Reserva y sigilo en el sector financiero ecuatoriano

banca_ecuador

Por Lissette Robalino López

Dentro del análisis de la información que manejan de las entidades del Sector financiero en el Ecuador, se establecen comúnmente los términos “Reserva y Sigilo”, he considerado necesario e importante estudiar a fondo el concepto de las mencionadas palabras con el objetivo de hacer una relación jurídica con la protección de datos en el Ecuador, se entiende por reserva a la cautela o discreción con la que se trata un determinado asunto, y por sigilo se entiende al secreto que se guarda de algo. La constitución de la Republica  en su artículo 18 numeral 2 señala como derecho de las personas en forma individual o colectiva: “Acceder libremente a la información generada en entidades públicas, o en las privadas que manejen fondos del Estado o realicen funciones públicas. No existirá reserva de información excepto en los casos expresamente establecidos en la ley. En caso de violación a los derechos humanos, ninguna entidad pública negará la información”. Entendiendo que se podrá revelar toda o parte de la información siempre y cuando una ley expresa no lo prohíba.

Dentro del Sector Financiero Nacional, existen tres divisiones; Sector Publico, Sector privado, y Sector de la Economía Popular y Solidaria, a modo de delimitar este estudio me enfocare en el tercero, para lo cual voy a enunciar a La Ley Orgánica de la Economía Popular y Solidaria en su Art. 95 en el cual expresa.- Sigilo y Reserva.- Los depósitos y demás captaciones de cualquier índole que se realicen en las organizaciones del sector financiero popular y solidario, determinadas por la Superintendencia, excluyendo las operaciones activas, estarán sujetos a sigilo, por lo cual las instituciones receptoras de los depósitos y captaciones, sus administradores, funcionarios y empleados, no podrán proporcionar información relativa a dichas operaciones, sino a su titular o a quien lo represente legalmente. Las organizaciones del sector financiero popular y solidario con el objeto de facilitar procesos de conciliación, darán acceso al conocimiento detallado de las operaciones anteriores y sus antecedentes a la firma de auditoría externa contratada por la institución, que también quedará sometida al sigilo bancario. Las organizaciones del sector financiero popular y solidario podrán dar a conocer las operaciones anteriores, en términos globales, no personalizados ni parcializados, solo para fines estadísticos o de información. Las organizaciones del sector financiero popular y solidario tendrán la obligación de proporcionar a la Superintendencia la información sobre las operaciones que determinadas por ésta, por su naturaleza y monto, requieran de un informe especial. La Superintendencia proporcionará esta información a otras autoridades que por disposición legal expresa, previa determinación sobre su causa y fines, puedan requerirla, quienes también estarán sujetas al sigilo hasta que se utilice la información en los fines para los cuales se la requirió”.

Lo que se busca con la aplicación de la norma citada es cuidar la información que se maneja en relación a los derechos financieros personales del individuo, tomando en cuenta la magnitud de las repercusiones que pueden tener las transgresiones legales de índole financiero relacionadas con el sigilo y la reserva, que van más allá de afectar a una persona como tal, teniendo en cuenta que se puede  generar un caos globalizado, desestabilizaciones de sociedades enteras e incluso manifestaciones que como consecuencia pueden ocasionar muerte de personas, con resultados similares al feriado bancario que sufrió en país en años anteriores, que para muchos es desconocido, por tales motivos toda revelación de información en detrimento a la protección de datos financieros personales genera desconcierto en la población en general

Si bien es cierto que la norma constitucional señala el derecho al libre acceso de la información, ésta hace una clara excepción en su parte “excepto en los casos expresamente establecidos por la ley” por tanto la Ley de la Economía popular y solidaria se enmarca dentro de esta particularidad, consecuentemente en referencia a la Reserva y el sigilo, no se puede dar a conocer la situación financiera de los individuos, quienes manejan esta información deben ser cuidados y gozar de una ética profesional probada, para que se cumplan los objetivos de las entidades de control las mismas que son tendientes a regular las actividades de las instituciones que manejan el dinero de las personas,  siendo esta una forma de aplicar la protección de datos con la intrínseca finalidad de  precautelar la información financiera del ciudadano

Evaluación de impacto a la privacidad respecto al uso de cripto-monedas

bitcoin_armando

Por Armando Becerra

Bitcoin 101

“Si dejas de mirar el dinero, es aterrador de una manera muy interesante. El dinero que gastas – alrededor del que basas tu vida, que literalmente no puedes vivir sin él – es respaldado por absolutamente nada excepto tu fe en él”[1].

En la sociedad de la información y el conocimiento era razonable esperar la eventual digitalización de elementos primordiales de la economía, como son los sistemas de pago y las divisas, sin embargo muy pocos vislumbraban que el concepto de las cripto-monedas[2], tuviera un impacto tan profundo. De manera particular el Bitcoin (o BTC) ha resultado un hito económico y cultural[3]: se le considera la primera moneda digital descentralizada de la historia[4] y su economía es mayor que la de algunos países, considerando que la capitalización de su mercado se estima en  varios billones de dólares[5].

Para Andreas Antonopoulos “El BTC es una combinación de conceptos y tecnologías que conforman el ecosistema de esta moneda digital. Las unidades de la divisa […] se utilizan para almacenar y transmitir valores entre los participantes de la red. […] Los usuarios pueden transferir BTC para hacer lo mismo que con divisas tradicionales, como comprar y vender bienes, enviar dinero a las personas y organizaciones, e incluso extender un crédito”[6].

A este punto es difícil entender exactamente quién creó el BTC, ya que se hizo bajo el seudónimo de Satoshi Nakamoto, quien podría ser un individuo o un grupo de desarrolladores[7]. En cualquier caso, fue una respuesta a la creciente desconfianza del público hacia la moneda tradicional y a los bancos centrales, así como a la crisis del colapso hipotecario de 2008[8].

Aprovechando los recursos computacionales existentes, el BTC se sostiene en la infraestructura proporcionada por los mismos usuarios y en la comunicación directa entre las partes, bajo la premisa de realizar transacciones anónimas al igual que con las comunicaciones P2P o punto-a-punto[9].

Privacidad en las transacciones con el Bitcoin

Uno de los grandes potenciadores del éxito del BTC es el esquema de privacidad en las transacciones que realizan los usuarios.

El modelo de banco central tradicional alcanza un nivel de privacidad aceptable, en relación de que para una transacción de valores entre dos partes, el acceso a la información está limitado a ciertas partes interesadas[10]. Como puede verse en la Figura 1,  la relación de la identidad y las transacciones de los usuarios son conocidas por terceros de confianza (e.g. bancos o casas de cambio) o bien otras partes interesadas (e.g. bancos centrales), de tal forma que el público en general desconoce los detalles de una transacción, es decir, se salvaguarda la privacidad limitando el número de actores involucrados. Sin embargo, para ciertos usuarios existe la preocupación por reducir el número de entidades que intervienen en estas transacciones.

Las cripto-monedas funcionan bajo un esquema de cifrado asimétrico[11], donde se utilizan claves públicas y privadas para la realización de las transacciones. La propiedad de un usuario sobre un BTC se establece a través de firmas digitales, claves de cifrado y direcciones BTC. Las claves de cifrado no están almacenadas en la red BTC, sino que son creadas y almacenadas únicamente por el usuario en una base de datos simple llamada cartera[12].

