Ley de protección de datos personales crediticios
El Congreso ha sancionado la Ley Nº 6.534/2020 mediante la cual se garantiza la protección de los datos crediticios de las personas y se regula la recolección, acceso y utilización de dichos datos bajo pena de severas sanciones.
Esta ley otorga derechos y obligaciones a tres tipos de sujetos:
1. LAS SOCIEDADES DE INFORMACIÓN CREDITICIA.
2. LOS USUARIOS DE DICHA INFORMACIÓN Y
3. EL TITULAR DE LOS DATOS.
Las disposiciones más relevantes relacionadas a la mencionada ley se detallan a continuación:
1. LAS SOCIEDADES DE INFORMACIÓN CREDITICIA. (BURÓS DE INFORMACIÓN CREDITICIA.
1.1. Los servicios de referencias crediticias sólo podrán ser prestados por las sociedades de información crediticia, las que serán conocidas como Burós de Información Crediticia y autorizadas para operar como tales por el Banco Central del Paraguay.
1.2. El capital social mínimo requerido para la constitución de las sociedades de información crediticia será determinado por el Banco Central del Paraguay y deberá estar íntegramente suscripto e integrado al momento de su constitución.
2. DE LOS USUARIOS DE LA INFORMACIÓN CREDITICIA.-
2.1. La ley limita el acceso a la información proveida por las sociedades de información crediticia para aquellas personas o empresas que tengan un interés legítimo en acceder a dicha información, es decir, dichos usuarios deben ofrecer productos o servicios cuya modalidad sea la venta a crédito o de prestaciones dinerarias de tracto sucesivo.
La ley habilita de manera taxativa a los siguientes usuarios:
2.1.1. Las entidades de intermediación financiera y de crédito, supervisadas por el Banco Central del Paraguay.
2.1.2. Las entidades controladas por el Instituto Nacional de Cooperativismo (INCOOP).
2.1.3. Las personas físicas o jurídicas que en forma empresarial otorguen crédito
2.1.4. Las mutuales, casas de préstamos y casas de empeño.
2.1.5. Las personas físicas y jurídicas que cuenten con el Registro Único de Contribuyentes y la patente (licencia) comercial actualizados, que se dediquen de manera habitual a la venta a crédito de productos, así como aquellas que presten servicios instrumentados en contratos de ejecución diferida, que impliquen pagos periódicos de sumas de dinero por plazos determinados, o que requieran analizar información crediticia para la toma de decisiones de negocio.
2.1.6. Las personas físicas y jurídicas que cuenten con el Registro Único del Contribuyentes y la patente (licencia) comercial actualizados y que mediante el uso de plataformas tecnológicas, funcionen como un canal o medio para facilitar la intermediación o la conexión de los créditos ofrecidos por los demás usuarios a los titulares de datos, permitiendo que éste pueda acceder a la oferta de crédito que se ajuste a su perfil crediticio de forma eficiente.
2.2. PROHIBICIÓN DE UTILIZACIÓN DE INFORMACIÓN CREDITICIA PARA FINES LABORALES
2.1. Está expresamente prohibido a los usuarios de información crediticia utilizar o proveer a terceros datos crediticios para que éstos sean utilizados para la toma de decisiones laborales, acceso al empleo, promoción, traslado o despido de personal.
2.2. La presente es una de las principales disposiciones de la ley, puesto que restringe totalmente la utilización de los datos crediticios de una persona para fines laborales, por lo que la obtención del reporte crediticio de un candidato a un empleo o de un empleado efectivo está vedado para las empresas o personas físicas empleadoras.
3. TITULARES DE LA INFORMACIÓN (PERSONA SOBRE LA CUAL SE REQUIERAN DATOS)
3.1. CONSENTIMIENTO INEQUÍVOCO DEL TITULAR DE LOS DATOS
3.1.1. El artículo 6 de la ley dispone que toda persona tiene derecho a ser informada en forma expresa y clara sobre la finalidad que se dará a los datos personales requeridos sobre ella y debe manifestar expresamente su consentimiento para la obtención y utilización de sus datos personales. Dicho consentimiento debe ser expreso e inequívoco y deberá constar de manera escrita, electrónica, digital u otro mecanismo fehaciente y es revocable en las mismas condiciones.
