Como lo caracterizó Daniel Bell (1973)1, la humanidad empezó en los años 70s la transición hacia una sociedad de la información. Si las últimas décadas del Siglo XX y las primeras del Siglo XXI marcan la Era de la Información, desde el año 2010 hasta el año en curso dentro de esa Era hemos estado viviendo la Época de la Data Personal, y como dice Guillaume Desjardins (2020)2 los datos personales son la moneda de la Era Digital.
Una de las figuras que ha introducido la masificación del acceso y uso del ecosistema digital como factor natural de la Era de la Información ha sido la Identidad Digital.
De acuerdo a la Real Academia de la Lengua Española “identidad” es un conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás3, de similar forma podríamos hablar de la identidad digital como el conjunto de rasgos digitales propios de un individuo o de una colectividad que los caracterizan frente a los demás.
Quizás de forma más precisa la identidad digital puede ser definida como lo hicieron Sadiku et al (2016) al describirla como “la representación digital de la información sobre una persona, entidad u objeto (...) es el equivalente dentro de una red computacional a la identidad real de una persona o entidad”4, o de forma más técnica como lo hiciera Camp (2014) “en el contexto de un sistema de administración de identidades como el grupo de atributos permanentes o temporales de larga vida asociados a una entidad”5.
La figura de la identidad digital naturalmente ha tenido particular interés para los Estados con el enfoque hacia la creación de identidades digitales nacionales que puedan centralizar la mayoría de los aspectos de la identidad digital de sus ciudadanos para mejorar la calidad de los servicios públicos y reducir tiempos y costos burocráticos. Pero muchas organizaciones del sector privado también han comprendido las oportunidades que brindan el uso de identidades digitales para hacer mejoras sustanciales en sus servicios.
En el caso de la República Dominicana los retos y oportunidades del uso de las identidades digitales aún luce poco comprendido en la mayoría de las organizaciones, incluyendo en el Estado, y por ende estas han sido subutilizadas, de ahí que el enfoque del presente artículo sea mostrar su utilidad como herramienta organizacional y ver algunos de sus usos prácticos y aspectos de naturaleza legal que deben ser considerados.
Identidades Digitales ¿Para qué?
Las organizaciones, indistintamente de su fin o tamaño, son grandes aspiradoras de información. Esta información puede ser de sus clientes, activos, proveedores, acreedores, socios, empleados así como de cualquier persona, entidad u objeto que interactúe con esta. Más aún, esta información puede entrar por una multiplicidad de canales que no necesariamente suelen ser evidentes a primera vista, como pueden ser interacciones presenciales, cartas, correos, llamadas telefónicas, actos de alguacil, videos, audios, de documentaciones de terceros, etc.
El manejo y administración de toda esa información supone un reto para cualquier organización tanto por el impacto que la misma puede tener en la consecución efectiva de su objeto así como sus procesos internos y su administración. Y ahora, en la medida que las realidades de la Época de la Data Personal han empezado a movilizar a los hacedores de normas, la captura, almacenamiento y manejo de algunas informaciones por parte de las organizaciones pueden tener consecuencias legales que deben ser consideradas, en especial cuando estas traten sobre datos de carácter personal.
El trato a la privacidad y el uso de los datos personales ha venido representando un factor de particular atención de legisladores y reguladores alrededor del mundo, lo que unido a la importancia que los titulares de los datos dan a estos, representan un factor de riesgo legal, operacional y reputacional para las organizaciones.
El ejemplo más evidente de este empuje normativo es el Reglamento General de Protección de Datos de las Unión Europea (GDPR)6, que rige el tratamiento de datos personales y la libre circulación de dichos datos de personas físicas que residan en la Unión indistintamente del territorio donde se almacenen, procesen o reciban los datos. Este Reglamento a su vez ha servido de inspiración para legislaciones similares en otros países como la California Consumer Privacy Act del 2018 del Estado de California, Estados Unidos de América7, la reciente modificación a la Ley de Protección de Información Personal del 2020 en Japón8, o la Ley General de Protección de Datos Personales en Brasil9.
En la República Dominicana la protección de los datos y la privacidad de las personas tiene un carácter constitucional, definido en los artículos 44 y 70 de la Constitución, y además se reconoce el derecho a la autodeterminación informativa conforme así ha sido determinado por el Tribunal Constitucional de la República Dominicana10. Adicionalmente, el marco legal que rige la protección de datos personales es la Ley No. 172-13 del 15 de diciembre del 201311 (Ley de Datos Personales), y en el caso del sector financiero se les agregan las disposiciones normativas relativas a la protección de datos personales en el Reglamento de Seguridad Cibernética y de la Información12, este último muy inspirado en los estándares técnicos creados por la GDPR. Al momento de escribirse el presente artículo el Congreso dominicano viene conociendo una propuesta de modificación a la Ley de Protección de Datos13 que en gran medida extiende muchas de las lecciones aprendidas de la GDPR.