Para realizar una transacción BTC, un usuario utiliza la clave pública del destinatario, llamada dirección Bitcoin, de la misma forma que el nombre del beneficiario de un cheque[13], a fin de enviar el valor de la moneda entre participantes de la red de manera directa.

Las claves de cifrado almacenadas en las carteras (un usuario puede tener ilimitadas claves de cifrado) dotan al BTC de propiedades como confianza y control descentralizado (independiente a cualquier institución), prueba de propiedad sobre un valor (con las claves del usuario se firma cada transacción), y seguridad basada en un modelo conocido[14].

De lo anterior, se puede identificar que el sistema de intercambio de valores con BTC elimina la necesidad de un tercero que valide o revise las transacciones. Como puede verse en la Figura 3, gracias al esquema de llave pública y privada, las transacciones son del conocimiento del público en general, sin que se relacione la identidad del usuario directamente.

Regulación del Bitcoin

La regulación de una moneda o divisa es una tarea única de cada país, si bien algunas naciones se han manifestado respecto al uso de las cripto-divisas, no existe aún un marco regulatorio específico. Así y con la interpretación de las normas existentes[15], para el BTC hay territorios que se consideran permisivos para la transacción, intercambio de bienes y producción de BTC (e.g. Argentina, Brasil y Colombia), países que han vetado explícitamente el uso de cripto-monedas en ciertas modalidades[16], países que se les considera contenciosos o en disputa[17], y naciones que simplemente no se han manifestado en el tema.

Fuera del contexto individual de cada nación o bloque económico, el Fondo Monetario Internacional (FMI) es la institución encargada de coordinar el intercambio de divisas extranjeras, así como de establecer estándares internacionales para que las naciones miembro regulen sus propias monedas a fin de preservar la estabilidad de la economía global. En este sentido es crucial la participación del FMI en la regulación de las cripto-monedas, considerando que el BTC no está ligado a ningún territorio o jurisdicción, y que por tanto ningún país cuenta con una reserva de Bitcoin per se[18].

Debido a esto, existe un riesgo importante de desestabilización de la economía en países con poca capitalización o en crisis, utilizando a las cripto-monedas para realizar ataques especulativos sobre las divisas y así debilitar la moneda local[19].

Con este escenario, se identifica una necesidad de normar al BTC y a cualquier otra cripto-moneda a través de la colaboración internacional tutelada por el FMI. Sin embargo, el BTC como fenómeno tecnológico requiere que la regulación tome en cuenta dos cuestiones adicionales: el uso que se está dando a las cripto-monedas en torno a la adquisición de bienes y servicio ilícitos, y su futuro como activo de uso corriente.

 Abuso de la priuvacidad

Uno de los factores que dictará el futuro de la regulación de las cripto-monedas es, sin duda alguna, el uso que los usuarios le den a éstas, no sólo como medio de pago o activo de riesgo: la capacidad de realizar transacciones anónimas, representa un hito para el mercado negro digital[20].

The Onion Router (o TOR[21]) es una red de túneles virtuales que permite a los usuarios navegar con privacidad en Internet sin exponer sus hábitos de consumo,  y a los desarrolladores, crear aplicaciones para el intercambio de información sobre redes públicas sin tener que comprometer su identidad.

Los objetivos de TOR como proyecto de software libre son admirables, sin embargo la posibilidad de navegar y crear servicios anónimos ha permitido el desarrollo de actividades a toda luz cuestionables, por ejemplo: pornografía infantil, venta de drogas, tráfico de información sensible o clasificada, lavado de dinero, armas, entrenamiento especializado en temas delictivos, entre otros[22]. Así, el mercado negro tradicional ha encontrado un lugar fértil para expandirse utilizando estas plataformas.

Pese a que no hay cifras exactas sobre el crecimiento o popularización de plataformas como TOR para el intercambio de bienes ilícitos, definitivamente hay un antes y un después con la utilización de cripto-monedas como el BTC[23], debido a que las transacciones son directas de un usuario a otro, sin ninguna institución mediadora de manera directa.

 Vulneración de la privacidad de los usuarios

La concepción del BTC contempla un nivel de anonimato similar al de otros esquemas P2P, sin embargo se podría considerar que a su vez, “es la red de pagos más transparente jamás creada”[24]: todas las transacciones entre los usuarios se almacenan pública y permanentemente en la red, lo que significa que cualquiera puede ver los fondos y transacciones de una dirección BTC[25].

Aunque los mecanismos de cifrado mencionados anteriormente representan beneficios a la privacidad de los usuarios, como el hecho de poder crear un número ilimitado de carteras de BTC[26], cada transacción única es registrada. Por ejemplo, alguien podría mandar un BTC a la dirección “1NiJGiZ2eBvQfKiD7eeG2rtLr” y saber que esta transacción se hizo pues los “libros” y el registro son públicos[27]. Es decir, nada evita que alguien (individuo, empresa u entidad gubernamental) realice una base de datos con el comportamiento de una cartera en particular[28]. Por otro lado, muy pocos bienes lícitos podrían adquirirse por Internet sin que intervenga una forma de identificación[29], como la dirección de envío de la compra.

Finalmente, si el BTC se vuelve un método de pago de uso corriente, entonces seguramente estará sujeto a algún tipo de identificación del comprador[30]. Para fines lícitos[31], una cripto-moneda no puede ofrecer expectativa razonable de privacidad a los usuarios.

Conclusiones

La regulación del BTC es una tarea multidisciplinar que requiere de entendimiento tecnológico, económico y legal. Como hemos visto a lo largo de este artículo, es un fenómeno cultural que impacta en el comportamiento de los usuarios, y de manera particular, afecta el paradigma de privacidad en niveles que todavía no son claros: en un lado de la balanza, existe la preocupación por parte de las autoridades de que las herramientas de anonimato sigan siendo utilizadas para actividades ilícitas, y por otro, se presenta un escenario donde las cripto-monedas (y otras tecnologías P2P) puedan develar la esfera íntima de las personas, al permitir el conocimiento de sus perfiles de consumo. Así, la biopolítica de estas conductas impactará en la norma que se genere para las cripto-monedas, y viceversa.

Es crucial que para la regulación del uso de las cripto-monedas se cuente con la participación de una organización internacional como el Fondo Monetario Internacional y de entidades de autorregulación[32] o grupos de trabajo dedicados[33]. Conforme existan avances, las autoridades de protección de datos podrían integrarse a estos esfuerzos a fin de mejorar su entendimiento de otros fenómenos más focalizados a sus áreas de competencia, por ejemplo, el flujo trasfronterizo de datos personales, o bien, el estudio de información personal cuya naturaleza es dual, es decir que en un mismo contexto de tratamiento cuenta con elementos públicos y privados, como son las direcciones y carteras BTC.

