“La Superintendencia de Industria y Comercio pudo establecer que esta empresa utiliza ‘cookies’ para recolectar o tratar Datos personales en territorio nacional, por lo que la Ley 1581 de 2012 es aplicable a GOOGLE LLC, pues esta compañía acopia o captura datos personales a través de una herramienta que se instalan en dispositivos móviles y computadores ubicados en Colombia”, explicó la entidad en su comunicado.

También te puede interesar: ¿Por qué es importante el caso de ‘No confianza’ contra Google?

Así mismo, la Superintendencia le exige a Google que debe implementar un mecanismo en el que informe a las personas sobre los datos que recolecta; al igual que procedimiento apropiado para solicitar autorización en línea con el artículo 13 del Decreto 1377 de 2013 sobre el manejo de dichos datos. Este permiso debe contener:

• El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
• El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
• Los derechos que le asisten como titular de su información.
• La identificación, dirección física o electrónica y teléfono del responsable del tratamiento.

Google tendrá que conservar prueba del cumplimiento de lo anterior y cuando se le solicite entregar copia. Además, deberá registrar sus bases de datos en el registro Nacional de Bases de Datos (RNBD), administrado por la Superintendencia de Industria y Comercio.

Finalmente, la Superintendencia le recuerda a Google que el incumplimiento de estas órdenes podría acarrear investigaciones administrativas sancionatorias y multas de hasta 2.000 salarios mínimos legales vigentes.

Imagen: Morning Brew (Vía Unsplash). 

El Banco Falabella deberá pagar una multa de 496 millones de pesos porque se demoró en suprimir los datos de un usuario cuando este solicitó que dejaran de enviarle mensajes con descuentos a su celular. De acuerdo con el comunicado de la SIC, el banco se habría demorado un año y cinco días en hacerlo cuando la norma dice que el plazo es de 15 días.

Rappi deberá pagar la multa y hacer algunos cambios

Por su parte, Rappi deberá responder por una multa de 298 millones de pesos. La SIC asegura que un usuario solicitó que la empresa dejara de usar sus datos y que no le enviará correos electrónicos o mensajes de texto con fines comerciales, pero la plataforma siguió haciéndolo después del requerimiento.

También te puede interesar: Aprende a manejar los datos que los usuarios dejan en tu sitio web. 

“El usuario sí nos dio permiso para usar sus datos; después, nos contactó para que dejáramos de enviarle mensajes, pero nos demoramos en contestarle. No es un caso de mal manejo de datos de nuestros usuarios, estos nos lo tomamos muy enserio”, aseguró Simón Borrero, CEO de Rappi.

Además de la multa, la SIC hizo una serie de requerimientos a Rappi. La empresa tendrá tres meses para hacer los cambios necesarios. Entre ellos:

1. Abstenerse de enviar mensajes de texto, correos electrónicos, realizar llamadas telefónicas o comunicarse por cualquier medio con los titulares de los datos de los cuales no tenga plena prueba de la autorización, previa, expresa e informada para dicho efecto. Además deberán conservar prueba de la autorización.
2. Establecer la identidad plena de los visitantes de su página web o usuarios de sus plataformas cuyos datos son recolectados, usados o tratados.
3.  Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo soliciten. En la plataforma, Rappi tendrá que incluir una herramienta para que los usuarios puedan hacer la solicitud.
4. Implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas y demostrar que realizó una auditoría externa para verificar que todo lo anterior fue acatado.

Imágenes: Archivo ENTER.CO.

En nuestro país contamos con dos leyes que regulan y protegen los datos personales de los ciudadanos. Se trata de la Ley 1266 de 2008 y la Ley 1581 de 2012.

Ley 1581 de 2012

Esta ley aplica para todos los datos que dejas en todo tipo de entidades, excepto las de naturaleza crediticia y/o financiera. Está enfocada en el tratamiento de la información de cualquier operación sobre los datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Así mismo, esta ley prohíbe el tratamiento de datos sensibles, con algunas excepciones. Los datos sensibles son aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación. Por ejemplo,  datos de salud, relativos a la vida sexual, filiación política, etc.

Además, está prohibido el tratamiento de datos personales de niños, niñas y adolescentes. Excepto aquellos que sean de naturaleza pública o cuando el tratamiento respete y responda el interés superior de los menores y asegure el respeto a sus derechos fundamentales.

Sin embargo, el tratamiento de los datos requiere la previa autorización del titular.