En adición a los datos personales, algunas organizaciones deben tener especial consideración a informaciones que puedan estar protegidas por el secreto profesional14 o a la obligación de confidencialidad15 y las consecuencias legales que pudieran derivar del manejo inapropiado de las mismas.
Para mitigar los riesgos asociados a las informaciones captadas y almacenadas por las organizaciones a través de cualquier medio, la adopción y uso de identidades digitales puede ser una herramienta muy valiosa. Esto sin perjuicio de las múltiples ventajas comerciales y organizacionales que pudieran resultar de las acciones necesarias para implementar y dar uso contínuo de las identidades digitales.
Implementando las Identidades Digitales
El primer objetivo de introducir la identidad digital para personas, entidades u objetos que interactúan con una organización es poder centralizar y asociar toda la información que estas capturen, almacenen, procesen, manejen y compartan a una identidad digital individual y única directamente vinculada a cada uno de estos.
La implementación de las identidades digitales para estos fines obligarían a la organización a realizarse múltiples preguntas como, ¿Cuáles informaciones estamos legalmente obligados a preservar?, ¿Cuáles informaciones necesitamos conservar para la consecución de las estrategias organizacionales? y ¿Sobre cuáles informaciones recaen protecciones de carácter legal que debemos considerar?.
Estas primeras preguntas tenderán a auxiliar a una organización para discriminar de cuales de todas las informaciones que capta de manera habitual esta puede prescindir. Esta decisión tendría un impacto instantáneo en los costos de almacenamiento de información en los que ya esta viene incurriendo, al evitar que esta siquiera llegue a la etapa de almacenamiento definiendo su destrucción o exclusión dentro de los procesos de la organización en la captura. Y, más aún, mitiga los riesgos legales alrededor de la captación, almacenamiento y procesamiento de información que esté legalmente protegida pero que la organización no necesita.
Una vez la organización identifica las informaciones que desea conservar esta puede empezar a categorizarla conforme a sus propias necesidades y estrategias, procurando catalogar la información legalmente protegida y definiendo los procesos, perfiles de acceso y políticas para la captura, almacenamiento y procesamiento de esas informaciones.
Adicionalmente, es recomendable que las organizaciones definan políticas de seguridad de la información, niveles de permisos y acceso, tratamiento de secretos comerciales, de privacidad de la información, entre otros aspectos que definan el tratamiento institucional de su información y de las informaciones que capte de terceros.
Las organizaciones, al implementar las identidades digitales deben poder consolidar e individualizar todas las informaciones que tengan de sus clientes, empleados, proveedores, socios, acreedores, objetos y activos para asociarlas a las mismas y que todo tratamiento relativo a estas, incluyendo su archivo físico en los casos que aplique, respondan a los cambios o datos captados o eliminados de las identidades digitales.
Completadas estas recomendaciones la organización puede iniciar la creación de las identidades digitales para clientes, empleados, proveedores, socios, acreedores y activos a los cuales vincular a los registros y archivos de la misma conforme a los parámetros que esta haya definido y atendiendo a sus obligaciones conforme a la Ley de Datos Personales y cualquier obligación legal de resguardo, secreto o confidencialidad de las informaciones.
La gestión de las Identidades Digitales
En la medida que ha venido incrementando el uso de identidades digitales por parte de organizaciones para interactuar con sus distintos stakeholders la gestión de las mismas ha ido adquiriendo cada vez mayor importancia, e implementar las identidades digitales con una visión clara de como estas serán administradas desde el inicio permitirá a la organización aprovechar todos sus beneficios desde el momento de la implementación.
Toda gestión de identidades digitales de personas físicas debe hacerse con consideración al derecho de autodeterminación informativa que el Tribunal Constitucional ha definido como “la facultad que corresponde a toda persona para ejercer un control sobre los datos e informaciones personales que le conciernen y que reposan en registros públicos o privados, pudiendo exigir su rectificación, suspensión, actualización y confidencialidad en los casos que corresponda conforme a la normativa jurídica”16.
En ese sentido toda persona debe poder rectificar, suspender, actualizar o solicitar la confidencialidad de los datos registrados y asociados a su identidad digital, esto sin perjuicio de las informaciones que por razones legales deban ser conservadas por las organizaciones. El acceso a las mismas debe ser seguro e individual, preferiblemente con certificados digitales que garanticen la integridad de las informaciones, y los niveles de acceso y parámetros correctamente definidos.
Esta obligación legal es también una enorme oportunidad que traen las identidades digitales para las organizaciones que tienen la necesidad y habitualmente presentan dificultades para mantener datos e informaciones actualizadas. La identidad digital permite a los individuos auto-gestionar sus datos y asegurarse que estos se encuentren actualizados.
