Ilustración de personas en tonos azules, representando los titulares de datos detrás de cada relación comercial B2B

Protección de datos en el mundo B2B: más allá del consentimiento

/en , /por

Si su empresa le vende a otras empresas, es probable que cada artículo sobre protección de datos le haya parecido escrito para otra persona. Banners de cookies. Consentimiento explícito. Perfilamiento de millones de consumidores. Menores en plataformas masivas. Usted trabaja con correos corporativos y contrapartes profesionales, y la pregunta es inevitable: ¿qué tiene que ver todo esto conmigo?

Mucho, aunque no por las razones que suelen repetirse. Cuando le escribe a maria.rojas@empresa.cl no le escribe a una empresa: le escribe a María Rojas. La gerenta de finanzas de su cliente, el contador de su proveedor, el ejecutivo que le firmó el último contrato. La Ley 19.628, reformada por la Ley 21.719, no protege empresas: protege los datos de esas personas, también cuando aparecen en un CRM de ventas industriales y no en una app de consumo masivo. Entender ese matiz cambia por completo la forma de cumplir. Y, como veremos, también la recompensa.

El consentimiento no es la puerta de entrada

El primer cambio de mentalidad es dejar de perseguir consentimientos. En las relaciones entre empresas, el consentimiento suele ser la base más frágil de todas: difícil de obtener, fácil de revocar y, en la mayoría de los casos, innecesaria. Un consentimiento arrancado a la fuerza no protege a nadie; sólo produce la ilusión de cumplimiento.

La ley ofrece fuentes de licitud que se ajustan mejor a la realidad profesional. La celebración o ejecución de un contrato cubre buena parte del vínculo con clientes y proveedores. Y para las comunicaciones que nacen de una relación comercial, el interés legítimo del responsable (artículo 13, letra d) es una base más sólida y más honesta. La lógica es simple: existe una expectativa razonable de que un contacto profesional reciba comunicaciones pertinentes a su rol y a su industria. Eso no es una intromisión en su vida privada; es la continuación natural de un diálogo profesional.

Pero el interés legítimo no se declara: se pondera. Antes de usarlo, hágase tres preguntas y deje constancia de las respuestas en una nota interna. Primero, ¿cuál es exactamente mi interés? «Vender más» no sirve; «informar a los clientes de nuestro software de un módulo complementario» sí. Segundo, ¿necesito estos datos para lograrlo? Casi siempre la respuesta es sí, y esa pregunta lo obliga de paso a no recolectar más de lo necesario. Tercero, ¿mi interés prevalece sobre los derechos de esa persona? La ley exige que el tratamiento no afecte sus derechos y libertades, y que usted pueda informarle, cuando lo pida, cuál es el interés en que se apoya. Esa nota de tres párrafos es la diferencia entre una base legal ponderada y una etiqueta puesta a la rápida. Cuando alguien pregunte, y alguien va a preguntar, usted tendrá una respuesta escrita antes que la pregunta.

La ponderación también marca los límites, y conviene conocerlos antes de cruzarlos. Hay terreno firme: el cliente que ya le compró y recibe noticias de productos similares, el ejecutivo que le dejó su tarjeta en una feria y recibe su seguimiento, el contacto que llenó el formulario del sitio y recibe respuesta. En todos esos casos hay una relación o una interacción previa que hace esperable su mensaje. Y hay terreno inviable: la lista de correos comprada a un tercero, donde no existe relación alguna y su mensaje es pura intrusión; el correo del contacto de facturación usado para marketing, porque la expectativa de esa persona era administrativa y usted cambió la finalidad sin avisar; el correo personal de Gmail, porque ahí ya no le escribe al profesional sino al individuo.

La regla de bolsillo: si su mensaje necesita explicar de dónde sacó el contacto, probablemente no debió enviarlo.