El titular puede consultar o presentar reclamos ante el responsable del tratamiento de los datos. En caso de que su solicitud no sea atendida puede recurrir a la Superintendencia de Industria y Comercio (SIC).

Ley 1266 de 2008

Esta ley solo se aplica a los datos personales usados para estudio y otorgamiento de un crédito y para el reporte ante las centrales de riesgo. En este sentido, para reportar datos de una persona ante centrales de riesgo (DataCrédito y Cifin), la fuente (quien ha establecido con el ciudadano la relación crediticia o comercial, por ejemplo una entidad bancaria), debe obtener previamente la autorización expresa del usuario.

En este caso, el derecho del usuario consiste en conocer, actualizar, rectificar y eliminar la información que se han recogido en las bases de datos. Así como como revocar la autorización que otorgó para dicha recolección. Para ello, el titular podrá presentar consultas y reclamos ante las fuentes y los operadores de la información.

En caso de que el reclamo presentado ante la fuente o el operador de la información no sea atendido, el ciudadano puede presentar las quejas ante la Superintendencia de Industria y Comercio (SIC). Allí debe solicitar la modificación, rectificación o eliminación de un determinado dato.

Cabe aclarar que si el usuario ya fue reportado de forma negativa, sus datos permanecerán en la base de datos de las centrales de riesgo. Esto dependerá del tiempo que estuvo en mora.

Imagen: Datos personales (vía Pixabay)

Los boletines informativos a través de mensajes de correo electrónico, más conocidos como newsletter, son una de las formas más tradicionales que han tenido las empresas para contactarse con su audiencia. Desde que nació Internet, se convirtieron en un medio eficaz para llegar, de manera digital, directamente al correo electrónico de las personas.

Y aunque las dinámicas de la Red han cambiado por cuenta de otros espacios como las redes sociales, que permiten otro tipo de interacción con la gente, esto no ha implicado que el newsletter pase a un segundo plano.

De acuerdo con un estudio de la consultora de márketing digital Campaign Monitor, el mercado a través de correo electrónico sigue siendo el rey del mercadeo, con un 4.400% de retorno de inversión (ROI, por su sigla en inglés). Además, los correos electrónicos transaccionales tienen 8 veces más aperturas y clics que cualquier otro tipo de correo y pueden generar 6 veces más ingresos.

Por esa razón, el mismo estudio señala que, en la actualidad, el 82% de las empresas utiliza herramientas de marketing por correo electrónico. No solo porque permiten informar a antiguos y actuales clientes de las novedades de la empresa, sino también porque ayudan a aumentar el tráfico de un sitio web.

Un informe del portal web Statista señala que en países como Reino Unido un 32% de los internautas está suscrito a newsletters de entre 6 y 10 marcas. Esta es una cifra relevante ya que demuestra que los usuarios sí están dispuestos a recibir información por este medio y que muchas empresas están sacando provecho de ello.

Si aún no has considerado los beneficios de un newsletter para tu negocio, estas son algunas razones por las cuales sigue vigente como una herramienta clave y esencial para el crecimiento de las empresas.

Sin embargo, antes de continuar se debe tener en cuenta que según la Ley de Habeas Data, reglamentada con el Decreto 1377 de 2013, quien envíe correos ‘basura’, conocidos como spam, o venda bancos de datos sin la autorización explícita del usuario, puede ser multado hasta con 2.000 SMLMV o su equivalente a $1.180 millones de pesos.

Eso indica que no se puede enviar ningún contenido comercial sin tener autorización por parte de los usuarios. Ahora este es quien elige qué mensajes le llegan y tiene toda la potestad para controlar quién utiliza su información personal, por lo que debe construir su base de datos con autorización previa e informada del titular para el uso de la información.

A continuación, por estas razones el newsletter es un gran aliado para las empresas:

1. Con un boletín informativo las empresas establecen conexión y crean una relación con los clientes. Así, estos tienen la imagen de la empresa que se quiere proyectar.

2. La empresa, al estar en contacto regularmente con sus clientes, los mantiene actualizados sobre los nuevos servicios y productos que ofrece. Según Entrepreneur, a las personas les gusta estar informadas sobre lo que un negocio hace y su capacidad para hacerlo. Esta es una gran ventaja en contraste con las personas que acuden a través de la publicidad.

3. Muchas empresas escriben en los boletines sobre las tendencias de la industria y otros temas que contribuyen a mostrar su trabajo. Es posible que muchos aún no sepan que un negocio que existe o que necesitan de sus servicios.

