Si lo pensamos muy bien tal vez recordemos que en algún momento de nuestras vidas tuvimos la oportunidad de ojear gacetas o boletines institucionales mientras buscábamos alguna información en internet. Y es que somos curiosos, nos gusta indagar y entender procesos, aprender tanto de los errores ajenos como de las decisiones acertadas, al final eso nos permite mejorar; sin embargo, a veces ese patrón de conducta nos puede acarrear dificultades si no vigilamos lo que leemos, y si no entendemos correctamente aspectos esenciales relacionados con confidencialidad, en especial cuando la información a la que tenemos acceso contiene datos personales.
Un caso que tiene relación con lo anterior es el que analiza la resolución 80305-2021 de la SIC, y que se puede resumir de la siguiente manera:
Una empresa de consultoría especializada en rótulos de marcación accede a un listado publicado en la gaceta informativa de la SIC referente a los registros de propiedad intelectual, en dicho listado no solo se detallan las decisiones aplicadas a cada proceso de registro sino que se incluyen los datos personales de los solicitantes. Desde un punto de vista comercial la información allí consignada es bastante valiosa, ello en virtud a que quienes están registrando sus invenciones con total seguridad crearán un negocio y más delante requerirán de un universo de insumos y materias primas; y es allí cuando la empresa de consultoría que se menciona detectó una oportunidad y tomó la decisión de usar la información allí registrada para seleccionar personas y enviarles un correo electrónico con el cual pudieron ofrecer servicios de rotulado de productos. Ese fue precisamente el error que llevó a la empresa de consultoría a recibir una multa de $6.390.000 producto de una queja de un destinatario quien denunció el uso de su información personal para enviar publicidad comercial que él nunca había solicitado.
Durante la investigación practicada por la SIC la empresa de consultoría explicó la razón de usar los datos existentes en la gaceta, justificando su actuar por el hecho que el acceso a los datos no era restringido, la disponibilidad de consulta en internet era permanente, y se posibilitaba que cualquier persona pudiese leer dicha información; así entonces, ellos concluyeron que tales datos eran públicos, que no requerían de autorización de tratamiento, y que podían usarlos para sus actividades comerciales.
Y aunque dicha respuesta parece totalmente lógica, desde el punto de vista de la SIC es totalmente controvertible y se puede diluir a través del siguiente concepto:
Todas las publicaciones tienen finalidades específicas, y así como algunas pueden dar a conocer noticias o información de uso público, otras pueden dar a conocer decisiones que pertenecen al ámbito individual o a pequeños grupos de individuos. Así las cosas, cuando existe una información dirigida a un conjunto específico de personas y dicha información se publica por algún medio, debe entenderse que la información es semiprivada, y ésta debe tratarse conforme a las normas establecidas en la Ley 1581 de protección de datos personales, lo anterior sin importar que los datos se encuentren publicados en medios masivos tal como pueden ser internet o los periódicos; pues, el hecho de estar ahí no los convierte necesariamente en públicos.
Con lo expuesto podemos comprender la importancia de observar la finalidad con la cual fue creada una base de datos que encontremos en medios públicos, si dicha finalidad establece una directriz de uso entonces no se podrá usar de otra manera, pues ello constituye una falta a las normas de la Ley. Y es que el argumento de la SIC es congruente con el principio de finalidad; tan solo imaginemos a una organización que trata información recopilada a través de su propia operación, para ella está prohibido usar los datos obtenidos con una finalidad diferente a la acordada con el titular, ello sin importar que sea la misma organización quien gestione tenga el control de los datos.
Así las cosas, usted como actor dentro del proceso de tratamiento de la información personal debe considerar y tener siempre en mente tanto la finalidad de uso de los datos como la clasificación de los mismos, diferenciando correctamente entre públicos, semiprivados y/o privados; de ello se derivará el éxito en la gestión de datos en su organización, la prevención de inconvenientes legales y la ausencia de sanciones económicas producto del incumplimiento de la Ley de protección de la información personal.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
