Antes de analizar la situación, debemos entender que la recopilación de datos personales en Colombia está regulada por la Ley 1581 de 2012 también conocida como Ley de Protección de Datos Personales (LPDP). Tal Ley establece los principios, deberes y derechos que deben regir el tratamiento de datos personales en nuestro país, ello con la finalidad de garantizar su adecuado tratamiento.
Con respecto al título de este Blog, debemos saber que actualmente las grandes superficies exigen un registro de los clientes para que estos puedan realizar compras en línea, y ello ciertamente plantea varias preocupaciones en términos de cumplimiento LPDP. Veamos entonces los planteamientos de la situación:
- La captura de datos personales debe tener una finalidad clara y legítima alineada con los principios de la ley, tal finalidad debe ser informada al titular de los datos, pero esto del todo no está sucediendo; pues, en algunos procesos de venta se exige cierta información personal sin que ésta tenga una finalidad dentro de ese proceso.
- En particular en las compras online, tácitamente se entendería que los datos exigidos se requieren para recoger un pedido en tienda, o para realizar tanto su despacho como su seguimiento cuando se envía a domicilio, pero la realidad es otra; pues, por lo menos para recoger en una tienda, no se necesitan más datos que el número de la cédula y el ticket de pago del pedido, lo cual realmente es lo que acontece en la ventanilla de entrega del supermercado. Entonces, ¿Para que se está realizando el registro de los demás datos?
- Para el caso de entregas a domicilio, se entendería que el nombre de la persona, su domicilio y teléfono son necesarios para que el transportador realice la entrega. Hasta aquí es claro que se necesitan los datos; sin embargo, una vez que se entregue el pedido y se finalice la transacción, ¿Por qué el supermercado continúa reteniendo la información? ¿Cuál es el tiempo de permanencia de esos datos personales en los sistemas de información del supermercado?
Salvo que el cliente solicite la generación de factura electrónica, en cuyo caso los datos almacenados cumplirán con el propósito establecido en el estatuto tributario, no se entendería por qué los datos se mantienen almacenados sin un ciclo de vida definido.
Basado en lo anterior, la exigencia de registro para realizar compras en línea se presenta como una acción que no tiene una finalidad clara, y constituye una violación a la LPDP; pues, no garantiza el principio de finalidad. Aquí entonces, se concluye que se estaría recopilando información personal de manera excesiva y sin un consentimiento informado.
Entonces… ¿Qué deberían considerar los supermercados como corrección de sus actividades para que de cara a sus obligaciones, ellos estén alineados a la Ley 1581?
- Los supermercados deberán revisar y ajustar sus prácticas de recopilación y tratamiento de datos personales; esto implica:
- Definir claramente la finalidad del tratamiento de datos para cada proceso (compras recogidas en tienda, compras enviadas a domicilio), informando de manera transparente a los usuarios sobre cómo se utilizarán sus datos y cuál será el tiempo de permanencia para el uso particular de compras en línea.
- En el caso de las compras en línea con recogida en el supermercado, este último no deberá exigir registro previo de los datos del cliente excepto su cédula, ello teniendo en cuenta que ese mismo cliente está dispuesto a recoger su compra en la tienda.
- Para los casos en que se requiera el envío a domicilio, se deben solicitar únicamente los datos necesarios para efectuar el despacho y seguimiento del pedido, garantizando que estos datos se eliminen una vez cumplida su finalidad y que se establezca un tiempo de conservación mínimo de acuerdo con lo establecido en la ley.
Y… ¿Qué cambios se sugieren en las plataformas de los supermercados para pedidos online y cuáles en sus políticas de tratamiento?
En términos de plataformas de pedidos en línea, los supermercados deberían implementar opciones de compra que permitan a los usuarios realizar pedidos sin necesidad de registrarse previamente, siempre y cuando estén dispuestos a recoger los productos en la tienda. Para los casos en que se requiera envío a domicilio, se deberán solicitar únicamente los datos necesarios para efectuar la entrega y seguimiento del pedido, evitando la captura excesiva de información personal.
En cuanto a las políticas de tratamiento de la información, los supermercados deben revisar y actualizar tales políticas para garantizar el cumplimiento de la LPDP. Esto incluye establecer claramente la finalidad de los datos, informar de manera transparente a los usuarios sobre cómo se utilizarán éstos, y obtener su consentimiento expreso para dicho tratamiento. Además, se deberán establecer procedimientos para garantizar la eliminación o anonimización de la información capturada una vez cumplida su finalidad, así mismo se deberá definir un tiempo de conservación máximo de acuerdo con lo establecido en la ley.
En términos de cumplimiento de la misma Ley ¿Qué debería hacer la SIC, como organismo de control, para evitar este abuso?
La Superintendencia de Industria y Comercio (SIC) tiene la potestad de tomar medidas efectivas de supervisión y control sobre las prácticas de tratamiento de datos de los supermercados y otras empresas que operan en línea, realizando inspecciones y auditorías periódicas a las plataformas de comercio electrónico para verificar el cumplimiento con la LPDP. Esto contribuirá a que las organizaciones se vean obligadas a revisar sus políticas de tratamiento de datos, y los procedimientos implementados para garantizar la protección de la privacidad de sus clientes.
Por supuesto que la SIC podría investigar y sancionar de manera efectiva a aquellas empresas que violen la LPDP, imponiendo multas y medidas correctivas; no obstante, lo que en realidad se busca es establecer precedentes en Colombia, de manera que esta situación no se vuelva a presentar, haciendo entonces que las empresas cumplan con la LPDP y con las normativas de comercio electrónico.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
