Datos personales para fines de comercio electrónico
04/12/2020
Evitar la suplantación de identidad de los consumidores
El artículo 50 de la ley 1480 de 2011 (Estatuto del Consumidor) señala lo siguiente: » Sin perjuicio de las demás obligaciones establecidas en la presente ley, los proveedores y expendedores ubicados en el territorio nacional que ofrezcan productos utilizando medios electrónicos, deberán:(…). Mantener en mecanismos de soporte duradero la prueba de la relación comercial, en especial de la identidad plena del consumidor, (…) de tal forma que garantice la integridad y autenticidad de la información y que sea verificable por la autoridad competente, por el mismo tiempo que se deben guardar los documentos de comercio. (Destacamos).
Suplantar significa, entre otras, “sustituir ilegalmente a una persona u ocupar su lugar para obtener algún beneficio”. La suplantación de identidad consiste en hacerse pasar por otra persona para diversos propósitos: engañar a terceros, obtener bienes y servicios con cargo a la persona suplantada, incurrir en fraudes y otros tipos de conductas ilícitas. Mediante la suplantación de identidad los impostores obtienen créditos, adquieren productos o servicios en nombre de la persona suplantada y esta última es la afectada porque, en muchos casos, le toca asumir el pago de dichas obligaciones. Con esto, desde la perspectiva del Tratamiento de Datos Personales, se observa que se vulneran, por lo menos y según el caso, los principios de veracidad y seguridad. Se infringe el principio de veracidad porque la información tratada, difundida o reportada sobre una deuda adquirida por un suplantador no es veraz respecto de la persona suplantada, ya que ella no fue quien adquirió dicha obligación.
Esos datos inducen a error porque faltan a la realidad y presentan como obligada o morosa a una persona respecto de una deuda que no adquirió. Recuérdese que el tratamiento de este tipo de datos está proscrito por nuestra regulación. Nótese que tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 expresamente prohíben “el registro y divulgación de datos (…) que induzcan a error” o el “tratamiento de datos (…) que induzcan a error” y que el principio de veracidad o calidad exige que los datos sean, entre otros, comprobables, razón por la cual le corresponde al Responsable demostrar que efectivamente contrató con la persona quien dijo ser y no con un suplantador.
Se desconoce el principio de seguridad porque el suplantador puede incurrir en “consulta, uso o acceso no autorizado o fraudulento” a los datos personales de la persona suplantada, que será el titular del dato afectado. En línea con lo anterior, también se quebranta el principio de circulación restringida porque el suplantador accede a datos personales del titular suplantado sin estar autorizado para ello. En ese sentido, el literal f) del artículo 4 (Principio de acceso y circulación restringida) de la Ley 1581 de 2012 señala que “Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Titulares o terceros autorizados conforme a la presente ley”.
En atención a lo anterior, y con miras a evitar vulneraciones al derecho fundamental de la protección de los datos personales, es crucial que las organizaciones fortalezcan sustancialmente las medidas para establecer la identidad real de las personas en los procesos de contratación, de manera que se pueda comprobar la veracidad de la información sobre su identificación y, al mismo tiempo, impedir situaciones de suplantación de identidad. Todo proyecto de comercio electrónico debe ir acompañado de procesos y mecanismos confiables que den respuesta, entre otras, a las siguientes preguntas:
- ¿Cómo tener certeza de que una persona es quien dice ser? (Identidad real de la persona).
- Luego de establecida plenamente la identidad de la persona, ¿Cómo identificarla electrónicamente? (identidad virtual o electrónica de la persona).
- ¿Cómo impedir suplantaciones físicas o electrónicas de identidad?
- ¿Cómo evitar que una persona manifieste que no fue ella quien envió un mensaje de datos o quien expresó su voluntad a través de medios electrónicos?
Como se observa, establecer la real identidad de quienes participan en el comercio electrónico es uno de los retos que las organizaciones deben asumir. La firma es, entre otros, un método de autenticación y de identificación de las personas. Sobre dicho mecanismo en el contexto electrónico resulta apropiado traer a colación ciertos aspectos de un estudio realizado por la ONU sobre el “Fomento de la confianza en el comercio electrónico: cuestiones jurídicas de la utilización internacional de métodos de autenticación y firmas electrónicas” Señala la ONU, entre otros, lo siguiente: Los métodos de autenticación y firmas electrónicas pueden clasificarse en tres categorías, a saber: los que se basan en lo que el usuario o el receptor sabe (por ejemplo, contraseñas, números de identificación personal -NIP-), los basados en las características físicas del usuario (por ejemplo, biometría) y los que se fundamentan en la posesión de un objeto por el usuario (por ejemplo, códigos u otra información almacenada en una tarjeta magnética). […] Entre las tecnologías que se usan en la actualidad figuran las firmas digitales en el marco de una infraestructura de clave pública (ICP), dispositivos biométricos, NIP, contraseñas elegidas por el usuario o asignadas, firmas manuscritas escaneadas, firmas realizadas por medio de un lápiz digital y botones de aceptación de tipo ‘sí’ o ‘aceptar’ o ‘acepto’. Las soluciones híbridas basadas en la combinación de distintas tecnologías están adquiriendo una aceptación creciente.” En línea con lo señalado por la ONU, la regulación colombiana prevé varias alternativas de identificación electrónica, las cuales sintetizamos en la gráfica.
La firma electrónica y la firma digital son alternativas de identificación en el contexto digital. La firma electrónica es definida como “métodos tales como, códigos, contraseñas, datos biométricos, o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente”.
La firma digital, por su parte, es “un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.” Todas las anteriores opciones de identificación electrónica son jurídicamente válidas, pero su nivel de confiabilidad dependerá del grado de seguridad de:
(1) Los diferentes mecanismos tecnológicos de identificación electrónica que ofrece el mercado.
(2) Los procesos utilizados para identificar a una persona y evitar, por ejemplo, suplantación de identidad.
(3) Las herramientas tecnológicas utilizadas para establecer que esa persona, y no otra, fue quien accedió a la página web y compró un bien.
Así las cosas, según los riesgos de cada proyecto, le corresponde al empresario implementar la alternativa de identificación electrónica más pertinente y segura para establecer la real identidad de las personas y mitigar las situaciones de suplantación de identidad.
#Compliance, #Risks International S.a.s.
Por: Carlos Alfonso Boshell Norman
Leave a reply