el cuento con esa noticia en plena reunión familiar la pobre pasó un mal fin de semana y está esperando que la entidad le explique como pasó...

En estos dos casos me transporto al momento exacto en que las personas se acercan de forma física al banco o cuando ingresan a una APP con la intención de adquirir un producto financiero, en el caso de las fintech es rápido y genera retos operativos y tecnológicos importantes para este sector; para que en todo el proceso de recolección de datos personales el Responsable adquiera la autorización de sus titulares incluyendo el de las referencias personales.

Pero ¿cómo se podría mejorar?

🟢 Una posible solución es que cuando el interesado en adquirir un producto financiero en cualquier banco, se acerque a la oficina física con la referencia (amigo o familiar) con el fin de que autorice el tratamiento de sus datos, esto sin lugar a dudas da transparencia, concientiza y fortalece la relación entre el banco y el consumidor financiero.

La otra solución se presenta con el tema tecnológico y esta me encanta, a qui les va:

🟢 En el momento en que el solicitante llega a la opción de diligenciar la referencia personal o comercial; el sistema bloquee los pasos que siguen hasta que mediante un link que le envía a su referencia, éste autorice dos cosas:

  1. Que acepta ser referencia de su amigo o familiar 🆗
  2. Autoriza el tratamiento de los datos con las finalidades, de por ejemplo: ser contactado por el banco para realizar gestión de cobro. 🆗

¡¡Atentos a lo que sigue!!

Una vez el amigo, familiar el o (la) amante acepta ser referencia de su amigo y autoriza que el banco lo contacte, tecnológicamente se le habilita al interesado las otras opciones del formulario para enviar la solicitud.

Espero hacerme entender, porque una cosa es decirlo y otra aplicarlo, fascinante cierto...???

👊 ¡¡Bien amigos!! si han llegado hasta aquí les agradezco 🤝 un montón, rápidamente he expuesto casos reales y concretos en donde se ve involucrada la información personal que se incluyen como referencias personales o familiares en las entidades financieras.

Después de todo ¿creen ustedes que es necesaria la autorización?

¿Necesita el #Consentimiento del referid@ el banco, para poder enviar mensajes de cobro?

¿Se infringe la Normatividad de Protección de Datos?

¿Cómo actuarían si les sucede?

¿Qué opinan de las posibles soluciones plateadas?

¿Que estrategia utiliza su empresa en los casos plateados?

Escribe lo primero que se te venga a la mente de cualquier pregunta... en verdad lo que sea.....

Conecta Conmigo, Acepto a Todos.

Freederman Tovar Lara 
Director: DatoLegal
Contacto@DatoLegal.co
Síguenos en: 👉 Youtube







 

Publicado por en No hay comentarios:
Etiquetas: ,

lunes, 1 de marzo de 2021

La AUTORIZACIÓN en las Reuniones Virtuales.



Trasladar las relaciones interpersonales de:  encuentros, reuniones, capacitaciones, conferencias  y de  negocios a entornos digitales o virtuales, conlleva un reto para las organizaciones publico y privadas en el manejo y tratamiento de la información personales que recolectan con ocasión de las conexiones que se surten en las diferentes plataformas de internet que facilitan la interacción en cualquiera de los sectores.

El mayor de los retos entre otros se enfoca en la recolección legal de información personal, ya que en la normatividad colombiana solo existe una forma de legitimar el consentimiento de los titulares y es señalada en el articulo 9 de la ley 1581 de 2012: 
Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior" (negrilla fuera de texto original).
En ese sentido, es imperativo la adecuación tecnológica de las organizaciones para efectos de dar cumplimiento a este artículo, ademas porque el aparte final imprime la obligación a los responsables y encargados de administrar información personal, de conservar copia de la misma con el fin de poder  consultarse posteriormente, bien por el titular que otorgo el consentimiento (persona natural) o por requerimiento de la entidad que ejerce el control la inspección y la vigilancia que es la Superintendencia de Industria y Comercio.

