¿Qué debe considerar el E-Comerce frente a la Protección de datos?

Todas las empresas que se mueven dentro del sector del comercio electrónico en Colombia; es decir, que ofrecen, promueven, venden, intercambian y aceptan pagos a través de Internet por concepto de los bienes o servicios de su portafolio, no solo están obligadas a cumplir las normas establecidas en la Ley 1581 de 2012, sino que deben esforzarse al máximo por mantener sistemas de seguridad adecuados que permitan garantizar a sus clientes una total privacidad de los datos que ellos entregan.

En este Blog nos centraremos en el manejo de la información de pago de los clientes y en los aspectos que deben tener en cuenta a la hora de capturar, almacenar y hacer circular dichos  datos.

Para surtir lo anterior, primero que todo debemos entender dos cosas: 1) Toda información personal que un Titular suministra durante operaciones de comercio electrónico  debe estar especialmente protegida. 2) Los datos usados para pagos en línea le representan al Titular una enorme posibilidad de afectación; pues, cualquier cibercriminal con dicha información podría desfalcar sus cuentas bancarias o involucrarse con algún tipo de fraude; por lo tanto, las organizaciones deben centrar sus esfuerzos en implementar soluciones sólidas que blinden en su totalidad los datos de ese proceso de pago.

Pero… ¿Qué se debe considerar dentro de una solución sólida? 

Sabemos que una tienda online le permite a cualquier usuario convertirse en prospecto de cliente mediante un registro en línea que facilita consultar toda la oferta de productos o servicios que la tienda comercializa. Dicho registro en línea no pasará de ser justo eso hasta tanto el usuario se interese en algo en particular y decida comprarlo; en tal caso, la plataforma usada para la oferta de productos y servicios avanzará un escalón más, llevando la captura de información del Titular a incluir los datos de pago; y es allí  cuando se debe tener especial cuidado, dado que de ser filtrados, robados o copiados, los datos obtenidos del Titular podrían colocarlo a él en riesgo.

En este punto se hace necesario seguir las siguientes recomendaciones:

1. En compras a crédito, evite conservar datos  tales como número de tarjeta, fecha de vencimiento y código de validación, ya que dicha información, que es  de uso temporal, no será necesaria una vez el banco del titular autorice la transacción. Para el caso de compras recurrentes, permita que sea el proveedor de pagos sea el único que almacene dichos datos, ello lo excluirá a usted de la responsabilidad de velar por su correcto tratamiento.
2. Tenga mayor precaución con las compras con tarjeta débito; pues, si bien es cierto que el manejo es similar al de la tarjeta de crédito, el tarjeta habiente previamente ha autorizado a su banco el uso de tal medio de pago para compras por internet, con lo cual la transferencia al cobrador será inmediata, y  una posible filtración de datos conduciría a afectar en forma instantánea al Titular. Considere aceptar solamente “Tokens” para verificar la transacción, evitando con esto almacenar identificadores del medio de pago del Titular.
3. La ley 1581 le permite a los Titulares solicitar la cancelación de sus suscripciones o registros orientados a facilitar el envío de publicidad, ofertas o beneficios; por lo tanto, le será  óptimo automatizar dicho proceso para que la desvinculación del usuario sea  automática en lugar de manual, esto le permitirá a su organización siempre atender este tipo de solicitudes dentro de los tiempos establecidos por la Ley.
4. Asegúrese que todo el almacenamiento de la información temporal o permanente que haya recopilado sea totalmente seguro; es decir, que cumpla con las medidas técnicas, humanas y administrativas necesarias para garantizar su confidencialidad, integridad y disponibilidad.
5. Recuerde que aunque existan lazos de confianza con los funcionarios que supervisan tanto sus operaciones comerciales como  sus sistemas de información siempre será necesario implementar controles de sus actividades. Mantenga entonces sistemas de CCTV en los centros de cómputo, cree procedimientos de control de acceso a los datos y supervise periódicamente los registros de las actividades informáticas que ellos realizan, de esa manera podrá mitigar cualquier posibilidad de copia, sustracción o divulgación de la información que su negocio ha recopilado. No olvide elaborar acuerdos de confidencialidad con los funcionarios involucrados y con los terceros que tengan relación con la información almacenada por usted, tales acuerdos le permitirán dejar claras las obligaciones, deberes y compromisos hacia la privacidad y la seguridad de los datos que pasan por sus manos.
6. Para aumentar la transparencia y los lazos de confianza con sus clientes, siempre infórmese  sobre el proceso de tratamiento  de sus datos personales, indicando cómo se usarán y qué otras organizaciones participarán en el proceso.

Considerar los factores antes mencionados le facilitará su gestión de cumplimiento de las normas de protección de datos personales en Colombia, y además le evitará dolores de cabeza si se llega a presentar algún tipo de incidente con los datos personales que su organización esté procesando.