EscucharEl Banco Central de Costa Rica (BCCR) planea integrar los datos crediticios de individuos y empresas, sin anonimizar, con información tributaria y de la Caja Costarricense de Seguro Social (CCSS). Esta pretención generó un choque de opiniones entre diversos participantes del sistema financiero e incluso derivó en una denuncia penal.
La autoridad monetaria solicitó a la Superintendencia General de Entidades Financieras (Sugef) “datos integrales de todas las operaciones de crédito”, incluido el número de identificación de cada deudor.
Antes de dar acceso a la información, Rocío Aguilar, jerarca de Sugef, consultó a la Procuraduría General de la República (PGR) acerca de la legalidad de concretar esta entrega pues una criterio legal de la Superintendencia consideró que se trataba de datos confidenciales.
Sin embargo, dos meses y medio antes de recibir respuesta de la Procuradoría, el pasado 21 de abril, la gerenta del Banco Central, Hazel Valverde Richmond, interpuso una denuncia penal ante la Fiscalía Adjunta de Probidad, Transparencia y Anticorrupción, contra Aguilar.
Sugef recibe información crediticia de todas las entidades financieras que supervisa. Alonso Alfaro, economista jefe del BCCR, explicó que el propósito es cruzar los datos crediticios con las bases de datos existentes en el BCCR, con el fin de proporcionar estadísticas más sólidas para la toma de decisiones gubernamentales.
Pero, ¿cuál es esa información que tienen los bancos y Sugef de los ciudadanos y qué pueden hacer con ella? En La Nación Explica abordamos los alcances, las limitaciones y los derechos que tienen los clientes de las entidades financieras respecto al uso de sus datos crediticios y financieros.
El inicio: Datos personales, sensibles y estadísticos
Mauricio París, abogado experto en arbitraje, tecnología y protección de datos de la firma Ecija, explicó que un dato personal es aquel que está ligado a personas físicas y hacen identificable a ese individuo.
Además, Ana Karen Cortés, abogada experta en protección de datos personales, explicó que también existen los datos sensibles. Según el artículo 9 de la Ley de Protección de Datos Personales, estos son datos que podrían generar discriminación o vulnerar los derechos de las personas.
Ambos abogados coincidieron en que cierta información crediticia de una persona pueden ser datos personales y sensibles.
Por otra parte, existen datos que se utilizan con fines estadísticos, siempre y cuando no exista el riesgo de identificar a una persona. Es decir, un dato personal no puede ser un dato estadístico, ni siquiera cuando entidades públicas los usan con propósitos específicos, según París.
París señaló que las entidades financieras bajo la supervisión de Sugef deben reportar todos los detalles relacionados con las operaciones de crédito, tales como préstamos prendarios, hipotecarios, personales y tarjetas de crédito. Esta información resulta relevante ya que la morosidad en la cartera de crédito del país puede impactar en las tasas de interés.
“Se ha interpretado que esa información que administra la Sugef reviste de un interés público, pero el hecho de que sea de interés público no quiere decir que sea información pública. Se debe mantener la información en el fin para el cual fue recabada. O sea, supervisar el sistema financiero regulado”, explicó París.
Tantos usos como la persona autorice
Cortés expuso que las entidades financieras recolectan información para Sugef mediante el formulario “Conozca a su cliente”, en el cual se incluyen datos personales sensibles para la supervisión del sistema financiero.
Además de este formulario, las instituciones financieras solicitan un consentimiento informado a sus clientes, en el cual detallan cómo planean usar la información proporcionada, incluyendo posibles objetivos adicionales, como mercadeo o incluso compartir datos con otras empresas.
Si el cliente otorga su firma al consentimiento informado, está autorizando al banco a utilizar sus datos según lo especificado en el documento, aclara Cortés. Por ello, es crucial leer detenidamente todos los documentos antes de firmarlos y entregarlos a la entidad.
Existen situaciones en las que un banco, del cual uno no es cliente y al que no ha proporcionado información, obtiene datos personales para ofrecer sus productos. Las entidades también consultan burós de crédito y bases internas para construir el historial crediticio del deudor y acceder a cierta información.
Consumidores pueden tomar acciones
Según París, los dueños de los datos tienen el derecho de consultar a cualquier entidad para verificar si manejan su información personal y exigir detalles sobre su obtención. Incluso cuando una persona haya dado su consentimiento para el uso de sus datos, siempre tiene el derecho de revocar dicho consentimiento.
Cortés destacó que el consentimiento puede ser revocado en cualquier momento. Por tanto, los propietarios de datos pueden contactar a las entidades o completar un formulario disponible en el sitio web de la Agencia de Protección de Datos de los Habitantes (Prodhab).
En ese momento, las entidades tienen cinco días hábiles para corregir o eliminar los datos. No obstante, como cualquier otro derecho, este no es absoluto. Si un consumidor mantiene deudas, no puede solicitar la eliminación de su información de la entidad con la que tiene obligaciones financieras.
Ambos expertos en protección de datos coinciden en que si las empresas no eliminan la información personal cuando se les solicita, podrían enfrentar multas, cuya gravedad varía entre falta leve, grave o gravísima, con montos que oscilan entre ¢1 millón y ¢15 millones.
Ambos expertos recomiendan que los consumidores presten atención al manejo de su información personal y sensible por parte de distintas instituciones, y den prioridad a aquellas que apliquen un tratamiento más adecuado de estos datos.