Referencias

  1. VAN WYK, Gustaf, The Idiot’s Guide to Bitcoin, Chaos publications, 2013.
  2. Will Bitcoin be Bigger than Facebook?, Brandwatch,
    consultable en: http://www.brandwatch.com/2014/06/will-bitcoin-bigger-facebook/,
    revisado el 16 de septiembre de 2014.
  3. Bitcoin, ¿burbuja o futuro financiero?, El Financiero,
    consultable en: http://www.elfinanciero.com.mx/economia/bitcoin-burbuja-o-futuro.html,
    revisado el 16 de septiembre de 2014.
  4. Bitcoin: Whatever It Is, It’s Not Money!, Forbes,
    consultable en: http://www.forbes.com/sites/steveforbes/2013/04/16/bitcoin-whatever-it-is-its-not-money/, revisado el 16 de septiembre de 2014.
  5. R.S. Takes a Position on Bitcoin: It’s Property, Dealbook,
    consultable en: http://dealbook.nytimes.com/2014/03/25/i-r-s-says-bitcoin-should-be-considered-property-not-currency/,
    revisado el 16 de septiembre de 2014.
  6. ANTONOPOULOS, Andreas M., Mastering Bitcoin, O’Reilly, 2014.
  7. NAKAMOTO, Satoshi, Bitcoin: A Peer-to-Peer Electronic Cash System, 2009, consultable en: https://bitcoin.org/bitcoin.pdf, revisado el 16 de septiembre de 2014.
  8. SCHMIDT Eric, COHEN Jared, The New Digital Age: Reshaping the Future of People, Nations and Business, John Murray Publishers, 2013.
  9. Advertencias sobre el uso de activos virtuales como sucedáneos de los medios de pago, en moneda de curso legal, Banxico,
    consultable en: http://www.banxico.org.mx/informacion-para-la-prensa/comunicados/miscelaneos/boletines/%7B5D9E200E-2316-A4B8-92A9-3A5F74938B87%7D.pdf, revisado el 16 de septiembre de 2014.
  10. Banxico ve en Bitcoin evolución y eficiencia, 24-horas, consultable en: http://www.24-horas.mx/banxico-ve-en-bitcoin-evolucion-y-eficiencia/, revisado el 16 de septiembre de 2014.
  11. PLASSARAS, Nicholas, Regulating Digital Currencies: Bringing Bitcoin within the Reach of the IMF, Chicago Journal of International Law, 2013, consultable en: http://ssrn.com/abstract=2248419, revisado el 16 de septiembre de 2014.
  12. El lado oscuro del comercio en Internet, El Financiero, 2013, consultable en http://www.dineroenimagen.com/2013-08-22/24860, revisado el 16 de septiembre de 2014.
  13. BECERRA, Armando, “Mitos y Realidades de la Internet Profunda”, Revista .Seguridad UNAM #20, 2014, consultable en: http://revista.seguridad.unam.mx/numero-20/mitos-y-realidades-de-la-internet-profunda, revisado el 16 de septiembre de 2014.
  14. Money Laundering in Digital Currencies, US Department of Justice, 2008, consultable en: http://www.justice.gov/archive/ndic/pubs28/28675/28675p.pdf, revisado el 16 de septiembre de 2014.
  15. Gox Hack Allegedly Reveals Bitcoin Balances, Customer Account Totals, Techcrunch, consultable en: http://techcrunch.com/2014/03/09/mt-gox-hack-allegedly-reveals-bitcoin-balances-customer-account-totals/, revisado el 16 de septiembre de 2014.
  16. Follow The Bitcoins: How We Got Busted Buying Drugs On Silk Road’s Black Market, Forbes, consultable en: http://www.forbes.com/sites/andygreenberg/2013/09/05/follow-the-bitcoins-how-we-got-busted-buying-drugs-on-silk-roads-black-market/, revisado el 16 de septiembre de 2014.
  17. Bitcoin industry leaders launch DATA, a self-regulatory body for digital currencies, Coindesk, consultable en: http://www.coindesk.com/bitcoin-industry-leaders-launch-data-a-self-regulatory-body/, revisado el 16 de septiembre de 2014.
  18. Bitcoin Foundation forms committees for legal defence and regulation, Coindesk, consultable en: http://www.coindesk.com/bitcoin-foundation-forms-committees-for-legal-defence-and-regulation/, revisado el 16 de septiembre de 2014.

[1] VAN WYK, Gustaf, The Idiot’s Guide to Bitcoin, Chaos publications, 2013, p. 2. “If you really stop to look at money, it’s kind of terrifying in a really interesting way. You see, that money you spend – that you base your entire life around, that you literally cannot live without – is backed by absolutely nothing except your faith in it”.

[2] El concepto viene de crypto-currency, descrito en 1998 por Wei Dai en la lista de correos de Cypherpunks (Véase: http://imchris.org/projects/cpunk.html, revisado el 16 de septiembre de 2014), sugiriendo la idea de usar la criptografía para la creación de una moneda, tal que en sus transacciones se pudiera eliminar a los intermediarios. Se considera como cypherpunk a cualquier activista que aboga por el uso generalizado de la criptografía de manera proactiva, como una vía para alcanzar el cambio social y político, en especial en los temas de privacidad y seguridad.

[3] En un futuro no muy lejano, Richard Branson, CEO de Virgin, podría enviar a los gemelos Winkelvoss al espacio, ya que Virgin Space aceptará BTC como forma de pago. Los Winkelvoss son inversionistas y precursores del BTC, quienes han declarado incluso que éste podría tener más impacto que Facebook. (Véase: Will Bitcoin be Bigger than Facebook?, Brandwatch, consultable en: http://www.brandwatch.com/2014/06/will-bitcoin-bigger-facebook/, revisado el 16 de septiembre de 2014).

[4] Considerar al BTC como moneda ha causado polémica, y algunos expertos prefieren usar el término de cripto-divisa para referirse a ésta y otras tecnologías similares. Si bien el concepto de crypto-currency implica el de una moneda de uso común, sostenida en la infraestructura de Internet, su comportamiento se ha inclinado más al de un activo de riesgo o una acción bursátil (Véase: Bitcoin, ¿burbuja o futuro financiero?, El Financiero,  consultable en: http://www.elfinanciero.com.mx/economia/bitcoin-burbuja-o-futuro.html, revisado el 16 de septiembre de 2014).

Steve Forbes explica por qué no se puede considerar al BTC como dinero: “La razón básica [de que no pueda considerarse como moneda] es porque no tiene un valor fijo […] tal volatilidad la hace inútil para realizar transacciones. El dinero tiene un sólo propósito […] y es más óptimo para fines comerciales si su valor es fijo”. (Véase: Bitcoin: Whatever It Is, It’s Not Money!, Forbes, consultable en: http://www.forbes.com/sites/steveforbes/2013/04/16/bitcoin-whatever-it-is-its-not-money/, revisado el 16 de septiembre de 2014). En este sentido por ejemplo,  el I.R.S (Internal Revenue Service) de EEUU ha manifestado respecto al valor del BTC para fines de pago de impuestos, que éste puede considerarse como propiedad o un bien sujeto a impuestos sobre plusvalía (Véase: I.R.S. Takes a Position on Bitcoin: It’s Property, Dealbook,  consultable en: http://dealbook.nytimes.com/2014/03/25/i-r-s-says-bitcoin-should-be-considered-property-not-currency/, revisado el 16 de septiembre de 2014).

