Por Jimena Pérez Devoto, Asociada del Estudio Payet, Rey, Cauvi, Pérez Abogados
Experta Certificada en Protección de Datos por el Institute of Audit & IT-Governance.
El contexto actual de emergencia sanitaria y aislamiento social ha reducido radicalmente nuestros espacios, generando un crecimiento exponencial del universo digital. Con ello, el comercio electrónico ha significado una potente herramienta para el resurgir de las empresas en esta crisis.
A pesar de que en nuestro país la mayoría de los comercios ya contaba con canales digitales para ofrecer sus productos y/o servicios, lo cierto es que estos eran claramente residuales, pues no se explotaban como los canales presenciales, en lo que a marketing comercial se refiere (por ejemplo, estrategias de marketing visual, empaque de productos, posicionamiento de tiendas, anuncios, entre otras). La digitalización implica hoy un reto para todo aquel que quiera promover sus productos y/o servicios de manera virtual.
La analítica de datos es una de las acciones de marketing digital más utilizada actualmente. Esta sirve para diversos propósitos; sin embargo, para los efectos de este artículo nos centraremos en los dos (2) más populares y su vinculación con la normativa de protección de datos personales peruana: (i) el perfilamiento de patrones generales de consumo; y, (ii) el perfilamiento dirigido y personal del consumidor.
Por un lado, el perfilamiento de patrones generales de consumo permite conocer tendencias en las preferencias de los consumidores, en base a distintos eventos. Así, será más sencillo saber qué, cuándo y cómo ofertar un producto y/o servicio. Esta práctica se viene realizando desde hace mucho, aún en los canales presenciales. A modo de ejemplo, a efectos de entender los hábitos de consumo de sus clientes, Walmart analizó las compras realizadas de manera previa a una situación de alarma de huracán, determinando que los productos más adquiridos eran la cerveza y los dulces de fresa denominados “Pop Tarts”. Esta información, evidentemente, cuenta con un alto valor comercial para la cadena de supermercados, quien antes de una alerta de huracán sabrá de qué productos abastecerse y generar más ventas.[1]
Pero esta práctica se fue sofisticando con el tiempo, volviéndose cada vez más personalizada. Ello sucedió, por ejemplo, con los parques temáticos como Disney, quienes empezaron a utilizar una tecnología de pulseras con radiofrecuencia en sus clientes -mayormente público infantil-, recogiendo datos como nombres, apellidos, edad, tarjeta de crédito de los padres, entre otros. Así, el personal de Disney obtenía información sobre qué atracciones son preferidas por qué tipo de público, lo cual le permitía modernizar el parque, aliviando, por ejemplo, los flujos de cola, entre otros.[2]
Ahora bien, en un contexto de transacciones digitales será mucho más sencillo conseguir información de los clientes para perfilar los hábitos de consumo en base a una segmentación general del público consumidor.
Por otro lado, el perfilamiento dirigido y personal del consumidor permite conocer los hábitos específicos de consumo de un determinado individuo, a efectos de -entre otros- poder ofrecerle aquellos productos y/o servicios que sean de su especial interés. Ello es lo que sucede en los canales digitales con el uso de cookies, archivos de texto mediante los cuales, por ejemplo, se recoge información sobre las páginas web visitadas por un usuario específico, con el objeto de mostrarle en el futuro publicidad relacionada a las búsquedas realizadas por aquel.[3] Así, si alguien suele buscar ropa de bebé en Internet, probablemente en el futuro visualice anuncios virtuales relacionados a productos infantiles, mientras que alguien que busque viajes será perfilado como un potencial cliente de hoteles y/o vuelos, por lo que esta será la publicidad que visualizará.[4]
Sin embargo, también se puede dar este tipo de perfilamiento a través de un análisis de las transacciones que realice un individuo en específico en una tienda virtual. En efecto, si una persona compra cada semana una botella de vino, se le podrá incluir como cliente habitual de este tipo de productos, pudiendo realizar publicidad específica al respecto (por ejemplo, invitaciones personalizadas para comprar vino).
