Datos personales para fines de...

Datos personales para fines de comercio electrónico

04/12/2020

 

Evitar la suplantación de identidad de los consumidores

 

El artículo 50 de la ley 1480 de 2011 (Estatuto del Consumidor) señala lo siguiente: » Sin perjuicio de las demás  obligaciones  establecidas en la presente ley, los proveedores y expendedores ubicados en el territorio nacional que ofrezcan productos utilizando medios electrónicos, deberán:(…). Mantener en mecanismos de soporte duradero la prueba de la relación comercial, en especial de la identidad plena del consumidor, (…) de tal forma que garantice la integridad y autenticidad de la información y que sea verificable por la autoridad competente, por el mismo tiempo que se deben guardar los documentos de comercio. (Destacamos).

Suplantar significa, entre otras, “sustituir ilegalmente a una persona u ocupar su lugar para obtener algún beneficio”. La suplantación de identidad consiste en hacerse pasar por otra persona para diversos propósitos: engañar a terceros, obtener bienes y servicios con cargo a la persona suplantada, incurrir en fraudes y otros tipos de conductas ilícitas. Mediante la suplantación de identidad los impostores obtienen créditos, adquieren productos o servicios en nombre de la persona suplantada y esta última es la afectada porque, en muchos casos, le toca asumir el pago de dichas obligaciones. Con esto, desde la perspectiva del Tratamiento de Datos Personales, se observa que se vulneran, por lo menos y según el caso, los principios de veracidad y seguridad. Se infringe el principio de veracidad porque la información tratada, difundida o reportada sobre una deuda adquirida por un suplantador no es veraz respecto de la persona suplantada, ya que ella no fue quien adquirió dicha obligación.

Esos datos inducen a error porque faltan a la realidad y presentan como obligada o morosa a una persona respecto de una deuda que no adquirió. Recuérdese que el tratamiento de este tipo de datos está proscrito por nuestra regulación. Nótese que tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 expresamente prohíben “el registro y divulgación de datos (…) que induzcan a error” o el “tratamiento de datos (…) que induzcan a error” y que el principio de veracidad o calidad exige que los datos sean, entre otros, comprobables, razón por la cual le corresponde al Responsable demostrar que efectivamente contrató con la persona quien dijo ser y no con un suplantador.

Se desconoce el principio de seguridad porque el suplantador puede incurrir en “consulta, uso o acceso no autorizado o fraudulento” a los datos personales de la persona suplantada, que será el titular del dato afectado. En línea con lo anterior, también se quebranta el principio de circulación restringida porque el suplantador accede a datos personales del titular suplantado sin estar autorizado para ello. En ese sentido, el literal f) del artículo 4 (Principio de acceso y circulación restringida) de la Ley 1581 de 2012 señala que “Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Titulares o terceros autorizados conforme a la presente ley”.

En atención a lo anterior, y con miras a evitar vulneraciones al derecho fundamental de la protección de los datos personales, es crucial que las organizaciones fortalezcan sustancialmente las medidas para establecer la identidad real de las personas en los procesos de contratación, de manera que se pueda comprobar la veracidad de la información sobre su identificación y, al mismo tiempo, impedir situaciones de suplantación de identidad. Todo proyecto de comercio electrónico debe ir acompañado de procesos y mecanismos confiables que den respuesta, entre otras, a las siguientes preguntas:

 

  1. ¿Cómo  tener  certeza  de  que  una  persona  es  quien  dice  ser? (Identidad real de la persona).
  2. Luego de establecida plenamente la identidad de la persona, ¿Cómo identificarla electrónicamente? (identidad virtual o electrónica de la persona).
  3.  ¿Cómo impedir suplantaciones físicas o electrónicas de identidad?
  4. ¿Cómo evitar que una persona manifieste que no fue ella quien envió un mensaje de datos o quien expresó su voluntad a través de medios electrónicos?

 

Como se observa, establecer la real identidad de quienes participan en el comercio electrónico es uno de los retos que las organizaciones deben asumir. La firma es, entre otros, un método de autenticación y de identificación de las personas. Sobre dicho mecanismo en el contexto electrónico resulta apropiado traer a colación ciertos aspectos de un estudio realizado por la ONU sobre el “Fomento de la  confianza en  el comercio electrónico: cuestiones jurídicas de la utilización internacional de métodos de autenticación y firmas     electrónicas” Señala la ONU, entre otros, lo siguiente: Los métodos de autenticación y     firmas     electrónicas pueden clasificarse en tres categorías, a saber: los que se basan en lo que el usuario o el receptor sabe (por ejemplo, contraseñas, números de identificación personal -NIP-), los basados en las características físicas del usuario (por ejemplo, biometría) y los que se fundamentan en la posesión de un objeto por el usuario (por ejemplo, códigos u otra información almacenada en una tarjeta magnética). […] Entre las tecnologías que se usan en la actualidad figuran las firmas digitales en el marco de una infraestructura de clave pública (ICP), dispositivos biométricos, NIP, contraseñas elegidas por el usuario o asignadas, firmas manuscritas escaneadas, firmas realizadas por medio de un lápiz digital y botones de aceptación de tipo ‘sí’ o ‘aceptar’ o ‘acepto’. Las soluciones híbridas basadas en la combinación de distintas tecnologías están adquiriendo una aceptación creciente.” En línea con lo señalado por la ONU, la regulación colombiana prevé varias alternativas de identificación electrónica, las cuales sintetizamos en la gráfica.

La firma electrónica y la firma digital son alternativas de identificación en el contexto digital. La firma electrónica es definida como “métodos tales como, códigos, contraseñas, datos biométricos, o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente”.

La firma digital, por su parte, es “un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.” Todas las anteriores opciones de identificación electrónica son jurídicamente válidas, pero su nivel de confiabilidad dependerá del grado de seguridad de:

(1) Los diferentes mecanismos tecnológicos de identificación electrónica que ofrece el mercado.

(2) Los procesos utilizados para identificar a una persona y evitar, por ejemplo, suplantación de identidad.

(3) Las herramientas tecnológicas utilizadas para establecer que esa persona, y no otra, fue quien accedió a la página web y compró un bien.

Así las cosas, según los riesgos de cada proyecto, le corresponde al empresario implementar la alternativa de identificación electrónica más pertinente y segura para establecer la real identidad de las personas y mitigar las situaciones de suplantación de identidad.

#Compliance, #Risks International S.a.s.

Por: Carlos Alfonso Boshell Norman

No Replies on Datos personales para fines de comercio electrónico

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.