[5] Según el sitio bitcoinwatch.com, la capitalización de mercado del BTC se estima en 7, 673, 186, 593 USD, consultado en Julio de 2014.

[6] ANTONOPOULOS, Andreas M., “Mastering Bitcoin”, O’Reilly, 2014, p. 1.

[7] Bajo este nombre se publicó el documento original que describe al BTC y también se desarrolló el primer software relacionado. Mientras que para algunos, la opacidad en la identidad del autor produce desconfianza en el uso del BTC, para otros es un incentivo, pues nada resulta más ad hoc para una moneda orientada a la privacidad que hasta el creador sea anónimo [¡!].

[8] VAN WYK, Gustaf, op.cit., nota 1, p. 19-21.

[9] La P2P Foundation define a la tecnología punto-a-punto (peer-to-peer) como una “forma descentralizada de interconectar diferentes equipos de cómputo con propósitos cooperativos, por ejemplos compartir archivos o música. Sin embargo esto es sólo un ejemplo de lo que P2P representa: un modelo de interacción humana”. (“The decentralized form of putting computers together for different kind of cooperative endeavours, such as filesharing and music distribution. But this is only a small example of what P2P is: it’s in fact a template of human relationships, a “relational dynamic” which is springing up throughout the social fields”, consultable en http://p2pfoundation.net/Manifesto, revisado el 16 de septiembre de 2014).

En este sentido, Eric Schmidt y Jared Cohen señalan que la población ha demostrado inclinación y confianza hacia el uso de las tecnologías P2P, para mantener sus actividades en línea fuera de vigilancia de terceros, pues éstas actúan como un canal de comunicación instantáneo y a su vez son independientes al control o monitoreo. Así, la historia de la tecnología P2P oscila entre sitios que han enfrentado serios problemas de derechos de autor (e.g. The Pirate Bay), y movimientos de disidencia civil contra sistemas totalitarios, por ejemplo en Arabia Saudita e Irán, la policía religiosa ha encontrado muchas dificultades para evitar que los jóvenes envíen mensajes para coquetear o coordina protestas, debido al uso de Bluetooth a través de los celulares para llamar y mandar mensajes, incluso entre completos extraños (Véase: SCHMIDT Eric, COHEN Jared, The New Digital Age: Reshaping the Future of People, Nations and Business, John Murray Publishers, 2013, p. 69).

[10] NAKAMOTO, Satoshi, “Bitcoin: A Peer-to-Peer Electronic Cash System”, 2009, p. 6.

[11] Esquema de cifrado asimétrico: de manera general en el cifrado asimétrico hay dos claves relacionadas [mediante un algoritmo para cifrar la información]. Una clave pública disponible de forma gratuita a cualquier persona que desee enviar un mensaje y una segunda clave privada que se mantiene en secreto por el usuario. Cualquier mensaje (documentos, archivos binarios o texto) que se cifra mediante la clave pública sólo pueden descifrase aplicando el mismo algoritmo, pero mediante la clave privada correspondiente. Todos los mensajes que se cifran con la clave pública sólo pueden descifrarse con la clave privada correspondiente. (Véase: Descripción de cifrado simétrico y asimétrico de Microsoft Support, consultable en:  http://support.microsoft.com/kb/246071/es, revisado el 16 de septiembre de 2014).

[12] ANTONOPOULOS, Andreas M., op.cit., nota 6, p. 59.

[13] Ídem. En la mayoría de los casos, una dirección BTC se genera a partir de y corresponde a una clave pública. Sin embargo, no todas las direcciones BTC representan las claves públicas de usuarios, también pueden representar a otros beneficiarios, tales como secuencias de comandos o “scripts” [¡!].

[14] Ídem.

[15] BitLegal.io es un sitio que permite explorar la evolución regulatoria de las cripto-monedas en el mundo, se ofrece un mapa donde se categoriza por país el nivel de aceptación.

[16] Los dos únicos países que restringen explícitamente el BTC son Islandia y Vietnam, el primero prohíbe la compra de BTC (más no su posesión), y el segundo prohíbe que las instituciones financieras utilicen BTC.

[17] México es uno de los territorios que se considera ambiguos en el tema. En marzo de 2014 el Banco central de México (Banxico o Banco de México), emitió un comunicado, siguiendo la tendencia internacional, donde califica al BTC como un activo y no una moneda, previene a la población de los riesgos relacionados al uso de cripto-monedas y restringe el manejo directo de éstas por parte de instituciones financieras. (Véase: Advertencias sobre el uso de activos virtuales como sucedáneos de los medios de pago, en moneda de curso legal, consultable en:
http://www.banxico.org.mx/informacion-para-la-prensa/comunicados/miscelaneos/boletines/%7B5D9E200E-2316-A4B8-92A9-3A5F74938B87%7D.pdf, revisado el 16 de septiembre de 2014).

 Además, en el marco del primer congreso de Bitcoin celebrado en México en abril de 2014, quedó claro que “Banxico no está estudiando usar Bitcoin como moneda… jamás va a ser reconocida como moneda, pero la aceptan como tecnología y estudian sus avances…”. Así, pareciera que Banxico no piensa hacer o ejercer regulación alguna en el crecimiento de BTC en el país. (Véase: Banxico ve en Bitcoin evolución y eficiencia, 24-horas, consultable en: http://www.24-horas.mx/banxico-ve-en-bitcoin-evolucion-y-eficiencia/, revisado el 16 de septiembre de 2014).

[18] PLASSARAS, Nicholas, Regulating Digital Currencies: Bringing Bitcoin within the Reach of the IMF, Chicago Journal of International Law, 2013, p. 17-19 (Consultable en: http://ssrn.com/abstract=2248419, revisado el 16 de septiembre de 2014).

[19] Ídem, p. 17-19.

[20] El lado oscuro del comercio en Internet, El Financiero, 2013 (Consultable en http://www.dineroenimagen.com/2013-08-22/24860, revisado el 16 de septiembre de 2014).

[21] TOR fue es sus orígenes un proyecto diseñado e implementado por la marina de los Estados Unidos, posteriormente fue liberado al público y patrocinado por la Electronic Frontier Foundation (Véase: https://ssd.eff.org/tech/tor, revisado el 16 de septiembre de 2014). Actualmente subsiste como TOR Project (Véase: https://www.torproject.org/, revisado el 16 de septiembre de 2014), una organización sin ánimo de lucro galardonada en 2011 por la Free Software Foundation (Véase http://www.fsf.org/, revisado el 16 de septiembre de 2014) por permitir que millones de personas en el mundo tuvieran libertad de acceso y expresión en Internet, manteniendo su privacidad y anonimato.

[22] BECERRA, Armando, “Mitos y Realidades de la Internet Profunda”, Revista .Seguridad UNAM #20, 2014. (Consultable en: http://revista.seguridad.unam.mx/numero-20/mitos-y-realidades-de-la-internet-profunda, revisado el 16 de septiembre de 2014).