4. El newsletter permite posicionar a la empresa como un experto al que acude un cliente en busca de asistencia y servicio.

5. El newsletter dirige el tráfico al sitio web. Clikitmedia aclara que el contenido de estos mensajes se puede reutilizar como información en el sitio web, lo que genera tráfico adicional desde los motores de búsqueda y las redes sociales.

6. Las personas que usan los servicios o compran los productos una vez vuelven a comprar cuando están listos. Un boletín de noticias es una excelente manera de mantenerse en contacto con ellos hasta que lo estén. Un informe de Monetate dice que el 4,24% de los visitantes que llegan de estrategias de marketing por correo electrónico compran algo en comparación con el 2,49% de los visitantes de los motores de búsqueda y el 0,59% de las redes sociales.

7. Los boletines informativos se personalizan para incluir eventos e incluir noticias de importancia. Se incluye información muy específica y personalizada sobre los productos y servicios, sin que sea demasiado insistente o comercial. Aberdeen afirma que los mensajes de correo electrónico personalizados mejoran las tasas de clics en un promedio del 14% y las conversiones en un 10%.

8. Los boletines tienen un valor de aprobación. Un buen boletín será compartido con un promedio de otras 3 personas.

Tipos de newsletter que puedes considerar

– Promocionales. Son utilizados con frecuencia por las empresas para promocionar un producto o servicio. También son conocidos como boletines de márketing; generalmente se envían a clientes actuales o potenciales de forma gratuita con la intención de convertirlos en clientes habituales.

– Sociales. Estos se centran en los intereses compartidos de la audiencia. Pueden ser boletines de clubes, boletines para empleados, boletines de iglesias, boletines para exmiembros de alguna organización, entre otros. Normalmente, se distribuyen sin costo alguno, aunque algunas organizaciones pueden enviarlos solo a miembros pagos.

– Expertos. Por lo general, se centran en un tema específico y el destinatario es alguien que ha solicitado específicamente la información que se distribuye en el boletín. Además, está dispuesto a pagar por la información.

Imagen: Pixabay.

Lleva tu negocio a internet es una categoría especial en alianza con .CO Internet. El dominio .CO es un patrimonio de todos los colombianos que se ha posicionado como los dominios más importantes a nivel global.

Si tu negocio cuenta con un sitio web en el que recoges datos personales de tus usuarios, ya sea direcciones de correo electrónico, teléfonos o nombres, tienes el deber legal de cuidar esa información que hace parte de la vida privada de los usuarios.

Esto es importante pues, en muchas ocasiones, las personas no saben o no tienen claro que están dando a terceros su información e incluso otorgando el consentimiento para tratarlos o cederlos. Para que esto no resulte en un problema para tu empresa, es mejor aprender a manejar el tema.

Por ejemplo, las empresas no pueden publicar fotografías sin autorización del titular, ni hacer publicar listas de personas o tener un formulario de contacto sin autorización para el tratamiento de datos personales. Así mismo, siempre deben explicar con qué fines van a usar la información y respetar ese compromiso.

Debes tener en cuenta que todo esto se enmarca dentro de una ley colombiana llamada ‘Ley de Habeas Data’, que establece que los usuarios tienen derecho a conocer y obtener de forma gratuita información sobre sus datos de carácter personal que se vayan a tratar por la web. La misma ley les da a los usuarios la posibilidad de corregir o modificar los datos que consideren erróneos, inexactos o
incompletos. También pueden suprimir los datos que resulten ser inadecuados o excesivos y pueden oponerse a que se lleve a cabo el tratamiento mismo de los datos.

El uso de información personal puede hacerse siempre y cuando exista autorización expresa por parte del titular del dato. Esto implica comunicar a los visitantes del sitio sobre la recolección de información, idealmente a través de una política de privacidad que les permita entender bien qué datos se recogen y con qué propósito.

Cómo proceder

Las empresas pueden recoger datos de los usuarios o clientes a través de diferentes canales:

– Canales directos: Se refieren a los usuarios que facilitan ellos mismos sus datos a través de formularios o de pestañas insertas en el sitio web.

La forma más común son los formularios. En todos los formularios de la web en los que se recogen datos de carácter personal hay que articular la manera de obtener la aceptación del tratamiento de los datos. Hay varios métodos, como marcar una casilla dentro del formulario con lo cual la persona autoriza al tercero para el manejo de sus datos; también es posible el envío previo de un correo electrónico con un enlace que la persona debe acceder y que le indica a la web que sí acepta las condiciones para el manejo de su información.

