Datos de usuarios, un activo para vender en tiempos de COVID-19 en México
El año 2020 será recordado como un momento decisivo en la historia de la humanidad que marcó diferencia en el proceder cotidiano y empresarial a consecuencia del coronavirus. Las implicaciones y afectaciones que ha tenido, a nivel global, recaen en distintos ámbitos.
En lo económico, el impacto será significativo, siendo el resultado esperado a causa del prolongado, pero inevitable cierre de actividades in situ de micro, pequeñas, medianas y grandes empresas, solicitado por parte de los gobiernos como medida de seguridad. Ciertamente, la adopción de suspensión de actividades ha funcionado en los cursos de acción emprendidos para la reducción de contagios. Sin embargo, esto repercutirá en compañías que no contaban con la fortaleza suficiente para enfrentar una dificultad de esta índole, pudiendo incluso llegar a un punto de quiebre.
Circunstancias como las que se viven en la actualidad desencadenan innovación, creatividad y adaptación empresarial. Un ejemplo claro de ello es la implementación del e-commerce. Los casos de Amazon, Rappi, entre otras empresas, ilustran cómo el comercio electrónico las ha fortalecido ante este tipo de contingencias. Negocios que aún no estaban preparados para migrar, incluir y/o establecer esa interacción digital, se han visto forzados a hacer un súbito giro hacia el mismo con la esperanza de mantenerse en operaciones durante este periodo. A causa de esta improvisación, el emprender esta alternativa no es necesariamente determinante de éxito. Por lo que no es de sorprenderse que por falta de adaptación, algunas empresas estén declarando su bancarrota y con ello, vendrá la venta de bienes y activos, que muy probablemente incluirán las bases de datos con información de sus clientes.
La consideración de datos como parte de los activos durante la venta de una empresa es una práctica que ha ocurrido en el pasado. En Estados Unidos, el caso más sonado fue la bancarrota de Radio Shack. La compañía trató de vender sus bases de datos como parte de sus activos para poder cubrir la deuda que tenía con sus inversionistas. La razón de indignación en el manejo de los datos de este caso es debido a la existencia de leyes que habían sido creadas para la regularización de estas prácticas en territorio estadounidense. Esta normatividad surgió a raiz de casos previos como Toysmart.com, en el año 2000. Fue la primera vez en la que una entidad federal tuvo que intervenir en el proceso de bancarrota de una empresa.
La situación era muy simple, Toysmart trató de vender los datos de sus consumidores como parte de sus activos a un tercero. Dichos datos incluían nombres, direcciones, compras realizadas, número de hijos, entre otras. Sin embargo, esta actividad iba en contra de la política de privacidad de Toysmart hacia con sus clientes. Particularmente, se establecía en un punto: “No compartir bajo ninguna razón esta información con terceros”. Al final, se llegó a un acuerdo con Toysmart, pero era tan restrictivo que la empresa optó por destruir la información. Dentro de las restricciones que se mencionan, es que los datos solamente podían ser adquiridos por otra empresa con un giro similar.
Es importante analizar el caso, no de la bancarrota, sino de la adquisición de una empresa en situación crítica; lo que le permite tener acceso a los datos recabados hasta ese momento. Un caso muy reciente es la adquisición por parte de Alphabet, compañía madre de Google, a Fitbit, una empresa dedicada al equipo de fitness personal. Una de las principales razones de la adquisición, es el acceso a los datos de todos los usuarios que hasta ese momento tenía Fitbit.
Otro caso muy popular es la compra de Celect, una startup dedicada a la predicción de datos en retail. Nike adquirió a Celect por su portafolio de productos de Data Science, pero tambien por los datos que ellos ya habian acumulado sobre el comportamiento de los consumidores.
En la Unión Europea, existe la “Regulación General de Protección de los Datos (GDPR)”. Dicha normativa entró en vigor en julio de 2018. Cabe mencionar que la nueva normativa actualiza a la antigua publicada en 1995, y surge a partir de la rápida evolución de las empresas tecnológicas y su expansión en el viejo continente. La GDPR establece que se debe hacer un uso adecuado de los datos generados en la Unión y que, en caso de bancarrota, es el usuario quien determina el uso que se le puede dar a su información; además, la ley faculta al usuario de varios derechos con respecto al uso y manejo de su información por parte de las compañias. Un ejemplo de esto es el “derecho a ser olvidado”, algo que no es común en otras regulaciones. Esto significa que el ususario puede solicitar que se elimine todo registro realizado por la compañía con respecto al usuario.
Para el caso de México, es la “Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados” la que protege a los usuarios sobre el manejo de su información para con las empresas. El artículo 14 de esta ley establece las funciones en materia de protección de datos personales, mientras que el artículo 18 determina lo siguiente:
“El responsable podrá tratar datos personales para finalidades distintas a aquellas establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones conferidas en la ley y medie el consentimiento del titular, salvo que sea una persona reportada como desaparecida, en los términos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia”.
Es entonces que se puede asumir que la normatividad en México se encuentra en un mismo contexto que las normativas internacionales. Por lo tanto, es responsabilidad de las empresas darle un correcto uso de los datos de los usuarios; incluso en el supuesto de una venta de activos para solventar un proceso de bancarrota.
Todas estas diferentes normativas han hecho que las empresas ajusten sus políticas de privacidad. Para ello, se espera por parte de las compañias hacer uso de una valoración del impacto sobre la privacidad (PIA, por sus siglas en inglés), la cual permite evaluar los posibles riesgos que surjan durante el manejo de la información. Lo anterior ha generado que muchas veces entren en contradicciones por tratar de cumplir con todos los requisitos internacionales, por lo que no siempre las políticas estarán bien estructuradas.
Es indispensable que los usuarios entiendan bien lo que están aceptando en el momento de firmar la política de privacidad propuesta por la compañía y también los derechos que tienen de acuerdo con las normativas existentes en la región en la que radiquen. Para los mexicanos, es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos de República Mexicana (INAI), la instancia que debe asesorar a los usuarios en cualquier controversia que pudiera sucitarse.
En conclusión, aunque el proceso de bancarrota es una situación compleja de sobrellevar, se puede suponer y se debería asumir que las empresas manejarán con responsabilidad los datos de los usuarios que han generado durante el tiempo que se mantuvieron activas. Las políticas de privacidad son el instrumento, a través del cual se estipula cómo se hará uso de la información y la privacidad que se le dará al usuario.
Las empresas y stakeholders deberán tener ese sentido ético sobre la correcta administración de los datos. La sociedad e instituciones pertinentes tendrán que estar atentos ante cualquier situación presente y/o futura, ya que la tecnología evoluciona a un ritmo acelerado, lo que pudiera crear áreas grises dentro de las actuales regulaciones, las cuales sólo cubren las situaciones que han ocurrido o que los funcionarios pudieron prever.
Referencias:
Brountzas, K. (2018). Data Privacy in Bankruptcy. Thomson Reuters, 107.
Carroll, B. (2002). Price of privacy: Selling consumer databases in bankruptcy. Journal of Interactive Marketing, 16 (3)
Drennan, J. A. (2018). Consumer Data Privacy in Bankruptcy. Baker Donelson, i, 1–24.
Gobierno Federal de la República Mexicana. (2017). Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. In Diario Oficial de la Federación.
Poel, I. Van de, & Royakkers, L. (2011). Ethics, Technology, and Engineering (1st Ed, Vol. 3, Issue 2). Wiley-Blackwell.
Raab, C. D. (2020). Information privacy, impact assessment , and the place of ethics. Computer Law & Security Review: The International Journal of Technology Law and Practice.