Estrategias de marketing y la nueva Ley de Protección de Datos Personales

Hace dos semanas el Congreso aprobó la nueva Ley de Protección de Datos Personales que regula el tratamiento de esta información. Esta normativa impacta a todas las empresas, sin importar su sector o tamaño, ya que ahora estarán obligadas a realizar ajustes profundos en sus sistemas, procesos y gobernanza interna para cumplir con las nuevas exigencias legales.

El incumplimiento de esta normativa implica severas sanciones que podrían llegar hasta los 1.500 millones de pesos, en casos de infracciones graves. Además del impacto económico, las empresas también se exponen a la pérdida de confianza de los clientes, daños a su reputación y la posibilidad de perder oportunidades de negocio clave. La adaptación temprana a estos nuevos estándares es lo más relevante para evitar estos riesgos. 

Para entender cómo esto afectará en las estrategias de marketing y marketing digital, conversamos con Raúl Arrieta, abogado experto en telecomunicaciones, protección de datos y ciberseguridad. 

¿Cuál es el cambio más significativo que introduce esta nueva ley en comparación con la regulación anterior sobre la protección de datos personales?

La nueva ley trae muchos cambios sustantivos, pero diría que lo más impactante es la creación de un catálogo de sanciones y la formación de una autoridad fiscalizadora. Hasta ahora, en Chile estábamos acostumbrados a tratar mal los datos personales, sin muchas consecuencias. Reclamar por temas de datos personales era costoso, y la gente no solía hacerlo porque era un proceso complicado.

Ahora, con la nueva agencia de protección de datos, el costo de reclamar será mínimo, probablemente solo meterse al sitio web de la agencia y presentar el reclamo. Este proceso activará el aparato administrativo del Estado para perseguir a los infractores. Esto va a generar un cambio importante en cómo las empresas tratan los datos personales.

Además, cumplir con esta regulación no será solo una obligación legal; las empresas pueden verlo como una oportunidad. Proteger los datos personales es un derecho fundamental, y aquellas empresas que tomen la decisión de ser buenos ciudadanos corporativos, poniendo los derechos de los titulares de datos en el centro de su estrategia, podrán mejorar la confianza y lealtad de sus clientes. 

¿Cómo afectará esta ley a la recolección y uso de datos de fuentes de terceros, como redes sociales y/o plataformas digitales que las empresas de marketing suelen utilizar?

Va a impactar significativamente, especialmente porque con esta ley se eliminan las "fuentes de acceso público" como una justificación para tratar datos sin consentimiento. Hasta ahora, las empresas podían tratar datos sólo porque provenían de fuentes de acceso público, sin necesidad de obtener el consentimiento del titular ni respetar la finalidad para la cual esos datos fueron recopilados. Eso cambia con la nueva ley.

Ahora, las empresas seguirán pudiendo recurrir a fuentes de acceso público, pero necesitarán una fuente de licitud, es decir, un consentimiento libre, informado y específico del titular para poder tratar esos datos. Además, si los datos provienen de terceros, las empresas deberán asegurarse de que esos terceros obtuvieron el consentimiento adecuado para que esos datos sean utilizados con fines promocionales y publicitarios.

Además de esto, la ley establece obligaciones sobre cómo manejar y almacenar los datos, las medidas de seguridad que deben implementarse y los derechos de los titulares, como la transparencia y el acceso a la información sobre el origen de sus datos. 

Lo importante es que las empresas construyan sus estrategias pensando en las personas. La protección de datos personales no es sinónimo de no tratar la información, sino que hacerlo de manera que se respeten los derechos de los usuarios, quienes ahora tendrán el derecho de saber desde dónde se están obteniendo sus datos, para qué están siendo usados, en qué plataformas y por cuánto tiempo. 

Las empresas tendrán que ser más agudas, crear sistemas más inteligentes y afinados a la ley y al modelo de negocio que se busca con el uso de estos datos. Tenemos que entender que por mucho que los datos personales estén públicos, no significa que los podremos tratar si no tengo tu autorización, si no tengo una habilitación legal. No puedo llegar y tratar los datos personales tuyos, por mucho que estén disponibles en cualquier parte.

¿Qué impacto tendrá la ley en el uso de tecnologías como la inteligencia artificial y el machine learning, donde el tratamiento de grandes volúmenes de datos es clave?

La ley permite el tratamiento de grandes volúmenes de datos, hay que tener en cuenta que no todos esos datos son necesariamente datos personales. Esta ley solo aplica a los datos que permiten identificar o individualizar a una persona. Por lo tanto, si la información que se utiliza para entrenar la inteligencia artificial no incluye datos personales, esa parte queda fuera del alcance de la ley.

Sin embargo, cuando se usan datos personales, la ley introduce restricciones que podrían afectar la precisión de los modelos de machine learning, ya que se requerirán medidas más estrictas de control. Las empresas deberán obtener el consentimiento adecuado, cumplir con las limitaciones en la elaboración de perfiles y decisiones automatizadas, y aplicar técnicas de anonimización o seudonimización de los datos.

A medida que las empresas ajusten sus modelos de machine learning para cumplir con la ley, podrán seguir utilizando datos, pero con mayores precauciones y probablemente con una reducción en el volumen de datos personales utilizados. Esto, a su vez, podría abrir oportunidades para desarrollar modelos más éticos y responsables, lo que conversa muy bien con el proyecto de ley que está en conversación que regula el uso de IA para este tipo de estrategias como la segmentación. 