[23] Por ejemplo, el Centro de Inteligencia para el Tráfico de Drogas de Estados Unidos emitió un documento expresando su preocupación respecto al lavado de dinero a través de cripto-monedas (Véase: Money Laundering in Digital Currencies, US Department of Justice, 2008, consultable en: http://www.justice.gov/archive/ndic/pubs28/28675/28675p.pdf, revisado el 16 de septiembre de 2014).

[24] Proteja su privacidad, Bitcoin.org. (Consultable en: https://bitcoin.org/es/proteja-su-privacidad, revisado el 16 de septiembre de 2014).

[25] Existen herramientas públicas para estos propósitos como Bitcoin Block Explorer (Véase: http://blockexplorer.com/, revisado el 16 de septiembre de 2014) que permite ver información sobre el funcionamiento de la red Bitcoin: las transacciones, así como las carteras y direcciones BTC.

[26] La identidad del usuario que posee la dirección no es conocida a no ser que sea revelada por ejemplo, durante la compra de producto o servicio. Esta es una de las razones por la que las direcciones BTC deberían ser utilizadas sólo una vez si el propósito es mantener el anonimato.

[27] Incluso en Wikipedia se pueden consultar los balances de carteras más cuantiosas de las historia (http://en.wikipedia.org/wiki/History_of_Bitcoin, revisado el 16 de septiembre de 2014).

[28] En este sentido se vuelve primordial el análisis de las medidas de seguridad establecidas, por ejemplo en la casas de cambio, para proteger los datos de los usuarios ya que la revelación de información podría no estar limitada solamente a las direcciones o carteras de transacciones BTC sino a muchos otros datos personales (Véase: Mt.Gox Hack Allegedly Reveals Bitcoin Balances, Customer Account Totals, Techcrunch,  consultable en: http://techcrunch.com/2014/03/09/mt-gox-hack-allegedly-reveals-bitcoin-balances-customer-account-totals/, revisado el 16 de septiembre de 2014).

[29] El lado oscuro del comercio en Internet, El Financiero, 2013 (Consultable en http://www.dineroenimagen.com/2013-08-22/24860, revisado el 16 de septiembre de 2014).

[30] En un experimento realizado por Forbes, gracias a varios “errores” del pago con BTC, así como del manejo de las direcciones de compra del ahora extinto mercado de drogas en línea Silk Road, fueron capaces de identificar “de vuelta” sus compras, que en teoría eran completamente anónimas. (Véase: Follow The Bitcoins: How We Got Busted Buying Drugs on Silk Road’s Black Market, Forbes, consultable en: http://www.forbes.com/sites/andygreenberg/2013/09/05/follow-the-bitcoins-how-we-got-busted-buying-drugs-on-silk-roads-black-market/, revisado el 16 de septiembre de 2014).

[31] Para finalidades ilícitas, el uso de múltiples carteras de BTC como medio de pago, en conjunto con herramientas de comunicación P2P, no dejarán de representar un habilitador del mercado negro, al menos en un futuro próximo.

[32] En 2013, líderes de la industria del BTC establecieron el comité de la Autoridad de Transferencia de Activos Digitales (Digital Asset Transfer Authority o DATA), cuyo objetivo es el “trabajar activamente con las entidades reguladores para adaptar los requerimientos de la tecnología [de las cripto-monedas] a los modelos de negocio”, (Véase: Bitcoin industry leaders launch DATA, a self-regulatory body for digital currencies, Coindesk, consultable en: http://www.coindesk.com/bitcoin-industry-leaders-launch-data-a-self-regulatory-body/, revisado el 16 de septiembre de 2014).

[33] También en 2013, la Fundación Bitcoin creo tres comités legales para ayudar y orientar a los negocios y los individuos en el ámbito de las divisas digitales. (Véase: Bitcoin Foundation forms committees for legal defence and regulation, Coindesk, consultable en: http://www.coindesk.com/bitcoin-foundation-forms-committees-for-legal-defence-and-regulation/, revisado el 16 de septiembre de 2014).

Entidades financieras, protección de datos y habeas data en Argentina

finanzas_argentinaPor Romina Florencia Cabrera

Existe una gran variedad de definiciones del concepto de ‘crédito’, y muchos autores han elaborado las propias para trabajar, principalmente, desde el sentido económico. Se puede entender al crédito como el ‘permiso para utilizar el capital de otras personas’, pero también puede verse como ‘un derecho a actuar’ o un ‘poder para obtener bienes y servicios por la promesa de pago en una fecha de terminada’. Con cualquiera de esas definiciones, el crédito es un elemento imprescindible en el sistema económico que representa un derecho presente, a pago futuro. El término proviene del latín y tiene su raíz en la frase ‘lo que es confiado’.

En lo que respecta a los negocios, la palabra adquiere una serie de acepciones: por un lado, una transacción a crédito es un deudor obteniendo un permiso de un acreedor a utilizar su capital, con la promesa de un pago futuro: al crearse esta transacción, se genera un derecho y una obligación. Por otro lado, se lo puede ver como un instrumento financiero, que consiste en una promesa de pago documentada que manifiesta una transacción formal de crédito. De la misma manera puede tratarse de algo establecido con una simple promesa, basada en la buena voluntad del vendedor y la aceptación del compromiso de pago por parte del comprador.

La mayoría de las veces, los vendedores otorgan los créditos una vez realizada una investigación que permita garantizar la solvencia económica por parte del comprador: estar seguro de que podrá pagar conforme con lo estipulado. Sin embargo, la buena voluntad o la firma de la promesa de pago no es lo único que obtiene el vendedor: por el contrario, los créditos siempre tienen una tasa de interés que debe ser pagada, obteniendo una ganancia futura cuando esta sea abonada. Resumamos el concepto: cuando una persona (o empresa) consigue un crédito se compromete a pagar en total un poco más, a cambio de obtener la liquidez y la inmediatez que necesita. Además del otorgamiento de créditos con tasas fijas o variables, hay otras operaciones con crédito entre un banco y los usuarios. Una cuenta de crédito es una cuenta corriente en la que el titular puede disponer de una cantidad superior a su saldo disponible, en tanto que una tarjeta de crédito es un cartón magnético que no solo permite ahorrarse la utilización de dinero en efectivo, sino que da la posibilidad de consumir pagando posteriormente. En ambos casos, se abona el interés correspondiente.

La clasificación de los créditos bancarios se hace de acuerdo con la función que tendrán: un crédito al consumo será para la adquisición de bienes o servicios, mientras que uno hipotecario servirá para la adquisición de una vivienda ya construida (con una hipoteca de garantía). Los créditos prendarios, por otro lado, son los que piden las personas físicas para la compra de un bien mueble, que deberá ser aprobado por el banco que le otorgue el crédito.[1]

Entidad de Crédito. Se entiende por “entidad de crédito” toda sociedad que tenga como actividad típica y habitual recibir fondos del público, en forma de deposito, préstamo, cesión temporal de activos financieros u otras análogas, que llevan aparejada la obligación de su restitución, aplicándolos por cuenta propia a la concesión de créditos u operaciones de análoga naturaleza (Redactado por Ley 26/1998 de 29 VII, para España).[2]

La protección de Datos Personales es fundamental para resguardar la identidad, información personal y de trasacciones comerciales y financieras , tan expuesta a delitos y otra defraudaciones; y sobre todo, para asegurar el éxito del o los objetivos del negocio, ya sea por un particular o por una persona de existencia ideal, ya que la competencia desleal y el espionaje industrial puede resultar perjudicial para las operaciones de la empresa o particular.