– Canales indirectos: Se establecen cuando la empresa, a través de ‘cookies’, recoge información de quienes acceden a su sitio. Las ‘cookies’ o galletas informáticas son información enviada por un sitio web y almacenada en el navegador para que se pueda consultar la actividad previa del usuario. Cuando se empleen en el sitio web es preciso dar aviso mediante un plugin. Es decir, que salte una ventana en la que se avise de la utilización de cookies y su finalidad, con un enlace que redirija a la parte de la política de privacidad que trata esta cuestión.

Imagen: Pixabay, Pixabay

Todas las industrias y sectores fueron analizados. Por ejemplo, por séptimo año consecutivo, el sector salud es al que más le cuesta una violación de datos, aproximadamente 380 dólares por cada récord. Esto desencadena una afectación anual de 9,8 millones de dólares para ese sector, uno de los menos protegidos en los países de América Latina.

El costo es alto

Los incidentes de seguridad generan un costo promedio de 3,62 millones de dólares a nivel mundial (un 10% menos que en 2016). Según el informe, estos incidentes de seguridad han supuesto para las empresas un costo promedio de 141 dólares por registro robado.

En el análisis, IBM Security ha identificado que en los países europeos el gasto total descendió un 26% en el último año. Las empresas europeas operan en un entorno regulatorio más centralizado, lo que facilita el cumplimiento de la norma y requieren menos recursos para ello. Sin embargo, en Estados Unidos, 48 de los 50 estados tienen sus propias leyes que regulan pérdidas de datos, lo cual implica que tengan que responder a una variedad de requerimientos regulatorios. En el informe ‘Cost of Data Breach’ de 2017, los incumplimientos y el tiempo de notificación se encuentran entre las cinco principales causas del aumento del costo de pérdida de datos en Estados Unidos.

En América Latina, la mayoría de los países cuenta con regulaciones (como la Ley de Habeas Data) que obligan a las empresas a proteger la información de sus clientes y el no hacerlo los hace incurrir en penalidades. Cumplir las regulaciones y continuar trabajando en pro de ellas es clave ante la alta probabilidad (de 1 a 4) de que se fuguen los datos personales.

El tiempo es oro a la hora de mitigar incidentes de seguridad

Por tercer año consecutivo, el estudio demuestra que tener un equipo de respuesta a incidentes reduce significativamente el costo de pérdida de datos, lo que supone un ahorro de más de 19 dólares por registro robado o perdido. “La rapidez en identificar y frenar un incidente se debe en gran medida a los miembros de estos equipos de respuesta a Incidentes y su plan de acción, que permiten a las empresas controlar los incidentes de seguridad y mitigar pérdidas posteriores”, comentaron expertos de IBM Security.

El estudio revela también que la velocidad con que una empresa puede contener incidentes relacionados con pérdida de datos tiene un impacto directo en sus consecuencias económicas. El costo de una pérdida de datos ha sido de casi un millón de dólares menos en aquellas empresas que han sido capaces de frenar el incidente en menos de 30 días, en comparación con aquellas organizaciones que tardaron más tiempo.

La rapidez de respuesta será cada vez más importante a medida que se implementan nuevas regulaciones como la nueva norma europea de protección de datos (GDPR por sus siglas en inglés) en mayo de 2018, momento en el cual las empresas que hagan negocios en Europa deberán informar de pérdidas de datos en 72 horas o se enfrentarán a multas de más del 4% de su facturación anual.

Otras conclusiones del estudio

– Salud es el sector con mayor costo por pérdida de datos. Por séptimo año consecutivo, el sector de la salud encabeza la lista de industrias en las que este tipo de incidentes son más costosos. La pérdida de datos médicos supone a las organizaciones 380 dólares por registro, 2,5 veces más que la media global de otros sectores (141 dólares por registro).

– Los ataques por código malicioso y ataques cibercriminales son los más costosos: 47% de las brechas de seguridad son causadas por estos y generan un costo de 156 dólares por registro.

– Principales elementos que reducen el costo de pérdida de datos: la respuesta ante incidentes; el cifrado y la formación son claves a la hora de disminuir los efectos de las pérdidas de datos. Contar con un equipo de respuesta a incidentes supone una rebaja de 19 dólares por registro perdido o robado, seguido de un uso extendido del cifrado de datos (16 dólares menos por registro), así como de medidas formativas para empleados (12,5 dólares menos por registro).

En este enlace encuentras el estudio completo.

Imagen: Pexels