La ley nos da 24 meses para comenzar a adaptar nuestros procesos, si lo hacemos con tiempo, no habrá problemas en adaptar las estrategias y las plataformas que se utilizan. 

Considerando ese plazo, ¿cómo las empresas se deben preparar? 

Lo primero que deben hacer las empresas es diagnosticar su situación actual. Deben revisar la documentación corporativa básica: si tienen políticas de tratamiento de datos y cómo estas se ajustan a la nueva ley. También deben verificar sus políticas de seguridad, lo que dicen sus reglamentos internos, contratos de trabajo y contratos con proveedores.

Después de revisar la documentación, es fundamental identificar los procesos en los que se tratan datos personales y mapear los datos tratados en cada uno de esos procesos. Por ejemplo, en una campaña de marketing, es importante identificar todos los datos personales que se recopilan, como nombres, direcciones, teléfonos y correos electrónicos. A partir de ahí, las empresas deben asegurarse de que están cumpliendo con los principios de tratamiento de datos, como la licitud, la finalidad y la proporcionalidad.

Finalmente, es recomendable construir una matriz de riesgos para identificar los procesos más expuestos y desarrollar un plan de trabajo que les permita cerrar las brechas durante estos 24 meses. Es un proceso largo y complejo, pero si las empresas empiezan ahora, estarán preparadas cuando la ley entre en vigencia. 

Bases de datos y proveedores de servicios

¿Qué cambios deben hacer las empresas en cuanto al almacenamiento de bases de datos y el tiempo de retención de esta información? 

La ley establece que los datos personales sólo pueden ser tratados por el tiempo necesario para cumplir con el propósito para el cual fueron recolectados. Una vez cumplido ese fin, los datos deben ser eliminados, a menos que haya una razón legal para conservarlos más tiempo, como prevenir litigios o hacer valer una defensa.

Sin embargo, es importante que las empresas evalúen si realmente necesitan todos los datos que están almacenando. Mientras más datos personales almacenen, mayor es el riesgo de una sanción en caso de una brecha de seguridad. Por lo tanto, es recomendable que las empresas anonimicen los datos cuando ya no sea necesario identificar a las personas. Esto les permitirá seguir utilizando la información para campañas de marketing, pero sin comprometer la privacidad de los titulares.

¿Cómo deberían actuar las agencias de publicidad cuando son proveedores de instituciones que manejan datos personales?

Las agencias de publicidad deben asegurarse de tener un buen contrato con la institución para la que están trabajando, donde se defina claramente en qué calidad actúa. Por ejemplo, si una institución contrata a una agencia para realizar una campaña de marketing, es esa institución la que debe ser responsable de la calidad de los datos y de tener el consentimiento adecuado para su tratamiento. La agencia, en este caso, estaría actuando por cuenta y riesgo de la institución.

Si un titular de datos presenta un reclamo contra la agencia, la agencia debe remitir ese reclamo al contratante, ya que es esa institución la que debe decidir cómo proceder. Esto también aplica a los trabajadores que manejan datos personales dentro de una empresa; es crucial que las empresas implementen medidas de seguridad adecuadas para evitar el mal manejo de bases de datos.

¿Qué pasa si un colaborador de una empresa maneja los datos personales de forma inadecuada, por ejemplo, enviando la base de datos por correo personal o WhatsApp?

Eso es precisamente lo que las empresas deben evitar implementando políticas de seguridad rigurosas. Las bases de datos son uno de los activos más importantes de una empresa, y deben ser tratadas con las medidas de seguridad adecuadas. Si un trabajador maneja estos datos de manera inapropiada, la empresa está en riesgo de sufrir una filtración de datos, lo que podría resultar en sanciones significativas para la empresa y para el trabajador.

Además, la empresa debe educar a sus colaboradores sobre las consecuencias de manejar incorrectamente los datos personales, tanto desde el punto de vista legal como ético. La formación interna es clave para evitar estos problemas y asegurar que los datos personales se manejen de manera responsable en todo momento.

¿Qué recomendaciones darías a las empresas de marketing digital para que aprovechen esta ley como una oportunidad?

Las empresas deben ver la protección de datos como una oportunidad para mejorar su reputación y construir relaciones de confianza con sus clientes. Lo primero que recomiendo es que establezcan una estructura de gobernanza interna para la protección de datos, designando a una persona o equipo responsable de liderar este proceso a nivel corporativo.

También es crucial que las empresas incorporen la protección de datos en el corazón de su operación diaria, asegurándose de que todos los departamentos, especialmente marketing, estén alineados con las nuevas regulaciones. Es importante entrenar al personal para que reconozcan sus propios derechos y responsabilidades en cuanto al tratamiento de datos, y que sepan cómo actuar ante una posible infracción.

Finalmente, las empresas deben revisar sus contratos con proveedores y clientes para asegurarse de que están cumpliendo con las obligaciones establecidas por la ley. La protección de datos no debe verse como una barrera, sino como un aliado para hacer más y mejores negocios, siempre de una manera ética y respetuosa con los derechos de los usuarios.