Nos ocuparemos de la cuestión en la República Argentina, mi país de origen y residencia.

El Artículo 26 de la Ley 25.326 de Protección de Datos Personales, enumera las normas jurídicas en relación a la prestación de servicios de información crediticia: 1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés. 3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión. 4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace constar dicho hecho. 5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

La ley tiene por objeto .la protección integral de los datos personales.. Antes de su sanción, en doctrina se discutían diversas opiniones en cuanto a los derechos amparados

por la norma constitucional. En la parte dogmática de la Ley Fundamental, capítulo segundo, en “Nuevas Declaraciones, Derechos y Garantías”, en el hábeas data ,en el art. 43 de la Constitución

Nacional., coexistían teorías restrictivas que opinaban que el bien jurídico tutelado era el derecho a la intimidad y otras más amplias, que abarcaban el derecho a la intimidad

y otros valores. La ley afirma la finalidad de garantizar el derecho al honor y a la intimidad de las personas, como también el acceso a la información que de ellas se encuentre registrada. La Cámara Nacional de Apelaciones en lo Comercial,Sala B, ha expresado: .El bien jurídico protegido por el hábeas data es la veracidad de la información.[3].Guillermo Peyrano, por su parte, expresa: La tutela perseguida por la ley de protección de datos personales encuentra también sus raíces en el reconocimiento de la dignidad humana, que exige el respeto del ser humano más allá de sus manifestaciones corpóreas, a través del reconocimiento de su intimidad, honor, etc..[4].

El proceso de habeas data, acción de tutela jurídica efectiva, del derecho procesal constitucional, se consagra en nuestro ordenamiento con la figura procesal del amparo. Se diferencia de la protección de datos personales, que es un Derecho autónomo e independiente, entendido así por la Agencia Española de protección de datos.

El Proceso de habeas data

“A decir de García Belaúnde En la Argentina no existe el habeas data como proceso autónomo, sino el amparo en su vertiente protectora del dato; o sea se lo reconoce como una sub-especie del amparo. Pero pese a no existir, la doctrina de manera dominante y cierta jurisprudencia aceptando este hecho, tiende a denominarlo como habeas data, ya que de esta forma es más específico y más preciso en su protección.

Si basamos la naturaleza jurídica del habeas data en estas características, no cabe duda que Argentina tiene un proceso constitucional propio logrado desde la interpretación amplia del artículo 43 de la Constitución. Pero además, el capítulo VII de la ley sancionada incorpora una “acción de protección de datos personales” que se aleja del modelo amparista, pese a que el artículo 37 declara aplicable el procedimiento de este proceso constitucional.

El habeas data es un proceso constitucional

El derecho a la intimidad como género que caracteriza la defensa de la privacidad, del honor, la imagen, la reputación, la identidad, entre otros derechos, es el fundamento de la garantía que tutela el habeas data.

Al ser garantía, es la herramienta procesal que la Constitución dispone para afianzar el cumplimiento de los derechos fundamentales; por eso, a partir del derecho de amparo creado por la Constitución Nacional, se perfila este proceso constitucional específico de protección a la persona agredida o amenazada por los bancos de datos que aprovechan la información personal que le concierne.

El habeas data no es un derecho fundamental stricto sensu –dice de Slavin-, sino que se trata de un proceso constitucional. Nos hallamos frente a un instrumento procesal destinado a garantizar la defensa de la libertad personal en la era informática.

La calidad de los derechos a proteger le otorga esa base constitucional que torna al habeas data como un instrumento procesal irremplazable e incondicionado.

Es un proceso constitucional “autónomo”

La autonomía del habeas data como proceso diferente al amparo se sostiene por la identidad propia que tiene el objeto a demandar. Se tiende a proteger los datos personales de la persona que se han ingresado en un archivo, registro o banco de datos.

Es verdad que la definición del modelo amparista de cada lugar determina el perfil que puede revestir al proceso de protección de datos personales, y a su vez, ocupar más o menos espacios que la tradicional herramienta enumera como derechos de acceso, actualización, rectificación, exclusión y confidencialidad de los datos.

En nuestro país, la inclusión del “habeas data” entre los contenidos del derecho de amparo, no puede llevar a confundir la naturaleza jurídica del mismo.

Actualmente, el nuevo artículo 43 de la Constitución Nacional significa un cambio fundamental en el tratamiento del tradicional proceso de amparo. Ha dejado de ser una figura procesal para constituirse en un “derecho” o “garantía” específico, cuya principal concreción es instalar el derecho al amparo.

Por ello, el criterio que observa al amparo como juicio está abandonado, para convertirse en la garantía por antonomasia; la única herramienta disponible para actuar los derechos fundamentales de inmediato, sin mediateces ni postergaciones.

De este modo, el artículo 43 promete, en realidad, una tutela judicial rápida y expedita, y con varias finalidades que seguidamente enumera:

  • Amparo contra actos u omisiones de autoridades públicas.
  • Amparo contra actos u omisiones de particulares.
  • Amparo contra la inconstitucionalidad de las leyes.
  • Amparos especiales según se trate de “cualquier forma de discriminación”, “protección del ambiente”, “derechos de la competencia”, “derechos del usuario y consumidor”.
  • Amparo colectivo, para los derechos de incidencia general que se encuentren afectados (derechos de pertenencia difusa).
  • Habeas data.
  • Hábeas Corpus.

Cada uno tiene una finalidad específica e inconfundible, y no pueden tramitar por carriles comunes porqué ellos son independientes. La comunión que los encuentra está en la “tutela judicial efectiva” que cada derecho establece, y las reglamentaciones deberán señalar los procedimientos pertinentes.[5]

Cuidemos los datos personales; auto regulemos nuestra información y defendamos nuestros derechos y respetemos nuestras obligaciones con los demás, creando una cultura de protección de datos, la Iniciativa de este Excelente Observatorio Iberoamericano de Protección de Datos.

[1] http://concepto.de/credito/
Portal Educativo; fecha de consulta del sitio web: 21/8/2014.

[2] http://www.euroresidentes.com/empresa_empresas/diccionario_de_empresa/finanzas/e/entidad-de-credito.htm;
Fecha de consulta del sitio web: 21/8/2014.

[3] MARTINEZ, MATILDE SUSANA, “ Habeas Data Financiero”. Ediciones de la República. Pablo Ugalde Editor. Año 2009. Argentina. Página 137 .Mimbielle, Carlos A. v. Banco Credicoop Cooperativo Ltdo.., del 30/6/2005, JA 2007-IV-Síntesis.

[4]MARTINEZ, MATILDE SUSANA, “ Habeas Data Financiero”. Ediciones de la República. Pablo Ugalde Editor. Año 2009. Argentina. Página 137 PEYRANO, G. F., Régimen…, cit., p. 22.