3.1.2. El tratamiento y cesión de los datos será considerado ilícito cuando el titular no hubiese prestado su consentimiento en las condiciones expresadas. En todos los casos, es el responsable del tratamiento de los datos el que tiene la carga de demostrar que el titular consintió en la utilización de sus datos personales.
3.2. DERECHOS DE ACCESO A SU INFORMACIÓN PERSONAL
3.2.1. Los titulares de la información crediticia tendrán derecho a conocer si en la base de datos de una sociedad de información crediticia existe información sobre sí mismo y acceder a ella en caso afirmativo, así como a las condiciones de su historial crediticio y a exigir la actualización, rectificación o eliminación de la información inexacta, ilegal o incompleta que afecte sus derechos constitucionales y requerir su rectificación.
3.2.2. La sociedad de información crediticia a quien se le requiera dicha información esta obligada a responder dentro del plazo de 24 HORAS.-
3.2.3. En caso que una operación le sea denegada (celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero) a raíz de los datos de un informe crediticio, el usuario deberá informarle de esta circunstancia y entregar una copia del mencionado documento.
4. PLAZO DE CONSERVACIÓN DE LA INFORMACIÓN CREDITICIA
4.1. La información crediticia podrá publicarse por un tiempo máximo de 5 años, contados desde la última información significativa (entrada en mora, cambio de clasificación, inicio de acción judicial, Sentencia, apertura de convocatoria o quiebra), o desde el vencimiento del plazo original de la operación de crédito de que se trate, el que fuera mayor.
6. AUTORIDADES DE APLICACIÓN
6.1. Serán autoridades de aplicación en el ámbito de su competencia el Banco Central del Paraguay, a través de la Superintendencia de Bancos y la Secretaría de Defensa del Consumidor y Usuario (SEDECO).
7. INFRACCIONES
7.1. El Banco Central del Paraguay y la Secretaría de Defensa al Consumidor y Usuario serán competentes, cada uno dentro de sus ámbitos, para sancionar las infracciones administrativas a la ley 6.534 y sus reglamentaciones.
7.2. El listado de infracciones enumeradas por la ley requerirá de mayor precisión en la reglamentación en lo relativo a plazos, criterios calificar las base de datos como seguras, información completa, entre otros.
7.4. Llama la atención la extensión de responsabilidad por las infracciones establecidas en la ley, que alcanza a TODOS los miembros de los órganos de administración de la entidad en cuestión y quienes ejerzan o realicen funciones asimilables a dichos cargos, es decir, se sanciona a las personas jurídicas y a sus administradores a título personal. Así también existe una presunción de culpabilidad hasta que se demuestre que no hayan tenido conocimiento del hecho ni hubieren tenido posibilidad de tener indicios o información del acto u omisión que constituya el incumplimiento o que, habiéndolo tenido, se hubiesen opuesto por escrito a la actuación u omisión.
8. SANCIONES
8.1. Las sanciones a ser impuestas son las siguientes:
8.1.1. Apercibimiento.
8.1.2. Multa de hasta 15.000 (quince mil) Jornales Mínimos vigentes al momento de la imposición de la sanción. En caso de reincidencia de una misma infracción, la multa será el doble de la multa inicial aplicada, la que podrá elevarse hasta 50.000 (cincuenta mil) Jornales Mínimos vigentes al momento de la imposición de la sanción para la persona física o jurídica que registre una facturación anual superior a G. 6.000.000.000 (Guaraníes seis mil millones).
8.1.3. Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse.
8.1.4. Inhabilitación para desempeñar un empleo, cargo o comisión dentro del sistema financiero, crediticio y en sociedades de información de datos personales, por un período de 6 (seis) meses hasta 5 (cinco) años.
8.1.5. Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control.
8.1.6. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
9. DISPOSICIONES TRANSITORIAS
9.1. Todo ente público y privado, responsable o encargado de los servicios de información crediticia y los de información de datos personales creados con anterioridad a la vigencia de la presente Ley, deberán ajustar sus estatutos sociales, su organización y funcionamiento a lo previsto en esta Ley, en el plazo de 24 (veinte y cuatro) meses, contados a partir de su publicación.
Asimismo, según se desprende de ciertos artículos, la Ley 6.534 debe tener un decreto reglamentario que regule detalladamente los lineamientos de la ley y arroje luz sobre aspectos esenciales tales como los relacionados a la determinación de infracciones, los procedimientos de sanción, entre otros.
Abg. Oscar Mersan de Gásperi