No debe existir peruano que no haya sido víctima de una llamada inesperada de alguna empresa para ofrecerle un producto o servicio. Y las preguntas que siempre quedan en el aire, más allá de la incomodidad, son: ¿cómo obtuvieron el número de celular? y ¿en qué momento les di permiso para llamarme?
Bueno, ya hay certezas de quiénes comparten los datos y cómo lo hacen, sin contar con la aprobación de sus clientes. Empresas como Pacífico Seguros y Beat Perú son dos ejemplos. Así lo deja en claro la Autoridad Nacional de Datos Personales (ANPD), un órgano adscrito al Ministerio de Justicia (Minjus), que fiscaliza el cumplimiento de los alcances de la Ley de Datos Personales desde el 2011.
La ANPD hizo públicas estas medidas el último 13 de julio. A Pacífico le dieron dos multas por un valor total de S/130,725, mientras que a Beat se le impuso una sanción de S/18,225. Sudaca revisó en detalle las sentencias de ambos casos, que no dejan dudas: estas compañías comercializan la información de sus usuarios a terceros con fines publicitarios sin su consentimiento.
Argumentos y apelaciones
La ANPD le saltó al cuello a Pacífico gracias a la información que obtuvo luego de supervisar a otra empresa. En 2018 fiscalizó las actividades de Digitex Perú, una sociedad que realiza actividades de telemarketing –venta por teléfono– para otras compañías.
Dentro de sus clientes se encontraba la aseguradora del grupo Credicorp. Por ese motivo, en 2019 la ANPD inició actividades de fiscalización contra Pacífico para determinar si tenía consentimiento de sus clientes para transferir sus datos personales a Digitex.
Para comprobarlo, la ANPD seleccionó una muestra de 10 clientes de Pacífico. Este “experimento” incluía grabaciones de las llamadas para la venta de planes de seguros. También revisó la política de privacidad que presentaba la empresa en su página web.
Como resultado, el órgano adscrito al Minjus determinó que la aseguradora hacía todo al revés. Primero recopilaba los datos personales y, una vez obtenidos, recién informaba que estos serían compartidos con terceros para fines publicitarios.
“En dichas llamadas se aprecia que la indicación transcrita es presentada luego de haber recopilado los datos personales del receptor de la llamada y que la misma se refiere al tratamiento de datos personales con finalidades publicitarias y de transferencia a otras entidades para tal fin. Sin embargo, no se presenta a los receptores un texto informativo previo y completo”, se lee en la resolución de primera instancia de junio del 2021.
Para defenderse la aseguradora recurrió al banco emblema del grupo empresarial al que pertenece. Pacífico argumentó que sí tenía el consentimiento de sus asegurados, gracias a una cláusula en los contratos firmados con el Banco de Crédito del Perú (BCP).
Sin embargo, esto no convenció a la ANPD porque no extendía la difusión de los datos personales a terceros, como Digitex. Más bien, limitaba “el ámbito de su autorización a la transferencia [de información] a las empresas del grupo Credicorp”.
El organismo fiscalizador aplicó dos multas a Pacífico. La primera, de S/ 90,262.50 por incumplir el artículo 18 de la Ley de Datos Personales que, entre otras cosas, exige que los discursos de venta informen la identidad y domicilio del titular que almacenará los datos obtenidos; y la segunda de S/ 40,462.50 por realizar llamadas publicitarias sin el consentimiento de sus titulares. El total asciende a S/ 130,725.
La aseguradora apeló sin éxito, de acuerdo a la resolución que rechaza su pedido de agosto del año pasado, que este medio revisó.
Como argumentos, Pacífico volvió a insistir en que sí contaban con el consentimiento de sus clientes gracias a los contratos financieros con el BCP. Pero también aplicó otra estrategia: adjuntó información de medidas correctivas adoptadas con el objetivo de reducir su multa. Para ello, presentó cinco actas de constatación notarial de televentas realizadas entre febrero y abril. Con ello, la empresa pretendía demostrar que ya venía corrigiendo sus faltas antes de la resolución de primera instancia.
No obstante, una vez más, esto no convenció a la ANPD porque el timing era engañoso. “Esta situación ya era conocida por la administrada después del inicio del procedimiento administrativo sancionador (PAS), teniendo la posibilidad de presentar dicha documentación de fecha cierta antes de la emisión de la resolución directoral impugnada, a fin de aportar un hecho relevante para variar el sentido de esta dirección”, se lee en el documento que ratifica las sanciones a la aseguradora.
Pacífico recurrió a la segunda instancia con otros argumentos a finales de septiembre del año pasado. Esta vez cuestionó el tiempo que le tomó a la ANPD concretar el PAS. Sin embargo, el organismo ratificó que todos los requisitos y plazos se cumplieron, en virtud a la normativa que se dio durante la emergencia sanitaria.
Además de ratificar todas las sanciones previas, la ANPD le reclamó a la aseguradora que, si bien presentó televentas subsanadas, nunca hizo lo mismo con las diez personas que la ANPD verificó. “La administrada no remitió medios probatorios que acrediten el consentimiento de las personas sobre las cuales se solicitó información en la fiscalización”, dice la resolución que agota la vía administrativa del último 6 de junio.