[5] Publicación del Dr. Pablo A. Irigoyen, sitio web:
http://limpiesuveraz.blogspot.com.ar/2009/01/decir-de-garca-belande-en-la-argentina.html
Fecha de la consulta: 20/8/2014. Extraido de “El proceso de habeas data en la nueva ley de protección de datos personales”, por el Dr. Osvaldo Alfredo Gozaini.(www.portaldeabogados.com.ar).

Big data en el sector financiero, una vacuna suigeneris del derecho al olvido

bigdata_financiero

Por Philipe C. Bienvenue Martin del Campo

Al iniciar el análisis de big data en el sector bancario y financiero me surgieron interrogantes de las más distintas índoles. Sabido es que la ingeniería aplicada para perfilamiento y conocimiento de clientes se utiliza en el sector analizado desde hace mucho tiempo, incluso antes de considerarse algún tipo de protección a los datos personales. Tampoco tenía ésta actividad un nombre apetecible para una época tecnologizada como la actual, era simplemente la labor de analistas de información de muy diversas fuentes para el ofrecimiento de determinados productos para determinados clientes y una pretensión de calificación de riesgo, considerando los antecedentes de cumplimiento de las obligaciones económicas de las personas en general.

Otra condición es que la información o datos que se analizaban se encontraban dispersos en muy diversas fuentes, tanto privadas como públicas, y ciertamente ninguna de ellas contaba con las autorizaciones que los titulares hoy, en términos generales deben dar o conocer a quienes las manipulan, como es el caso de las llamadas sociedades de información crediticia, entidades que refiriéndome al caso mexicano que es muy representativo de los países en los que existe, tienen por objeto fundamental el recopilar y manejar datos bancarios, financieros y otros relativos al historial crediticio y otras operaciones de naturaleza análoga de personas y empresas, mantenerlo y acrecerlo con aquellos datos que les proveen sus propios participantes (bancos, operadores financieros, casas comerciales[1] y autoridades) así como información de operaciones crediticias fraudulentas con objeto que los mismos sean entregados a los participantes y usados por éstos para llevar a cabo distintas actividades, la mayoría vinculada al explotación mediante el análisis del conocimiento de quienes ahí aparecen.

Al respecto del tema, consideremos al big data como tendencia y consecuencia en el avance de la tecnología, es la fórmula perfecta para el análisis de una gran cantidad de información para su posterior explotación por aquellos que la realizan y contar con una herramienta científica para la toma de decisiones. Dicho conocimiento puede poner en jaque la privacidad, la honra, la reputación y por supuesto el derecho a la protección de los datos personales, ya que todos tenemos información y datos por evidente consecuencia del desarrollo, actas de nacimiento, registros escolares, antecedentes laborales, historia social y por supuesto bancaria y financiera.

El derecho a la protección de datos personales viene analizando y produciendo un llamado “derecho al olvido” que no es más que la garantía de que la información inadecuada, incompleta o excesiva que se contenga en medios sea eliminada. Resulta interesante reconocer que precisamente frente el objeto del big data, éste derecho se convierte en un eslabón que rompe la certeza del análisis que se realiza ya que la veracidad de la información que se trata queda comprometida.

Precisamente en el ejercicio de éste derecho radica una disposición creada dentro del sector y circunscrita en las sociedades de información crediticia. En el caso mexicano, transcurridos seis años en términos generales aplicamos un “reseteo” de aquellos incumplimientos o desviaciones que se hubieran realizado para el cumplimiento de obligaciones y en consecuencia, aquellos análisis que se realicen contendrán una historia parcial de la realidad en el cumplimiento y perfilamiento que se realice con el big data.

De lo anterior surge la inquietud si será correcto que cada seis[2] años en el caso de México, estrenemos información respecto el comportamiento que tenemos en el cumplimiento de las obligaciones, cierto es que inicialmente se trata de aquellas de carácter privado, sin embargo también el sector público se ha incorporado, incluso el pago de impuestos será un tema a considerar dentro de éste tema. Como en otros derechos el indicado no es absoluto y debe contrastarse respecto de aquellos otros que integran la protección de datos, frente a los que pudiera estar en conflicto. Por último el incumplimiento a la obligación de eliminar información no conlleva una responsabilidad en el caso de aquellas entidades encargadas de su conservación, por lo que pareciera un juego de ellos/nosotros teniendo un derecho para una eliminación natural con el paso del tiempo de cierta historia, y ellos con una forma de evadirse de la misma responsabilidad a sabiendas de una norma imperfecta

[1] Empresa Comercial, la persona moral u organismo público distintos de las Entidades Financieras, que realice operaciones de crédito relacionadas con la venta de sus productos o prestación de servicios, u otras de naturaleza análoga; los fideicomisos de fomento económico constituidos por los Estados de la República y por el Distrito Federal, así como la persona moral y el fideicomiso que adquieran o administren cartera crediticia. Continuarán considerándose Empresa Comercial los fideicomisos mencionados, no obstante que se encuentren en proceso de extinción

[2] LEY PARA REGULAR LAS SOCIEDADES DE INFORMACIÓN CREDITICIA publicada en el Diario Oficial de la Federación el 15 de enero de 2002 y modificada el 10 de enero de 2014

Artículo 20.- La base de datos de las Sociedades se integrará con la información sobre operaciones crediticias y otras de naturaleza análoga que le sea proporcionada por los Usuarios. Los Usuarios que entreguen dicha información a las Sociedades deberán hacerlo de manera completa y veraz; asimismo, estarán obligados a señalar expresamente la fecha de origen de los créditos que inscriban y la fecha del primer incumplimiento. Las Sociedades no deberán inscribir por ningún motivo, créditos cuya fecha de origen no sea especificado por los Usuarios, o cuando éste tenga una antigüedad en cartera vencida mayor a 72 meses. Lo anterior, de conformidad con lo establecido en los artículos 23 y 24 de esta Ley.

Artículo 23.- Las Sociedades están obligadas a conservar los historiales crediticios que les sean proporcionados por los Usuarios, correspondientes a cualquier persona física o moral, al menos durante un plazo de setenta y dos meses.

Las Sociedades podrán eliminar del historial crediticio del Cliente aquella información que refleje el cumplimiento de cualquier obligación, después de setenta y dos meses de haberse incorporado tal cumplimiento en dicho historial.

En caso de información que refleje el incumplimiento ininterrumpido de cualquier obligación exigible así como las claves de prevención que les correspondan, las Sociedades deberán eliminarlas del historial crediticio del Cliente correspondiente, después de setenta y dos meses de haberse incorporado el incumplimiento por primera vez en dicho historial.

En el caso de créditos en los que existan tanto incumplimientos como pagos, las Sociedades deberán eliminar la información de cada período de incumplimiento, en el plazo señalado en el párrafo anterior, contado a partir de la fecha en que se incorpore en el historial crediticio el primer incumplimiento de cada periodo.

En el caso de créditos en los cuales se registren incumplimientos y posteriormente un pago parcial del saldo insoluto, las Sociedades deberán eliminar la información relativa al crédito así como las claves de prevención correspondientes, en el plazo señalado en el tercer párrafo de este artículo, contado a partir de la fecha en que se incorpore en el historial crediticio el primer incumplimiento.

