La elevada competitividad en sector de industria de servicios ha llevado a las organizaciones a tomar la decisión de incorporar herramientas tecnológicas que permitan mejorar la experiencia de los clientes y facilitar la atención y soporte de los mismos. Es por ello que ahora disponemos de Apps móviles que ofrecen inmediatez en las respuestas a las inquietudes de los clientes, más un soporte inmediato, personalizado y accesible desde cualquier lugar. Con esto se ha logrado agilizar procesos que mejoran la interacción con los clientes, y adaptar la oferta comercial a las necesidades del usuario. Al final, esto ha fortalecido enormemente los procesos de fidelización.
No obstante, el incorporar ciertas innovaciones tecnológicas genera riesgos que, si no se administran adecuadamente, permiten que las organizaciones accedan a multas o sean sancionadas administrativamente. El caso de una importante aerolínea Colombiana es un ejemplo claro de cómo una estrategia tecnológica con errores puede derivar en vulneraciones al régimen de protección de datos personales.
En este blog, analizaremos los riegos al implementar Apps y cómo evitarlos.
Primero que todo veamos el antecedente: La Superintendencia de Industria y Comercio inicia una investigación contra una reconocida aerolínea Colombiana por presuntas irregularidades en el tratamiento de información personal a través de su aplicación móvil para Android. Según el expediente (Resolución 79549 de 2022), la App de la aerolínea accedía a la información privada dispuesta en el dispositivo móvil del usuario como es: ubicación, contactos, historial de llamadas y otros datos, todo ello sin una autorización previa, clara y expresa por parte del titular.
La SIC menciona en su resolución que esta práctica vulnera varios principios de la Ley 1581 de 2012, entre los cuales están:
- Finalidad: No se especifica claramente para qué se recolectan ciertos datos.
- Consentimiento informado: El usuario no era advertido de manera transparente sobre el alcance del tratamiento.
- Necesidad y proporcionalidad: Se recolectaban datos que no eran estrictamente necesarios para la funcionalidad de la App, como lo es la “geolocalización”.
Al analizar la mencionada resolución se concluye que: “es indispensable ser estricto en el diseño de toda aplicación, teniendo que priorizar la privacidad antes que la funcionalidad”; de esa manera, protegeremos los derechos de los titulares y cumpliremos con la Ley.
¿Qué deberíamos hacer entonces para que esto último suceda?
Es indispensable que las organizaciones, que desarrollan Apps móviles y/o las que ordenan su elaboración, adopten una estrategia de cumplimiento que integre la protección de datos desde el diseño, por lo que se deben seguir las siguientes recomendaciones:
- Toda aplicación debe incorporar medidas técnicas y organizativas que garanticen la protección de la información desde su concepción. Esto implica, tanto limitar la recolección de datos personales a lo estrictamente necesario, como configurar la App para que por defecto no acceda a la información del dispositivo móvil sin autorización.
- Antes de lanzar una App, se recomienda realizar una evaluación de impacto que permita identificar riesgos, evaluar la proporcionalidad del tratamiento y establecer medidas de mitigación. Esta evaluación, de ninguna manera se puede omitir cuando se manejan datos sensibles o se utilizan tecnologías tales como geolocalización o biometría.
- El consentimiento debe ser claro y específico; además deberá ser obtenido antes de la instalación, o después de la misma pero antes de iniciar el tratamiento de los datos personales que se requieran. Las organizaciones deben evitar prácticas como casillas pre-marcadas o textos ambiguos. Además, deben ofrecer mecanismos para que el titular pueda revocar su autorización en cualquier momento.
- Los usuarios deben tener acceso a políticas de privacidad comprensibles, actualizadas y visibles dentro de la App. Estas deben explicar qué datos se recolectan, con qué finalidad, quién los trata, si se comparten con terceros, y cuáles son los derechos del titular.
- La App debe contar con protocolos de seguridad sólidos que eviten filtraciones, accesos no autorizados o pérdida de información. Esto implica cifrado, autenticación, control de acceso y monitoreo constante.
- Usualmente las Apps utilizan servicios de terceros (como analítica, publicidad o almacenamiento en la nube); por lo tanto, la organización que desea incorporar una App a sus procesos debe verificar que dichos proveedores de servicios cumplan con estándares adecuados de protección de datos, formalizando con ellos acuerdos que regulen el tratamiento de la información.
En el caso particular de la aerolínea, se encontró que las omisiones en las consideraciones de diseño, así fuesen pequeñas, convergieron en riesgos legales y éticos que no solo afectaron la privacidad de los titulares, sino que alteraron la reputación de la aerolínea. Lo anterior nos lleva necesariamente a una conclusión: Es deber de toda organización, que desarrolle o implemente aplicaciones, incorporar buenas prácticas de protección de datos, ya que tanto los entornos digitales como la Ley así lo exigen.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