En respuesta a Sudaca, Pacífico aseguró que “implementaron mejoras en la cláusula de Protección de Datos Personales” que eran de conocimiento para la ANPD y que están “comprometidos en dar tranquilidad” a sus clientes respecto al tratamiento de sus datos. Agregó, asimismo, que ya pagó la multa en su totalidad.
Sin embargo, este no es el único frente donde la aseguradora enfrenta problemas por su servicio. Según el ranking de proveedores sancionados de Indecopi, Pacífico es la compañía de seguros y pensiones que mayor cantidad de UIT ha recibido como multas en su sector económico (215.07). En lo que va de este año ya acumula 12 sanciones, en algunos casos por cobros indebidos en seguros patrimoniales e incluso una por emplear métodos comerciales coercitivos.
‘Checkbox’ engañoso
El caso de la ANPD contra Beat inició antes. En agosto del 2017, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DFI) realizó una visita de fiscalización al local de Miraflores de la empresa para verificar si cumplía con la ley de protección de datos a cabalidad. Ese mismo año el servicio de taxi por aplicativo de origen griego dejó de llamarse Taxibeat, aunque sigue siendo la razón social con la que opera en nuestro país.
Como resultado, casi un año después, en junio del 2018 la ANPD inició un PAS contra Beat por dos razones: usar los datos personales de sus clientes para fines publicitarios sin su aprobación; y por no comunicar el flujo transfronterizo –transferir información personal a un destinatario fuera del Perú– de los datos recopilados a través de formularios en su app. Esta segunda acusación fue desestimada más adelante.
En marzo del 2019 Beat fue sancionada por ambas faltas con 3 UIT. Un mes después la empresa apeló. En mayo, la ANPD declaró el proceso nulo por el vencimiento de los plazos administrativos. Sin embargo, dejó una advertencia en su resolución: “en caso la infracción no haya prescrito, evaluar el inicio de un nuevo PAS”. Y nada cambió desde entonces.
En enero del 2020, menos de un año después, la DFI volvió a solicitar un PAS contra Beat luego de verificar que los datos personales de sus conductores y usuarios estaban siendo utilizados en portales de venta web como juntoz.com.
La imputación no era menor: Beat condicionaba el uso de su servicio a la aceptación de transferir datos personales para fines publicitarios. “A los pasajeros y conductores no se les ofrece la opción de negarse a que se realice tratamiento ajeno a la ejecución de la relación contractual como recibir propaganda propia o de terceros, compartir datos con adquirentes de carteras crediticias, aliados comerciales, entre otros”, acusaba la DFI en la resolución de primera instancia de enero del 2021.
Para defenderse, Beat aseguró que, una vez que los titulares de los datos aceptaban esa transferencia, podían “revocar dicho consentimiento” escribiendo al correo colombiano de la empresa o acercándose a su local en Miraflores. Además que, para permitirlo, los usuarios marcaban un recuadro –conocido como checkbox– que decía explícitamente “autorizo el envío de comunicaciones referidas a promociones” al registrarse en la app.
Esto no convenció a la ANPD que, por lo contrario, fue durísima contra la empresa en su resolución. “Se ha evidenciado beneficio ilícito resultante de la comisión de las infracciones a sancionar” y “no se ha evidenciado la intención de la administrada por adecuar su conducta a la normativa de protección de datos personales” son algunas de las afirmaciones que el organismo utilizó para sancionar finalmente a Beat con 4.5 UIT.
La empresa de taxi por aplicativo apeló en febrero del año pasado utilizando el mismo argumento que usó Pacífico: el PAS había caducado. También reclamaron el aumento de la sanción, que en 2019 fue de 3 UIT, por la misma infracción. Estos argumentos fueron desestimados por la ANPD, que también en este caso dijo que debido a la pandemia se extendieron los plazos.
Sobre el aumento de la sanción, la ANPD no solo destaca la reincidencia de Beat en la falta, sino su poco interés por subsanar la infracción. “No se ha evidenciado la intención de la administrada por adecuar su conducta a la normativa de protección de datos personales, es más, a través del recurso de apelación reafirma sus argumentos referidos a que no es necesario un checkbox para un consentimiento libre”, dice la sentencia que confirma la multa.
En respuesta a Sudaca, la empresa solamente señaló, sin mayor mea culpa: “Queremos comentar que el día 26 de julio de 2022 hemos realizado el pago correspondiente, por lo cual desestimamos continuar con el proceso legalmente”.
A diferencia de Pacífico, Beat registra menos amonestaciones en Indecopi. El ranking de proveedores sancionados marca que solo tiene tres sanciones. Sin embargo, llama la atención que dos de ellas son bastante altas. Ambas se dieron en 2019: la primera es de 83.20 UIT por incumplimiento de servicio y la segunda de 23.80, UIT por falta de idoneidad en transporte de pasajeros. Eso, al valor de ese año, representaba S/ 449,400. Mucho más de lo que abonaron a la ANPD.
Así es cómo ciertas empresas hacen negocio con tus datos. Sin avisarte, condicionando sus servicios y cubriéndose con el grupo empresarial al que pertenecen. Tal vez no sean las únicas. La ANPD tiene procesos abiertos contra otras empresas, como Renzo Costa. Habrá que ver cómo terminan.
**Fotoportada por Darlen Leonardo