Por Lucía Camacho
No fueron uno, ni fueron dos los meses que una persona tuvo que esperar para que Rappi atendiera su petición para que borraran su información personal, fueron en total ¡22 meses y medio!, casi dos años para que dejaran al fin de enviarle molestos SMS a su teléfono celular. De esto se trata el reciente fallo de la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) contra Rappi por indebido tratamiento de datos personales. Pero vamos por partes porque el caso dejó en claro cosas importantes que nos interesa resaltar.
La primera decisión de la SIC sobre este caso fue en abril de 2019 mediante la Resolución N. 9800 que fue apelada por Rappi. El sentido de la apelación se anunció mediante Resolución 74828 del 17 de diciembre de 2019 siendo publicado su texto recientemente. Ambas decisiones sostienen lo mismo pues la de diciembre confirma lo dicho en abril ¿cuáles fueron entonces los puntos de controversia más valiosos?
Los aspectos centrales de la decisión de la SIC que se mantuvieron iguales en segunda instancia, giraron en torno a dos aspectos claves, el primero relacionado con el consentimiento informado y el segundo tiene que ver con las listas negras de Rappi.
Consentir al tratamiento de datos no equivale a un ✓ a los TyC
Sobre este aspecto, la SIC dejó claro que cuando la persona usuaria acepta los términos y condiciones de uso de una plataforma web no puede no puede entenderse, de ninguna manera, que esa es una forma de consentir al tratamiento de los datos personales.
En el caso que comentamos, advirtió la SIC que Rappi tenía el deber de solicitar la autorización expresa de la persona usuaria de su app para dar tratamiento a sus datos, debiendo cumplir con los requisitos de ley esto es, informar de manera previa y expresa sobre qué datos se recopilan, con qué finalidad, cuál será su uso, por cuánto tiempo se hará el almacenamiento, entre otros.
Señaló la SIC que, para obtener el consentimiento Rappi, empresa responsable del tratamiento de los datos, debe conservar registro de la autorización. Adicionalmente con el fin de evitar suplantaciones está obligada a incorporar un mecanismo para autenticar la identidad de la persona que quiere hacer uso de la app. Es decir, debe buscar una forma de asegurarse de que quien hace el procedimiento es quién dice ser. Rappi en su app, no solo mezcla la solicitud de consentimiento con el genérico “Acepto los Términos y Condiciones de Uso”, sino que no pudo probar la existencia del consentimiento de la persona usuaria como tampoco tenía un mecanismo para comprobar que esa persona era quien dice ser.
La SIC también llamó la atención sobre la forma artificial en que se obtiene el consentimiento informado incluso para otros usos en las aplicaciones como la de Rappi. La SIC indica que la persona que usa la app debe poder consentir expresamente por cada uso. Por ejemplo se le debe consultar por aparte si quiere que le llegue publicidad sobre ofertas o no, así como si desea que sus datos sean o no compartidos con terceros distintos a Rappi, entre otros. La persona usuaria de la app debe poder consentir de manera separada a cada una de estas acciones que también son formas de tratamiento de su información personal, y que no sean acciones que lleva a cabo la empresa a partir de un mero ✓ a los TyC
Una solicitud de supresión debe responderse en forma y tiempo
En su propia defensa Rappi se excusó por los 22 meses y medio que se tomó para responder la solicitud de supresión de los datos de quien se quejó ante la SIC, dijo que, aún cuando lo hizo de manera tardía, sí los había borrado, y que al hacerlo había cumplido con la ley. Al final la norma no fija plazos para atender solicitudes de este tipo, señaló Rappi.
Fue también oportuno que la SIC aclarara el alcance de esta obligación. Según esta autoridad, la ley exige que las solicitudes de supresión o de cualquier tipo que haga la persona titular con relación a sus datos deben ser atendidas en “tiempo y forma oportunas”. Por tanto, 22 meses y medio son una dilación obvia, injustificada y excesiva para la atención a un pedido de supresión de información.
Pero aquí no termina todo, cuando la SIC evalúa las pruebas con las que Rappi quiere dejar constancia de que sí había cumplido con la supresión, la delegatura de protección de datos se da cuenta que la empresa unicornio: no solo no había borrado la información de la persona usuaria, sino que ¡la había puesto en una lista negra!
La SIC llama la atención a la empresa por esta gravísima conducta. Afirma que las listas negras son formas abusivas que disfrazar la supresión de la información, y que estos listados tienen el potencial de ser usados con fines discriminatorios en contra de las personas. La SIC remata “el tratamiento no hace al responsable dueño de los datos”, no por administrar la información personal de sus clientes Rappi puede conservarlos y tratarlos a su gusto y antojo, debe limitarse a los términos de la autorización que prestan al respecto sus clientes. Bien por la SIC.
Todo bien con la SIC y su decisión pero…
La SIC hizo un trabajo juicioso en este caso contra Rappi, cómo dudarlo, pero tuvo un descuido relacionado con la anonimización de la información de la persona que se quejó contra Rappi. En el expediente se nota el esfuerzo en mantener el anonimato de la persona quejosa, y lo merece en respeto a su intimidad, pero falló en dos ocasiones. La primera al dejar expuesto el teléfono celular de la persona y la segunda cuando su nombre aparece en una de las pruebas que figuran en la resolución. El diablo está en los detalles, y la anonimización requiere prestar atención de cerca a información de este tipo, pues con el teléfono celular -incluso si no hubiese aparecido el nombre- se pueden emprender búsquedas en bases de datos que permiten identificar a la persona titular de la línea. Este es un aspecto que la SIC deberá cuidar más a futuro.
Conclusión
Las fallas evidenciadas por la SIC dieron lugar a una millonaria multa a la empresa unicornio equivalente a 298 millones de pesos. La razón del monto se debió en un dato nada despreciable que está en el expediente: la graduación del dinero debe ser proporcional a la cantidad de personas cuya información personal la aplicación de mensajería administra y que supera el millón de personas a nivel nacional.
Finalmente, valoramos positivamente que la SIC hiciera el esfuerzo por manejar un lenguaje sencillo en ambas resoluciones. Esto permitirá a cualquier persona preocupada en sus datos, entender el contenido de las mismas sin tener que consultar a un diccionario cada dos por tres.