Cuando se habla de la Ley 21.719, muchas conversaciones terminan girando en torno al consentimiento. Pero ¿por qué es tan relevante? y sobre todo ¿cuál es el real desafío para su gestión?
En este artículo compartimos aprendizajes, de lo que hemos experimentado en la práctica.
¿Por qué el consentimiento es tan importante?
La Ley 21.719 establece un principio clave:
Los datos personales solo pueden tratarse de manera lícita, y es el responsable del tratamiento quien debe ser capaz de acreditar esa licitud.
En concreto:
Es ilícito usar datos personales si no puedes demostrar que cuentas con una base de licitud válida para hacerlo.
Una de esas bases —la principal— es el consentimiento. El artículo 12 de la ley lo señala expresamente:
“Es lícito el tratamiento de los datos personales cuando el titular otorgue su consentimiento para ello”, y este consentimiento debe ser libre, informado, específico, previo e inequívoco, con una clara acción afirmativa y previo al tratamiento.
Dicho sin lenguaje legal:
¿Quieres usar datos personales? Indica claramente cuáles usarás, para qué los usarás y pide permiso antes.
Sin trucos, sin casillas pre-marcadas, sin obligar, sin frases genéricas que sirvan “para cualquier cosa” y antes de usarlos.
Un buen ejercicio es pensar en los datos como dinero. Si tienes que gestionar el dinero de otra persona no lo usarías:
- sin su autorización
- para fines distintos a los acordados
- tratando que se equivoque al seleccionar que hacer con él
- para “cualquier cosa”
- sin poder explicar qué hiciste con él y porqué
Esto, que es tan obvio cuando hablamos de otros activos, se nos olvida cuando estamos hablando de datos.
Por ello, el consentimiento se debe gestionar como un proceso integrado dentro del negocio. No es sólo un ámbito legal. Para comprender mejor a que nos referimos, entregamos en este artículo recomendaciones prácticas para que lo puedas llevar a un cumplimiento real (en lo operativo)
Vamos a lo práctico: Quiero comenzar a pedir consentimientos ¿qué debo tener claro?
No todo uso de datos personales requiere consentimiento
Este es el primer error frecuente.
El consentimiento no es la única base de licitud. La ley reconoce otras, como el cumplimiento de una obligación legal, la ejecución de un contrato, la existencia de intereses legítimos (en ciertos casos que sean justificables), entre otros.
Por eso, el primer paso no es “pedir consentimientos para todo”, sino identificar los tratamientos de datos que realiza tu organización, sus finalidades y qué base legal los justifica.
Por ejemplo, no necesitas consentimiento para cumplir obligaciones laborales con tus trabajadores.
De este análisis saldrá un subconjunto de tratamientos que sí requieren consentimiento, y son esos los que debes gestionar.
Define cuáles son las finalidades (propósitos) para el uso de datos personales
Para los tratamientos que sí requieren consentimiento, debes tener identificado ¿Para qué realmente usan esos datos en la organización?
Ejemplos:
- Venta de productos a nuevos clientes
- Perfilamiento para ofertas personalizadas
- Análisis de comportamiento de usuarios para ahorro en gastos de canal
Define y ten muy claro el “listado” de finalidades para tu organización.
Recuerda que las finalidades o propósitos que deben ser específicos. ¿Qué tan específicos?, tiene que atender a la realidad de tu organización, pero procura que el titular realmente entienda para que se usarán sus datos, que además se pueda explicar en simple (recuerda el principio de transparencia). Esto además de cumplimiento genera confianza.
Identifica dónde y cómo capturas los datos
Una vez claras las finalidades, la siguiente pregunta tiene que ver con entender el proceso:
¿En qué canales se capturan estos datos?
Por ejemplo: Sitio web, Call center, WhatsApp, Tiendas físicas, IVRs.
También se debe identificar ¿Qué sistemas tecnológicos usan estos canales?
Estos canales y en particular sus sistemas tecnológicos tendrás que modificarlos para poder incorporar el consentimiento para cumplir con la nueva Ley de protección de datos personales.
Diseña la experiencia de consentimiento por canal
El consentimiento no se captura igual en todos los canales.
No es lo mismo un sitio web, un chat de WhatsApp, una llamada telefónica o un IVR.
Pero en todos los casos debes diseñar la experiencia considerando:
- simplicidad
- claridad y transparencia
- lenguaje adecuado al canal
- coherencia en mensajes entre canales (pensar siempre omnicanal)
- asegurar trazabilidad y almacenar la evidencia del consentimiento
Entonces, en la web puede ser a través de check box, en Whatsapp a través de marcar una opción, en una llamada, mediante la pregunta directa.
El objetivo es que el titular entienda realmente qué está aceptando, sin fricción innecesaria, pero sin ambigüedad y que sea comprobable.