La salida visible, el famoso Opt-out

El contrapeso del interés legítimo es el derecho de oposición del artículo 8°: cuando la base es el interés legítimo, la persona puede oponerse en cualquier momento, y si el fin es marketing directo, sin expresión de causa. Esto significa que el botón de «no quiero recibir más correos» no es una cortesía. Es la condición de validez de todo lo anterior. Sin una salida que funcione, su base legal completa se desploma y cada envío pasa a ser ilícito, por pertinente que sea.

Y una salida que funciona tiene tres características verificables. Está en cada envío, visible y en lenguaje directo. Opera sola: un clic y listo, sin pedir que la persona vuelva a escribir su correo ni que inicie sesión para que la dejen de molestar. Y alimenta una lista de exclusión permanente que el sistema consulta antes de cada nuevo envío; esa lista es, además, su prueba de que respetó la voluntad de quien se opuso.

Aquí vive uno de los riesgos más comunes y menos visibles: el vendedor que, para avanzar rápido, manda su propia «newsletter» desde Outlook o una planilla de contactos. Sin opt-out automático, sin lista de exclusión, sin registro. No es iniciativa comercial; es un envío sin base legal operativa, hecho fuera de todo sistema. Si su equipo lo hace, no necesita un castigo: necesita una herramienta oficial y una regla clara.

A nadie le importan sus papeles

Aquí viene la parte incómoda. Cuando un cliente evalúa trabajar con su empresa, no mira el grosor de la carpeta de políticas ni la elegancia del aviso de privacidad. Mide otra cosa: si puede confiarle su información, sus proyectos y los datos de su propia gente, y dormir tranquilo.

Contra esa vara, el cumplimiento de fachada falla dos veces. Documentos redactados para mostrar a un fiscalizador, que se desmoronarían ante el primer control serio, no protegen a las personas. Y tampoco convencen a quien está decidiendo si confía. Proteger datos no es archivar papeles; es conocer y gestionar bien los propios procesos.

Mírelo con el instrumento más básico del sistema, el registro de actividades de tratamiento. Suena a trámite. Es un mapa. Lo obliga a responder preguntas que cualquier buena gestión debería poder contestar de todos modos: qué datos tengo, dónde están, para qué los trato y bajo qué base de licitud, a quién se los comunico, cuánto tiempo los conservo, cómo los protejo. Si su empresa no puede responderlas hoy, el problema no es de cumplimiento. Es de gestión.

Dos advertencias importantes. La primera: la vaguedad delata. Un registro que dice «fines comerciales» como finalidad o «indefinido» como plazo de conservación no demuestra control, demuestra que nadie miró de verdad el proceso. Cada tratamiento necesita su finalidad concreta y cada dato su fecha de salida. La segunda: un registro desactualizado es casi peor que no tener ninguno, porque prueba que el sistema se abandonó. Cada software nuevo que contrata es un destinatario nuevo de datos; si el registro no lo refleja, el documento ya es falso. La solución es de gestión pura: nombre un owner interno, revise el registro cada seis meses y actualícelo cada vez que firme con un proveedor tecnológico o lance una campaña.

Levantar ese mapa, también puede sacar a la luz lo que ningún organigrama muestra: la planilla paralela que alguien exporta del CRM cada lunes, el software que nadie autorizó, el respaldo que vive en el computador de una persona que ya no trabaja en la empresa. El resultado no es sólo un documento para acreditar la licitud del tratamiento. Es una radiografía que mejora la eficiencia y la seguridad de toda la operación.

Un sistema vivo se nota

La ley reformada descansa sobre una idea exigente: no basta con cumplir, hay que poder demostrarlo. Y eso suele entenderse como un estado que se alcanza una vez, cuando en realidad es un proceso que se mantiene.

La prueba de que un sistema está vivo está en sus señales de vida. Las medidas de seguridad existen, funcionan y se pueden acreditar (artículo 14 quinquies). El personal está capacitado, y queda registro de ello. Hay un protocolo para reaccionar ante una vulneración de seguridad y reportarla a la Agencia sin dilaciones indebidas (artículo 14 sexies), y ese protocolo se ha probado, no sólo redactado.

