Cómo Gestionar las Políticas de Privacidad y la Seguridad de la Empresa

Las políticas de privacidad, por lo general, son usadas en un sitio de internet, es decir en portales digitales. De este modo, los usuarios crean una cuenta, entregando una serie de datos, que pueden ser personales o no. Por lo tanto, la organización dueña de ese sitio de internet procesa, retiene y maneja los datos de los clientes o usuarios.

Las políticas de privacidad son plasmadas en un contrato llamado también póliza de privacidad. Es mediante éstas que la organización promete al usuario mantener y respetar su información personal. Obviamente, estas políticas varían de una organización a otra, por lo que cada una tiene sus particularidades.

Por tanto, el usuario tiene la responsabilidad de leerlas, asegurándose que no contemplen algún privilegio “especial” para la organización. Por ejemplo, que le permita intercambiar su información personal, lo que puede ser considerado como una violación de la privacidad de dicho usuario.

Hoy día, en algunos países, han sido promulgadas leyes específicas para regular el tema relacionado con las políticas de privacidad. Esto es, tanto en el sector privado como en el público. Por ejemplo, en 2006, en Chile, el Ministerio  de Secretaría General de la Presidencia sometió el Proyecto de Reforma y Modernización del Estado. En él se plantea el tema del gobierno electrónico, es decir, las normas para el documento electrónico en los órganos públicos.

Todos los sitios web o servicios que recaben información de los usuarios, necesitan de políticas de privacidad. Adicionalmente, también aquellos que muestren anuncios o hagan seguimiento con datos analíticos. Primeramente, así lo pautan las normativas legales de los países y las prácticas internacionales generalmente aceptadas.

Estas políticas en línea, son necesarias para explicar a los usuarios tres aspectos fundamentales:

• Qué y cuál es la información que se recoge.
• Cómo se reúne o maneja la información.
• Cómo se almacena y protege dicha información.

Una organización necesita de políticas de privacidad si almacena datos de los usuarios para:

• Realizar suscripciones por correo electrónico.
• Determinar sus estadísticas de posicionamiento en la web.
• El registro de un programa de mailing masivo.
• Y para cualquier otro sistema o herramienta que involucre un seguimiento o registro de cada visita.

Tipos de información recogida

Por otra parte, es importante diferenciar los tipos de información que se recoge. De hecho, casi todos los acuerdos hacen la distinción entre la información de identificación personal y los datos no privados. De igual forma, el Instituto Nacional de Normas y Tecnología de los Estados Unidos de Norteamérica, así la clasifica:

1. La información de identificación personal.

Incluye cualquier información que sobre la persona usuaria o cliente guarda una organización, pudiendo utilizarla para rastrear su identidad. Por ejemplo, el nombre, número de seguro social o identificación nacional, lugar y fecha de nacimiento y nombre de soltera. También, se considera cualquier información adicional asociada a la persona, como la referida a asuntos médicos, financieros, educativos y de empleo.

2. Los datos que no son privados.

Se refiere a información que se relaciona a cada persona en particular, perfil o cuenta. Sin embargo, la misma no es suficiente para contactar, localizar o identificar a esa persona a la cual pertenece.

Ejemplos de datos no privados:

• El tipo de navegador.
• Los detalles de plugin del navegador.
• La zona o uso horario.
• La fecha y hora de cada solicitud del visitante. Esto es la entrada y salida de cada una de las páginas web que visita el usuario.
• El idioma preferido.
• El lugar de procedencia
• El tipo de dispositivo usado para acceder al sitio en la web. Por ejemplo, laptop, computadora de escritorio, Tablet o teléfono inteligente.
• El tamaño de la pantalla y la profundidad de color.

No obstante, muchos usuarios desean resguardar estos datos, por lo que utilizan ciertas extensiones del navegador para ocultarlos. Por ejemplo, una red privada virtual (VPN en inglés), para ocultar la zona horaria local y la hora de visita al sitio.

Las organizaciones que recogen información de los usuarios sin detallarles la actividad pueden ser penalizadas por la ley. Igualmente, aunque le haya detallado en las políticas de privacidad, si no cumple los términos, corre el mismo riesgo. También es penalizada si recoge más información que la declarada, o modifica su recolección y/o uso sin haber actualizado la política.

Elementos de las políticas de privacidad

Al momento de redactar estas políticas se recomienda incluir estos puntos:

• Qué información se recoge. Por ejemplo, nombres, estadísticas, emails, números de teléfono, edad, sexo, entre otros.
• Cómo usa la información. Debe dejársele claro al usuario si será utilizada para mejorar la experiencia de compra o navegación, o analizar las estadísticas. Otro ejemplo, para enviar promociones o información personalizada, y otros más.
• Qué es lo que la organización hace con los datos. Por tanto, debe definirse si solamente serán para uso de la organización o si contempla su cesión a terceros.
• Dejar abierta la posibilidad de modificar las políticas de privacidad. Por lo tanto, debe estipularse que podrá hacerse en cualquier momento, avisando previamente en la página principal de la empresa.
• Incluir la política sobre el uso de cookies. Se trata de una galleta informática que envía un sitio web y es almacenada en el navegador del usuario. De esta forma, el sitio web podrá consultar la actividad previa que ha tenido el usuario.
• La forma de contacto con el usuario, usada normalmente para realizar actualizaciones, así como modificar o cancelar sus datos.
• Puede incluirse también cualquier información adicional que sea relevante para proteger y procesar los datos del usuario que son almacenados.

Resumiendo, debe procurarse que las políticas de privacidad sean lo más claras y detalladas a la hora de redactarlas. Por tanto, la información que se ofrezca debe ser comprensible por todos los visitantes del sitio. Esencialmente, porque para poder realizar el seguimiento de sus interacciones en la página web, se necesita de su consentimiento.