Por su parte el decreto 1074 de 2015 en su articulo 2.2.2.25.2.4 trae las formas como los responsables y encargados puede obtener la autorización: 
  • De forma escrita, 
  • De forma oral, 
  • Mediante conductas inequívocas del titular. 
La primera por defecto siempre se usa en documentos físicos y su conservación no tienen mayor complicación en los archivos de la organización, el segundo muy utilizado por los call center de los bancos y los que prestan servicios de telemercadeo y el tercero utilizado en espacios donde utilizan sistemas de video vigilancia y se da mediante la publicación de avisos de privacidad en donde se le informa a las personas de este hecho  (que están siendo grabados) y en todo caso, tengan en cuenta que debe existir una conducta (acción) positiva del titular que no genere duda razonable de que autorizó el tratamiento.

También por el avance de la tecnología y la tendencia mundial de trasladar el mundo físico a modo virtual, especialmente como consecuencia de la pandemia, ya es común las invitaciones  a salas virtuales vía correo electrónico, whatsApp o telegram etc., y lo que es importante señalar en materia de protección de datos es que; previo al registro para cualquier tipo de reunión, el titular debe realizar el check (opt in) que traen los formularios virtuales y que es obligatorio para participar, esta acción positiva por parte de los titulares es necesaria y solo así la organización al menos de entrada, dará cumplimiento a la normatividad evitando una eventual investigación de la Superintendencia por este concepto, que no es el único pero si uno de los más importante en cuanto a la legitimación del consentimiento. ¿Ya lo implementan?.

Las mismas reglas operan para los menores de edad en donde los padres deben autorizar el tratamiento de la información personal, caso en el cual los responsables y encargados deberán dar aplicación a las mismas reglas. (Colegios, universidades etc..) el reto es una oportunidad.         

Es importante indicar que la norma trae excepciones, en donde no es necesaria la autorización y que señalamos a continuación:
  • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; 
  • Datos de naturaleza pública;
  • Casos de urgencia médica o sanitaria;
  • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
  • Datos relacionados con el registro civil de las personas. 
Sin embargo, al no ser necesaria la autorización en los casos arriba señalados, si es importante dar cumplimiento al resto de principios y obligaciones que trae la ley 1581 de 2012 y sus decretos reglamentarios.  


¿QUÉ DEBEN INFOMAR LOS RESPONSABLE Y ENCARGADOS AL TITULAR? 
  1. Nombre o razón social y datos de contacto (mail, dirección y teléfono) del Responsable,
  2. Informar cuál es el tratamiento al que será sometida la información personal recolectada. 
  3. Indicar la finalidad,
  4. Informar los derechos de los titulares,
  5. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; 
  6. Informar la forma en que pueden acceder a la Política de Tratamiento de Datos de la organización.
Estos elementos son necesarios indicarlos en la autorización (aviso de privacidad), independientemente del medio utilizado; es decir; en forma electrónica, escrita, oral o mediante conducta inequívoca. 

Es así, como en pleno auge de la tecnología sea en forma virtual o en reuniones presenciales, la autorización debe ser un elemento importante a la hora en que la organización convoca, realiza y prepara encuentros con la personas apoyados en la tecnología. 

Nota: En cualquiera de los casos física o virtual, la entidad publico y/o privada debe estar en capacidad de conservar copia de la autorización que el titular otorgo previo al evento o al ingreso de la sala virtual independiente de la plataforma (tercero) utilizada, por ello el reto es importante, ya que la autorización para el tratamiento de datos es el resultado del desarrollo del derecho del habeas data consagrado en el artículo 15 de la Constitución Política y con buen contenido jurisprudencial por parte de la Corte Constitucional en donde lo reconoce como derecho autónomo.   


 
Freederman Tovar Lara 
Director: DatoLegal
Contacto@DatoLegal.co
Síguenos en: 👉 Youtube
También le puede interesar: 

📝 Es necesario solicitar AUTORIZACIÓN en Reuniones Virtuales?
✅La Autorización previa, expresa e informada.


   




 
  
Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)