Define tu gestor de consentimientos (o CMP “Consent Management Platform”)
Aquí viene uno de los mayores cambios culturales y de procesos, ahora el consentimiento no es sólo una acción en un check box. El cumplimiento real proviene se lograr que se inserte en los procesos que usan los datos personales. Sólo así se puede lograr un cumplimiento real.
Ahora, antes de usar un dato, debes validar que cuentas con el consentimiento por parte del titular del dato para la finalidad que requieres, que el consentimiento está vigente y es demostrable.
Esto requiere un gestor de consentimientos que como funcionalidades permita (como base):
- registrar el consentimiento por titular y finalidad
- permita revocarlo o modificarlo (es decir, gestione el ciclo de vida)
- pueda ser consultado por los diferentes sistemas antes de usar los datos
- Genere trazabilidad y evidencia demostrable
Para ello, lo puedes desarrollar internamente o emplear una solución ya desarrollada.
Incorpora la gestión del consentimiento en tus procesos
Llegó la hora de la verdad, incorpora en tus procesos la gestión del consentimiento. Para ello, identifica que procesos de negocio capturan datos, cuáles los usan (y para qué) y cuáles podrían modificar los consentimientos. Estos procesos deberán estar integrados con tu gestor de consentimientos.
Pero estas definiciones no son estáticas. Hemos hablado de que el consentimiento no es sólo un check box, debe tener vida. ¿A qué nos referimos con eso? Te explicamos con 5 acciones prácticas que te orientarán en cómo hacerlo:
- Debes cambiar la forma en que usas los datos
Este es, probablemente, el mayor desafío.
Las organizaciones están acostumbradas a preguntar: ¿Tengo el dato? ¿me sirve? ¡Y listo! Lo usan.
Ahora deben sumar una nueva pregunta: ¿Tengo consentimiento para usarlo para este fin específico?
Si no hay consentimiento, no se debe usar. Y esa validación debe ser sistémica y demostrable.
- Cumple lo que dices
Uno de los riesgos más comunes es decir una cosa y hacer otra.
Por ejemplo el titular se opone a que le mandemos comunicaciones comerciales, pero igual lo incluimos en una base para envío de SMS.
Eso es incumplimiento, aunque exista una política de privacidad bonita o un banner de consentimiento.
El consentimiento no es solo informativo, debe ser ejecutable operativamente. Y esto implica alinear a todos dentro de la organización que quieran emplear los datos.
- Gestiona el ciclo de vida del consentimiento
El consentimiento no es estático.
Tiene un ciclo de vida:
- Se otorga
- Se puede modificar
- Se puede revocar
- Puede expirar o dejar de ser válido
Tus procesos y sistemas deben contemplar todo ese ciclo. Un consentimiento que no se gestiona o que no es trazable, no se puede demostrar. Y un consentimiento que no se puede demostrar nos da una falsa sensación de tener el riesgo controlado, y no lo es.
- El consentimiento se debe monitorear continuamente
Un aprendizaje importante es que el consentimiento se debe monitorear en el tiempo.
Recordemos que la ley es nueva: va a tener adecuaciones, o reglamentos, boletines, vamos a tener jurisprudencia. Los sistemas tampoco son estáticos y los usos de los datos son cada vez más dinámicos. Siempre llega alguien con ideas innovadoras y desafía lo existente.
Por eso, la gestión del consentimiento debe ser continua, no un “alcance acotado”. Pero hay que tener en cuenta que las nuevas versiones no deben eliminar lo anterior.
- Incluye la gestión de las listas negras (No Molestar)
La normativa de SERNAC y la plataforma No Molestar, ya el día de hoy nos obligan a manejar listas negras para el envío de comunicaciones comerciales, de todos quienes se han opuesto en los diferentes canales de atención, reclamos o el mismo canal no molestar del SERNAC.
Pero en el futuro estas listas negras deben estar incorporadas dentro del ciclo de vida del consentimiento como oposiciones para finalidades de comunicaciones comerciales (por ejemplo).
Si lo gestionamos como mundos aislados, vamos a estar generando riesgo de incumplimiento de una ley o de otra. Y ambas buscan lo mismo: la declaración del titular es la que manda, y esto sólo se puede manejar con una única fuente de verdad.
El consentimiento es uno de los pilares del cumplimiento de la Ley 21.719 y, al mismo tiempo, uno de los mayores cambios culturales que deberán enfrentar las organizaciones.
Implementarlo correctamente implica:
- dejar de pensar solo en “obtener datos” y que puedo llegar y usarlos
- comenzar a pensar en para qué puedo usarlos, con qué permiso y por cuánto tiempo.
- ser capaces de tener trazabilidad y evidencia de haber cumplido la ley
Las organizaciones que traten el consentimiento como un simple check box pueden caer rápidamente en incumplimientos. En cambio, quienes lo integren como un proceso vivo, conectado a sus sistemas, canales y decisiones de negocio, no solo reducirán riesgos legales, sino que también fortalecerán la confianza con sus clientes, trabajadores y usuarios en general.
Recordemos que usar bien los datos personales hoy es una ventaja competitiva.