Áreas claves de las políticas de privacidad

Para redactar los términos y condiciones de estas políticas se distinguen cuatro áreas que, a su vez, comprenden en conjunto, 23 pasos.

1. La preparación para redactar los términos y condiciones.

1. Comprender los términos y condiciones (TYC). Estos definen cómo serán las interacciones entre el cliente y la empresa. De esta forma, los mismos regirán los derechos y responsabilidades, tanto de la empresa como del cliente.
2. Aprender sobre las áreas básicas abordadas por los TYC. Aunque éstos dependen del tipo de empresa que se trate, existen áreas básicas o comunes a todos. Así se mencionan:

• Los productos y/o servicios.
• Los precios y los pagos.
• Las garantías.
• Las marcas registradas y los derechos de autor.
• La cesación del servicio.
• La legislación que aplique. Debe estipularse qué ley o leyes son las que rigen sobre los términos y condiciones.
• Los cambios en el acuerdo. Es importante aclarar, mediante una cláusula, que la empresa podrá modificar los TYC en el momento que considere conveniente.

3. Hacer una lista de los términos y condiciones que, particularmente, la empresa necesita. Debe quedar claro cuáles son los TYC que aplican específicamente a la empresa y cuáles no.
4. Identificar y revisar los TYC genéricos. Existen plantillas genéricas que pueden ayudar en este sentido. De hecho, algunas de ellas están adaptadas a países específicos.
5. Indagar y revisar los TYC de empresas similares. En particular, cada empresa debe observar los TYC de sus similares. De tal manera que, pueden tomarse algunos términos y condiciones para sus propias políticas de privacidad.

2. La redacción de los términos y condiciones.

6. Consultar las muestras. Al realizar la revisión anterior, si la empresa encuentra una muestra que puede aplicar exactamente, sin duda alguna, podrá usarla totalmente.
7. Definir cuáles son los productos o servicios que la empresa ofrecerá al cliente. Esencialmente, los términos que puedan causar confusión, por ejemplo, el término “bienes” o “servicios. Otro elemento a definir es indicar lo referente a la política sobre devoluciones.
8. Declarar en forma precisa y clara los TYC referidos a la fijación de precios y pagos. Especialmente, tiene que haber una sección que establezca las formas de pago aceptadas y el vencimiento de los mismos. Además, indicar las acciones que se tomarán de no recibirse el pago a tiempo y en el monto correcto. También debe agregarse información acerca de qué incluye el precio y qué no, por ejemplo, tarifas e impuestos.

Adicionalmente, se recomienda dejar claro los términos sobre posibles incrementos. Del mismo modo, la información sobre reembolsos, devoluciones y pérdidas.

9. Dejar en claro las garantías. Los TYC sobre cualquier garantía deben quedar establecidos, incluyendo el lapso de la validez y las condiciones que pueden anularla.
10. Proporcionar avisos o informar sobre derechos de autor. Las empresas para proteger la originalidad de su trabajo, deben informar sobre los respectivos derechos de autor.
11. Ofrecer información suficiente sobre los términos para terminar la relación. A los clientes debe dejársele claro cómo pueden dar por terminada su relación con la organización.
12. Limitar la responsabilidad de la empresa. Con los TYC la empresa puede limitar su responsabilidad ante sus clientes o usuarios. De esta forma, evitará o minimizará los riesgos que pueden resultar en detrimento del negocio.
13. Contratar los servicios de un profesional del derecho para revisar el trabajo realizado. Indudablemente, un abogado es el más indicado para asegurarle al negocio que sus TYC incluyen todo lo necesario para protegerse.

3. La comprensión de requisitos legales para las políticas de privacidad.

14. Primeramente, determinar si la empresa necesita una política de privacidad. Si la empresa recoge información personal de los clientes por cualquier medio, entonces, debe tener unas políticas de privacidad.
15. Entender los tipos de cláusulas de las políticas. Son variadas las cláusulas que incluyen diferentes tipos de estipulaciones. Por ejemplo:

1. Qué o cuál información se recopila.
2. Cómo se usa esa información.
3. Si la información se divulga a otros, indicando a quién.
4. Si la empresa puede cambiar su política a discreción.
5. Estipular sobre los datos registrados. Por ejemplo, notificar qué información está registrada en el navegador del usuario y en el servidor de la empresa.
6. La información de contacto.
7. Información si el servicio se presta a menores.
8. Estipulaciones específicas para empresas prestadoras de salud.

16. Asegurarse no hacer promesas superiores a lo que pueda realizar.
17. Revisar las políticas de otras empresas respetables.

4. La redacción de las políticas de privacidad.

18. Es importante que cada empresa redacte su propia política de privacidad. Sin embargo, puede usar las muestras de otras empresas como guías, destacando las particulares características propias del negocio.
19. Declarar explícitamente la política. Debe explicarse claramente a los clientes cómo llevas el proceso. Básicamente, informar cómo recopilas la información, cómo la administras y cómo la usas.
20. Ofrézcale opciones al cliente. Por ejemplo, que el cliente pueda darse de baja o cancelar alguna suscripción.
21. Asegurar los datos. Principalmente, declarar cómo asegura la empresa los datos de sus clientes.
22. Provea actualizaciones. Los cambios a las políticas de privacidad, además de mencionarlos, deben ser claros y accesibles.
23. Recurrir nuevamente a los servicios de un abogado para revisar todo el trabajo realizado en materia de políticas de privacidad.

Para concluir, vale reiterar que las empresas deben tener cuidado al momento de establecer sus políticas de privacidad. Primeramente, garantizar la seguridad y privacidad de los usuarios o clientes y, en segundo lugar, procurar el respeto a las leyes que las rigen.