La Política de Tratamiento de Información es un documento clave para tenerlo disponible en tu app o website. Las Políticas es donde le cuentas a tus usuarios y clientes (muchos también lo denominan “Titular”) lo que vas hacer con sus datos y cómo lo vas a manejar.
En este artículo te queremos contar cuáles son los puntos claves que debe tener en cuenta el documento de Políticas de Tratamiento de Información:
Aspectos clave a tener en cuenta
1. Datos de la Empresa:
Debes incluir el nombre la empresa o de la persona que va realizar el tratamiento de información. Se debe incluir los datos de identificación, razón social y Nit. Lo anterior, es para informar a el cliente o usuario quien va recoger sus datos, si es una empresa persona jurídica o es una persona natural, para qué lo va hacer y cómo lo va hacer.
2. Finalidad:
Este es el punto más importante de las políticas. Debes especificar que vas hacer con la información. Algunos ejemplos son:
a. Fines de mercadeo y publicidad,
b. Enviar facturas,
c. Gestionar la cartera o actividades de cobro
d. Ofrecer servicios y productos
e. Pagar salarios y prestaciones sociales
f. Enviar información sobre productos o servicios
El usuario te está autorizando manejar sus datos expresamente para que realices esas actividades, por lo que deben incluirse todas.
Recuerda que las Políticas no solo le aplican a los clientes y proveedores también le aplican a los empleados y accionistas, por lo que puedes incluir las finalidades que le aplican a ellos.
3. Peticiones, Quejas y Recursos (PQR):
Se debe incluir los datos de contacto de tu empresa para que en caso que los usuarios quieran colocar una queja, hacer un reclamo o tengan una petición conozcan donde escribirte o llamarte. Este es uno de los puntos en los que la Superintendencia de Industria y Comercio, pues cuando un usuario los contacta, es por que ya paso el primer canal de contactar directamente a tu empresa.
Adicionalmente en este apartado debes colocar el link de la superintendencia para informarle al cliente que también tiene ese recurso de acceder a la Superintendencia. Te comparto el link para que lo puedas incluir en tus Políticas de Tratamiento de Información
Enlace https://www.sic.gov.co/sobre-la-proteccion-de-datos-personales
Muchas empresas han sido multadas por su descuido al no atender las quejas o reclamos de sus usuarios, te recomendamos tener los procesos correctos para responder en el tiempo adecuado y lo más importante atender cuando el cliente o usuario quiere des-incribirse de tu base de datos, que efectivamente se realice la desincripción.
4. Derechos de los Usuarios
Los Usuarios tienen derecho a que tu como empresa cumplas con ciertos lineamientos para que sus datos estén bien custodiados y sean utilizados de la mejor manera. Los lineamientos son los siguientes:
a. Tener copia de la expresa autorización por parte del usuario para el manejo de los datos
b. Custodiar adecuadamente los datos en un lugar seguro. Este punto incluye colocar una cláusula en los contratos con los empleados y contratistas para que ellos no puedan usar, compartir, o entregar la información de tu base de datos a otras empresas.
c. Garantizar que la información recogida del usuario esta completa, actualizada y clara.
d. Publicar las políticas en tu página web de manera clara.
Porqué es importante el tipo de dato que recoges
Los datos que se reciben de los clientes o proveedores tienen diferente tipo y de acuerdo al tipo debes tratarlos de manera diferente. Antes miremos cuales son los diferentes tipos
- Dato Privado: Es un dato reservado de carácter íntimo y solo es importante para el titular
- Dato Semiprivado: Es un dato que no es de conocimiento público, tampoco es de carácter intimo pero su divulgación le interesa a un sector especial. Un ejemplo muy común son los datos financieros o crediticios.
- Dato Público: Es un dato que ya se encuentra en el publico, es decir, ya esta publicado en redes sociales o en documentos públicos (notarias, cámara de comercio, etc).
- Datos Sensibles: Son los datos que afectan la intimidad de las personas y pueden ser usados para discriminar. Son por ejemplo la raza, orientación política, religión entre otros. Estos datos no pueden ser tratados excepto en los siguientes casos:a. Expresa autorización del titular de los datosb. Para salvaguardar el interes vital de la persona como su saludc. En el evento de un caso judicial o proceso legald. Con fines estadisticos o cientificos
Si recoges Datos Sensibles tienes que tener cuidado como los vas a manejar y requieres de una autorización especial. Si son Datos Públicos no es necesario tener autorización y si son Datos Privados siempre requieres de autorización para su tratamiento.
Qué pasa con los datos de personas de otros países ?
Si en tu emprendimiento estás recogiendo datos de tus clientes que se encuentran en Europa o Estados Unidos debes ajustar las Políticas de Tratamiento de Datos Personales.
Europa
Si tienes clientes en Europa y ellos te están dejando sus datos debes adaptar tus políticas de tratamiento de información al General Data Protection Regulation (GDPR). El GDPR es un reglamento del Parlamento Europeo que busca unificar las reglas sobre el manejo de datos de los individuos dentro de la unión europea y tiene algunos aspectos adicionales a las normas colombianas, como son: los procesos de manejo de información, responsabilidad del manejo de los datos con proveedores, procesos de custodia y seguridad, nombramiento de un Delegado de Protección de Datos, entre otros.
Te dejamos un link donde puedes conocer más del GDPR https://ec.europa.eu/info/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules/eu-data-protection-rules_en
Estados Unidos
A diferencia de Europa las normas son más laxas, cada estado tiene sus propias normas. A causa del GDPR muchos estados han cambiado sus normas, por ejemplo California, adopto el California Consumer Privacy Act (CCPA) en el que estableció unas reglas muy similares a las del GDPR, por lo cual si tu empresa cumple con el GDPR está muy cerca de estar cumpliendo con los parámetros del CCPA.
Anteriormente la transferencia de datos entre USA y EU estaba regulada por un tratado que se llama Privacy Shield, esté ofrecía que las empresa cumplieran con los lineamientos y se auto-certificarán. Hoy con el tema del GDPR paso a un segundo plano. Sin embargo, tenerlo le da más confianza a los clientes al momento de tratar sus datos.
Si manejas datos de personas europeas o americanas te recomiendo que revises el tema con detalle, pues hoy los datos son muy valiosos y tu empresa debe estar listo para manejarlos. Lo más importante revisa la regulación del GDPR e inclúyela en tu empresa lo antes posibles.
Esperamos que esta información haya sido de gran ayuda.