Con ese criterio definido, las organizaciones pueden empezar a definir los usos y criterios bajo los cuales estaría creando las identidades digitales, los mecanismos de autenticación empleados para estas, y ver su implementación en los distintos niveles y respecto de los distintos stakeholders vinculados a la organización.
De cara a empleados y colaboradores la identidad digital permite una mejor gestión del capital humano, mejores controles de accesos y seguridad, así como un mejor monitoreo de todos los indicadores institucionales, esto es así debido a que estas permiten centralizar todas las informaciones en la identidad digital vinculada a un empleado, así mismo estas permiten centralizar el acceso a todas las aplicaciones tecnológicas permitidas al colaborador dentro de la institución a su identidad digital, entre otros beneficios importantes para las organizaciones.
Frente a los proveedores las identidades digitales permiten un manejo más dinámico y fluido de las relaciones con estos, reduciendo costos de debida diligencia contínua, simplificando los procesos internos de compras de bienes y servicios, y facilitando de manera general la gestión de los procesos relacionados a estos.
Pero es en su gestión frente a los clientes donde el uso de las identidades digitales puede agregar su mayor valor ya que estas pueden complementar programas de administración de relación con los clientes o servir de primer paso hacia su implementación permitiendo tener una visión más ampliada del cliente auxiliando a las organizaciones a mejor personalizar sus servicios, administrar los datos que capta de este y mejor documentar sus planes estratégicos.
Conclusión.
El enfoque de las identidades digitales recientemente se ha concentrado en los esfuerzos de los Estados en implementarlas y establecer identidades nacionales digitales que permitan centralizar toda la información de cada uno de los ciudadanos en su documento digital de identidad y que estos puedan acceder a dichas informaciones de forma libre. Es posible que eventualmente tratemos el tema en esta bitácora legal.
Sin embargo, las organizaciones privadas no deben pasar por alto los beneficios de implementar las suyas con todos los stakeholders que interactúan con ellas, con o sin identidades digitales nacionales implementadas desde el Estado.
El uso de identidades digitales no sólo representa un beneficio significativo para las organizaciones para su organización interna, el manejo de sus relaciones con sus clientes, empleados, proveedores, socios, acreedores y activos, y mejor personalizar sus productos y servicios para mejorar la experiencia de sus clientes, sino que adicionalmente son una herramienta valiosa para el cumplimiento de múltiples normativas desde la protección de datos personales, secreto profesional, prevención de lavado, etc.
Aún siendo estas una herramienta, su implementación debe considerar el cumplimiento, por parte de la organización, de la normativa relativa a la captura, almacenamiento y tratamiento de los datos de carácter personal y definir los controles adecuados conforme a los datos que la organización recibe o espera recibir.
Las identidades digitales, resulten estas de una gestión nacional llevada acabo por los Estados o por su uso contínuo y extendido por parte de organizaciones privadas, serán un elemento crucial en la medida que avanza la Era de la Información. El estudio sobre las mismas en los ámbitos tecnológicos, sociales, económicos y legales debe ser más extendido para mejor comprender los retos y oportunidades que están y van seguir presentado en las distintas ramas.
Referencias
1. Bell, D, 1973, The Coming of Post-Industrial Society: A Venture in Social Forecasting (New York, Basic Books)
2. Desjardins, Guillaume, 2020, “Your personal data is the currency of the digital age” (Reino Unido, The Conversation).
3. Real Academia de la Lengua Española.
4. Sadiku, Matthew & Shadare, Adebowale & Musa, Sarhan. (2016). Digital Identity. International Journal of Innovative Science, Engineering & Technology. 3. 2016.
5. Camp, L.. (2004). Digital identity. Technology and Society Magazine, IEEE. 23. 34 - 41. 10.1109/MTAS.2004.1337889.
6. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.
7. California Consumer Privacy Act of 2018.
8. Ley de Protección de la Información Personal de Japón.
9. Ley General de Protección de Datos de Brasil.
10. Tribunal Constitucional de la República Dominicana. Sentencia TC/204/13.
11. Ley Orgánica No. 172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados.
12. Segunda Resolución del 1ro de noviembre del 2018, Junta Monetaria. Reglamento de Seguridad Cibernética y de la Información.
13. Proyecto de Ley que modifica la Ley General de Protección de Datos de la República Dominicana.
14. Código Penal de la República Dominicana. Artículo 377.
15. Ley Monetaria y Financiera No. 183-02 artículo 56 modificado por el artículo 362 de la Ley de Mercado de Valores No. 249-17.
16. Tribunal Constitucional de la República Dominicana. Sentencia TC/0025/18 del 7 de marzo del 2018.
Comments