Por el licenciado Jean G. Vidal-Font (Ferraiuoli LLC)
Con frecuencia, cualquier comercio que busca estar seriamente competitivo en la economía actual, tiene que por definición tener una estrategia digital, la cual va a recopilar, ya sea directa o a través de terceros, datos personales de usuarios/clientes. Hace apenas cinco años, nadie hubiese culpado a un negocio local por pensar, precisamente, que solo tendría que cumplir con legislación local, pero ya ese no es el caso. Hay que pensar global, o regional.
A modo introductorio, las legislaciones de protección de datos atienden la manera en que terceros (como lo sería el negocio en este ejemplo) recibe, almacena, y usa los datos que obtiene de los usuarios que usan su producto o servicio, que acceden a sus portales de internet, o usan sus plataformas digitales. A modo de ejemplo, cuando un usuario entra a una página de internet para pedir una orden de comida, es probable que dicha página recopilo el nombre del usuario, correo electrónico, dirección física, la dirección de IP, el tipo de computadora o móvil que utilizó para acceder, y dependiendo del lugar, hasta la localización exacta en donde está el usuario por vía del GPS del móvil. Toda esa data (listado el cual no fue taxativo) es data que puede identificar el usuario, o a su vez, ser data que no lo identifica. Los negocios típicamente usan esa data para luego enviar comunicaciones promocionales, dar los servicios, o vender dicha data a terceros a cambio de dinero. Precisamente esto es lo que regulan las legislaciones de protecciones de datos.
Tomando como base la legislación en Puerto Rico, pero igual mirando legislaciones en la Unión Europea, Estados Unidos, y Latino América, el denominador común es que los negocios tienen una obligación en divulgarle al usuario que data está recopilando, para que propósitos, y los obligan a solicitar el consentimiento del usuario. Si bien estamos tentados de pensar que esto es un asunto local, la manera en que tercerizamos muchos servicios hoy día pueden exponer a un negocio local a cumplir con legislación foránea. Por ejemplo, si el negocio local tiene usuarios que acceden desde la Unión Europea, la regulación del GDPR (General Data Protection Regulation) le será de aplicación al negocio a pesar de no tener ventas hacia la Unión Europea. Por otro lado, pudiese ser que los servidores que arrienda el negocio local están localizados en Colombia o México, lo cual pudiese implicar cierto cumplimiento con las legislaciones de dichos países.
Claramente, en la medida de que los negocios activamente cruzan fronteras, así mismo aumentan el cumplimiento legal que tienen que hacer, especialmente con las legislaciones de protecciones de datos. ¿Cómo debe entonces el negocio proceder? Primero, conociéndose a sí mismo. Hoy día, todo negocio debe tener claro que data almacena, donde la almacena, que uso tiene para la misma, que herramientas tiene para borrar, modificar, o acceder récords individuales de usuarios cuya data se almacena, como también que políticas de privacidad tiene publicadas para sus usuarios. Dependiendo de la escala del volumen de negocio en países extranjeros, una consulta con un estudio legal local seria ciertamente más económico que una multa por la correspondiente autoridad fiscal en dicho país por una violación a las leyes de protección de datos aplicable.
Ciertamente, la globalización y la transferencia de negocios hacia la nube ha creado que la data que usamos, recopilamos, y almacenamos exista más allá de la frontera en donde trabaja el negocio. Para mantenerse en la vanguardia, y en el cumplimiento legal, ya es necesario que cuando se piense en las protecciones de datos de los usuarios, pensemos más allá de lo local.
