En la actualidad algunas compañías de energía eléctrica y gas han diversificado sus servicios, incursionando en el mercado financiero, en el que ofrecen créditos personales con pago cargado directamente a las facturas de servicios públicos. Esta oferta en realidad es llamativa, pues le facilita a los abonados la compra de diferentes bienes y servicios con un mínimo número de requisitos, y dejando atado el pago a un servicio público que es esencial.
Algunas empresas de energía eléctrica y gas promocionan la toma de créditos o la compra de productos a través de correo electrónico, SMS y WhatsApp; y aunque estas prácticas promocionales parecen normales, en realidad no lo son; más bien se consideran como infracciones que se manifiestan con un uso indebido de los datos personales.
Limitaciones y Restricciones Legales de las empresas de Energía Eléctrica y Gas
En Colombia, el uso de datos personales está regulado por la Ley 1581 de 2012 también conocida como Ley PDP (de Protección de Datos Personales); ésta establece que toda organización que recolecte, almacene y use datos personales debe obtener el consentimiento previo, expreso e informado de los titulares de los datos, entendiéndose por “expreso e informado” que el titular deberá comprender claramente y a cabalidad las finalidades de uso de la información que va a entregar y los procesos de tratamiento a los cuales que someterá tal información.
Con base en lo anterior y partiendo de estudios estadísticos, se ha podido observar en un número importante de ocasiones que el consentimiento otorgado por el titular no siempre es expreso e informado; es decir, que a pesar que los clientes firman el consentimiento, ellos no entienden enteramente qué uso se le dará a la información que entregan. Con respecto a las empresas de energía eléctrica y gas, los encuestados indicaron que sí comprendieron que su información personal era necesaria para el registro de la obligación, para que se pudiera tramitar el desembolso del dinero y para que se facilitara el pago de la deuda adquirida, siendo esas una finalidades legítimas; sin embargo, esos mismos abonados no tenían claro que existían otras finalidades tales como: usar los datos para campañas promocionales de productos y servicios, para campañas de fidelización corporativa, o para procesos de transferencia de datos a filiales del mismo grupo empresarial, lo que facilitaría la oferta de otros servicios, etc., y que tales finalidades extra las habían autorizado por escrito sin saberlo.
En términos legales, cuando existe un consentimiento claro y específico que está aprobado por un cliente, y dicho consentimiento indica que son posibles las comunicaciones al titular con propósitos comerciales, entonces tales comunicaciones se pueden realizar. Sin embargo la jurisprudencia ha limitado tal consentimiento a través de diferentes sentencias. En general las Altas Cortes indican que el responsable del tratamiento de los datos no pude ofrecer productos y servicios diferentes a los contratados, ni elaborar perfiles de compradores.
Para el caso concreto, la empresa de energía solo puede usar los datos recopilados para la entrega y manejo del producto de crédito financiero ofrecido, y en caso de ofertas solo puede enviar comunicaciones relacionadas exclusivamente con productos financieros, así sea que la autorización de tratamiento obtenida indique que existen otro posibles destinos de los datos.
En este sentido, la Superintendencia de Industria y Comercio (SIC) como entidad encargada de vigilar el cumplimiento de la Ley PDP impone sanciones por que violar las normativa de protección de dato y por disponer de avisos informativos inadecuados o cláusulas engañosas que oculten o lleven al error al titular, tales como las que se elaboran con letra pequeña.
Como antecedente en el sector de energía, existe un caso destacado es el que una compañía de gas fue denunciada por enviar promociones de productos a través de SMS sin el consentimiento de los clientes. La SIC realizó su investigación, determinando en ella que empresa de gas había violado la normativa; por lo tanto impuso una multa y una orden administrativa para que se implementan medidas correctivas que garanticen la no repetición de incidente.
Medidas Preventivas
Para evitar situaciones como la descrita anteriormente, las organizaciones en general deberán adoptar como mínimo las siguientes medidas:
- Obtener cada consentimiento de manera expresa, explicando todas las finalidades, las que deben ser entendidas por el titular. El formato de consentimiento deberá ser revisado y aprobado antes de colocarlo a disposición de los titulares, de esa manera se evitará que el texto sea ilegible, esté incompleto o que contenga incoherencias.
- Se le debe informar a los clientes de manera transparente sobre cómo se utilizarán sus datos y para qué fines, por lo que la política de la organización debe estar siempre actualizada y disponible para el titular de la información.
- Es necesario capacitar a los empleados sobre las normativas de protección de datos, las mejores prácticas en protección de datos, y sobre la manera de resolver dudas e inquietudes de los titulares de los datos.
- Realizar auditorías regulares para asegurar que se cumplan todas las políticas de protección de datos y monitorear continuamente las prácticas de manejo de datos.
Adicional a las anteriores acciones, se recomienda a todas las organizaciones sean cuidadosas con el manejo de los datos personales de sus clientes; pues, no solo se puede cometer infracciones a la Ley, sino que se puede afectar la relación construida con tales clientes.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