Es fácil advertir que la analítica de datos trae consigo muchos beneficios para las empresas, otorgándoles altas ventajas competitivas en el mercado. Sin embargo, ¿puede la información de un usuario ser utilizada libremente y sin reparos? ¿existen obligaciones legales que se deben cumplir en relación con la analítica de datos?
En efecto, la normativa peruana de protección de datos personales[5] pone un límite al uso de la información recabada de los consumidores: la transgresión de la esfera privada del individuo.
Así, cuando una empresa trate información de una persona, que pueda ser identificada a través de medios razonablemente utilizados, deberá adecuarse a la normativa de protección de datos personales peruana.
Por ejemplo, se deberá requerir el consentimiento del usuario para el uso de cookies que permitan su identificación. También se deberá recabar el consentimiento del usuario cuando la empresa utilice la información transaccional de este para el perfilamiento dirigido y personal de este (como señalamos anteriormente, incluir al cliente que compra vinos cada semana en el grupo de clientes habituales de bebidas alcohólicas). Nótese que el consentimiento debe ser libre,[6] característica que podrá ser cumplida -en el mundo digital- a través de la inclusión de casilleros de autorización (checkboxes) independientes.[7]
Ahora bien, en relación con el consentimiento del usuario, existen ciertas excepciones, siendo una de ellas que la información se encuentre anonimizada,[8] esto es, que la data no permita identificar a un usuario en específico (por ejemplo, al segmentar a un determinado público y sus preferencias). Este podría ser el caso del perfilamiento de patrones generales de consumo.
Lo señalado anteriormente es sin perjuicio de que la empresa que trata datos personales deba cumplir con el resto de las obligaciones que impone la normativa de protección de datos personales peruana (registro de banco de datos, deber de informar al usuario su política de tratamiento de datos personales, inclusión de medidas de seguridad, entre otros).
En conclusión, a efectos de evitar potenciales contingencias (fiscalizaciones de la Autoridad Nacional de Protección de Datos Personales que pueden derivar en procedimientos sancionadores con multas de hasta las 100 UIT e imposición de medidas correctivas), las empresas que deseen valerse de acciones de marketing digital, como lo es la analítica de datos, deberán evaluar previamente si se encuentran o no tratando información personal de un individuo, con el objeto de adecuarse a la normativa de protección datos personales peruana.
[1] GIL, Elena. Big Data, privacidad y protección de datos. Madrid: Agencia Española de Protección de Datos. 2016. P. 30.
[2] SCHNEIDER, Ben. En Podcast: MBA 360 “La era del data analytics”. Lima: Pacífico Business School. 2019.
[3] Para conseguir este resultado se podría necesitar de la intervención de cookies de navegación y publicitarias, así como de otras tecnologías similares. Hacemos notar que las cookies y tecnologías similares tienen diversas finalidades; sin embargo, para los efectos de este artículo se esta haciendo alusión solo a una de estas tantas.
[4] ZUIDERVEEN BORGESIUS, Frederik. Personal Data Processing for Behavioural Targeting: Which Legal Basis? En: International Data Privacy Law. Reino Unido: Oxford Academic. 2015. P. 164.
[5] Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento aprobado por Decreto Supremo N° 003-2013-JUS.
[6] También deberá ser previo, informado, expreso e inequívoco.
[7] Al respecto, la Autoridad Nacional de Protección de Datos Personales, siguiendo el estándar utilizado a nivel comparado, ha determinado que no se podrán pedir consentimientos en bloque que incluyan diversas finalidades como, por ejemplo, realizar el perfilamiento del cliente, ofrecer publicidad dirigida; y, ejecutar estudios estadísticos.
[8] Ley N° 29733, Ley de Protección de Datos Personales
“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos: (…)
- Cuando se hubiera aplicado un procedimiento de anonimización o disociación.”
Fuente de imagen: Revista Byte TI.