Hay otra señal de vida que pocos miran y que la ley convirtió en reloj: la respuesta a los derechos de las personas. Cuando un titular ejerza su derecho de acceso, rectificación, supresión u oposición, usted deberá acusar recibo y pronunciarse dentro de treinta días corridos, prorrogables por una sola vez (artículo 11). La respuesta va por escrito, usted debe conservar el respaldo de que la envió, y si niega la solicitud tiene que fundarla e informar que la persona puede reclamar ante la Agencia. Treinta días parecen muchos hasta que hay que encontrar los datos de alguien en cuatro sistemas y dos planillas. La empresa que ya levantó su mapa responde en una semana; la que no, descubre en plena cuenta regresiva que no sabe dónde están sus propios datos.

Una advertencia que en B2B se olvida con facilidad: los titulares más cercanos son sus propios trabajadores y colaboradores. Su empresa trata todos los días datos de su gente, y algunos de los más delicados que existen: remuneraciones, evaluaciones de desempeño, licencias médicas que contienen datos de salud, antecedentes de postulantes que nunca contrató. Ahí no hay espacio para bases de licitud creativas; hay un contrato de trabajo, deberes legales y, sobre todo, los mismos derechos de acceso, rectificación, supresión y oposición que asisten a cualquier titular, con el mismo reloj de treinta días que corre igual. Una empresa que exige rigor en los datos de sus clientes pero administra los de su personal en planillas abiertas no tiene un sistema: tiene una vitrina. El estándar se prueba primero adentro.

Una empresa que puede mostrar todo eso no está simplemente en regla. Tiene un sistema capaz de resistir una fiscalización justamente porque no se construyó para la fiscalización: se construyó para funcionar.

La recompensa se llama confianza

Quiero destacar lo siguiente porque suele pasarse por alto, hacer bien las cosas en materia de datos no sirve sólo para evitar sanciones. En el mundo B2B, donde las relaciones se construyen sobre confianza de largo plazo, la seriedad con que una empresa gestiona la información de sus contrapartes es, en sí misma, un argumento comercial.

La pregunta correcta no es cómo se ve usted ante la Agencia. Es qué puede hacer su cliente con usted que no puede hacer con su competencia. Entregarle datos sensibles sin pedir una segunda revisión a su equipo legal. Pasar una due diligence de proveedores en días y no en semanas de ida y vuelta. Incluirlo en proyectos donde la información es el activo principal. Eso es lo que compra una contraparte cuando elige a un proveedor que gestiona datos con rigor: capacidad de moverse rápido sin asumir el riesgo de otro.

Ahí está la síntesis más útil. La protección de datos bien entendida es el punto donde se encuentran dos cosas que solemos pensar por separado: el respeto a un derecho fundamental de las personas y la buena administración de una organización. No son fuerzas en tensión. Cumplir en serio es tratar bien a las personas y gestionar bien la empresa, al mismo tiempo. Y en un mercado donde casi todo se juega a la confianza, esa coincidencia no es un detalle menor, es la ventaja.

Quizás te interese
La Interdisciplinariedad en el Cumplimiento de la Normativa sobre Protección de Datos Personales
Nota Ley de Proteccion de Datos PersonalesNueva Ley de Protección de Datos Personales
Inteligencia Artificial y Protección de Datos en Chile: Guía para un cumplimiento basado en un enfoque responsable
El Consentimiento en la nueva Ley de Protección de Datos Personales en Chile
Garantizar la alineación comercial de los modelos de prevención de infracción de datos personales
LA NUEVA LEY DE PROTECCIÓN DE DATOS PERSONALES: EL TABLERO DE AJEDREZ DONDE CADA MOVIMIENTO EN LOS PRÓXIMOS DOS AÑOS IMPORTA
¿Es posible configurar un acto doloso de las personas jurídicas según lo dispone la nueva Ley de Protección de Datos Personales ?
Ley de Protección de Datos Proyecto de Ley actualizado agosto del 2024