En su ponencia dentro del marco de la 2ª. edición virtual del IT Masters CON, la socia de Lex Informática Legal Advisory, Cynthia Solís, puso en claro las regulaciones legales vigentes para utilizar datos de particulares para fines mercadológicos.
Por desgracia, apuntó en el arranque de su exposición, los equipos de marketing y el departamento legal están casi siempre “divorciados” en las organizaciones, cuando en realidad deberían trabajar juntos para sacar mejor provecho de los datos a su disposición.
La pregunta que todo negocio se hace ante el uso de big data para fines comerciales gira en torno a la legalidad. La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPP) marca las pautas de la actuación de quienes son responsables de tratar los datos para actuar dentro de la legalidad. La experta y doctora en Derecho Privado y Ciencias Criminales advirtió que también hay otras normativas que pueden ser aplicables a distintos gremios. Las Fintech, por ejemplo, están obligadas por ley a recibir y compartir datos de comportamiento de industria financiera, es decir, el llamado Open Banking, y existen reglamentos dependiendo de la materia.
Solís comenzó por clasificar los datos de acuerdo con su origen en externos e internos. Las fuentes externas: bases de datos anonimizadas (estadística de ciertas organizaciones en ciertos mercados), y las bases de datos personales.
“Cuando hablamos de bases de datos anonimizadas, recordemos antes que todo dato personal está sujeto al consentimiento del particular. Pero si los datos se pasaron por un proceso de disociación, ya podemos compartirlos, porque lo que queremos es ver tendencias. Un ejemplo es Facebook, que nos entrega analítica de datos, es decir, dónde están los clientes potenciales, de qué nivel socioeconómico, si son hombre o mujeres. Eso lo podemos utilizar y compartir sin tener el consentimiento,” aclaró Solís.
Otras bases de datos de fuentes externas son aquellas que derivan de un contrato de colaboración con una institución bancaria o una tienda de comercio minorista, que también pueden ser utilizadas sin problema.
En cuanto a las bases de datos internas, tiene que existir un aviso de privacidad y su tratamiento puede ser de dos tipos: primario y secundario. “Un ejemplo de tratamiento de datos personales para cumplir la finalidad primaria es acudir a una empresa de seguros para que me recomiende una póliza de acuerdo con mis datos personales. Si no es necesario para la relación contractual, entonces son finalidades secundarias. La persona puede oponerse al uso de sus datos”, explicó la abogada.
Y añadió: “Si quieren compartir información con terceros lo pueden hacer siempre y cuando soliciten el permiso del titular para la transferencia. Cuando se trata de empresas dentro de un grupo, es decir, empresas hermanas, y siguen el mismo procedimiento en materia de protección de datos, también pueden compartir información de sus bases de clientes. El mundo de posibilidades que eso genera es enorme, máxime cuando hay holdings que operan en distintas industrias, como la bancaria, el comercio y las telecomunicaciones. Basta con estandarizar sus procedimientos de tratamiento de datos para cumplir con la ley.”
Cuando se trata de tratamiento de datos sin el consentimiento del tercero, el titular puede solicitar una reconsideración. Recientemente, en España se despidió a un número considerable de empleados de una empresa debido a la analítica de productividad, que arrojó un bajo desempeño. “Esto es válido siempre y cuando se le notifique al titular y se pueda reconsiderar este tratamiento por un humano”, aclaró Solís.
La experta subrayó que la normativa mexicana se creó con una visión de no entorpecer el comercio y los negocios. ¿Realmente está prohibido vender estos datos personales? La respuesta es no, siempre y cuando el titular lo consienta.
“Esta explotación de datos es muy útil, por ejemplo, cuando la tienda te propone ofertas de acuerdo con tus preferencias y compras previas”, concluyó la especialista.