En el caso de que el Cliente celebre un convenio de finiquito y pague lo establecido en éste, el Usuario deberá enviar a la Sociedad la información respectiva, a fin de que ésta refleje que el pago se ha realizado, con la correspondiente clave de observación. Las Sociedades deberán eliminar la información relativa a estos créditos, así como las claves de observación correspondientes, en el plazo señalado en el tercer párrafo de este artículo, contado a partir de la fecha en que se incorpore en el historial crediticio el primer incumplimiento.

Para efectos de este artículo se entenderá por periodo de incumplimiento el lapso que transcurra entre la fecha en que se deje de cumplir con una o más obligaciones consecutivas exigibles y la fecha en que se realice el pago respectivo.

Las Sociedades deberán eliminar la información relativa a créditos menores al equivalente a mil UDIS en los términos que establezca el Banco de México mediante disposiciones de carácter general; asimismo, en dichas disposiciones se podrá determinar un monto y plazo de referencia para eliminar el registro de saldos residuales de cuantías mínimas, el cual no podrá ser superior a cuarenta y ocho meses.

Se exceptúa a las Sociedades de la obligación de eliminar la información relativa al incumplimiento correspondiente del historial crediticio, en el plazo señalado en el segundo párrafo de este artículo, cuando en la fecha en que corresponda eliminarla, el incumplimiento en el pago exigible esté siendo objeto de juicio en tribunales. Lo anterior, con base en la información que al efecto y bajo protesta de decir verdad le proporcione el Usuario que corresponda, a la Sociedad de que se trate.

En el supuesto al que se refiere el párrafo anterior, la Sociedad deberá eliminar del historial crediticio la información sobre el incumplimiento de que se trate, una vez transcurridos seis meses contados a partir de que se haya cumplido el plazo señalado al efecto en el aludido segundo párrafo de este artículo, salvo que el Usuario acredite nuevamente que el juicio sigue pendiente de resolución, en cuyo caso el mencionado plazo de seis meses se prorrogará por un periodo igual y así sucesivamente hasta que proceda la eliminación correspondiente.

Artículo 23 Bis.- Las Sociedades, sin perjuicio de lo dispuesto en el artículo 23 de esta Ley podrán, bajo su más estricta responsabilidad, conservar información una vez vencidos los plazos a que se refiere dicho artículo, a fin de asegurarse de que la información que reciban de sus Usuarios con posterioridad a tales plazos, no esté relacionada con aquella que debió haber sido eliminada. En caso de recibirla, deberán dar aviso a la Comisión, si el Usuario que la entregue es supervisado por dicho órgano desconcentrado.

Artículo 66.- El Banco de México sancionará con multa de 1,000 a 15,000 veces el salario mínimo general diario vigente en el Distrito Federal, a las Sociedades cuando:

… IV. Omitan eliminar de su base de datos la información crediticia que el Banco de México establezca a través de disposiciones de carácter general expedidas con base en el artículo 23, octavo párrafo.

El secreto bancario en Costa Rica, legislación nacional y jurisprudencia

secreto_bancario_costarica

Por Jorge Luis Garcia Obregon y Jose Jiménez Araya

I DOCTRINA

La Licenciada Rocío Rivera Martínez, en su tesis para obtener la Licenciatura en Derecho en la Universidad de Costa Rica ha conceptualizado el secreto bancario de la siguiente manera:

“Existen diferentes definiciones sobre el secreto bancario, el cual según Mario Bonfanti también se le conoce como ‘…secreto financiero e, incluso como confidencialidad bancaria.’ (…) Se puede por lo tanto considerar ciertos elementos comunes en estas definiciones doctrinales, primero el hecho de que es un deber de discreción o de silencio, segundo que quien se encuentra bajo esta obligación es el banco o entidad financiera, entendida tanto en su persona moral como el conjunto de personas físicas que la conforman así  como  aquellos  servicios  contratados  directamente  para  el funcionamiento  de  la  entidad  y  por  lo  tanto  se  enteren  de informaciones que corresponden a clientes del banco. Y un tercer elemento es el derecho que cuenta el cliente de que se observe por parte del banco la discreción debida con respecto a sus negocios o movimientos patrimoniales.”[i]

Otros autores lo han definido, mas escuetamente, como el “…deber de silencio a cargo de los bancos respecto de hechos vinculados a las personas con que mantienen relaciones comerciales.”[ii]

“…En realidad se trata del secreto de las entidades que se dedican en esencia a tareas de intermediación financiera, de las cuales el Banco es la expresión más importante y difundida pero no la única. De  tal  modo  que,  para  decirlo  en  forma  más  técnica,  debería hablarse del secreto de las entidades financieras. Sin  embargo  la  expresión  “Secreto  Bancario”,  que  es  tan  antigua como la misma profesión del banquero, viene por ello respaldada por una larga tradición, e involucra connotaciones que determinan el mantenimiento de la expresión.”[iii]

En todos los anteriores conceptos podemos denotar las palabras DEBER, OBLIGACIÓN, OBSERVAR, y otros adjetivos impositivos. Pues, esta claro que la misma no es una atribución o un mero servicio de valor agregado de las entidades financieras. Coinciden, en esencia, todas las citas anteriores que es el compromiso de NO facilitar noticia alguna sobre los fondos o valores que tengan en depósito o cualquier otra transacción, ni dar a conocer informaciones confidenciales que reciban de sus clientes o sobre sus clientes. Contemplándolo desde la perspectiva del cliente implica la tutela legal del derecho de reserva sobre las informaciones que están en poder de las entidades financieras, como consecuencia de las relaciones jurídicas de carácter privado entre ambos.

Son tres los aspectos coincidentes por la gran mayoría de los autores sobre las peculiaridades o presupuestos del Secreto Bancario, veamos:

1) Existencia previa de la relación comercial de la entidad bancaria y cliente. Sin este requisito no puede existir secreto bancario, puesto que no hay relación vinculante para ambas partes.

2) La relación comercial, no necesariamente tiene que ser contractual, pues  incluye  información adquirida en etapas pre-contractuales o relaciones con terceros y por último.

3) Que  la  información resguardada en este concepto, NO necesariamente debe tener naturaleza exclusiva financiera ó de índole económica.

Algunos autores encuentran la justificación jurídica de este instituto del derecho bancario en los derechos fundamentales del individuo, al decir:

“En primer término, la esencia consiste en la defensa del derecho a la intimidad frente al banquero, verdadero “confidente necesario”. De  ahí  que  el  secreto  bancario  interesa  fundamentalmente  a  la persona  física  –y  también  a  la  jurídica  como  habremos  de  ver- , tanto  dentro  del  ámbito  propiamente  personal,  como  dentro  del ámbito económico. Como tal, la consagración del secreto bancario está vinculada a una concepción  liberal  y humanista  en  el  contexto  de  las  relaciones entre el individuo y la sociedad. En segundo término, los intereses del banquero se insertan en el contexto de una política de captación de clientela. El  secreto  bancario  configura  frecuentemente  un  instrumento  de captación, y al mismo tiempo una condición ineludible para el más eficaz desempeño de las actividades financieras. De  tal  manera  que  las  características  y  extensión  el  secreto bancario se constituyen  en factores de especial significación en el mercado internacional de capitales. En este sentido, el secreto bancario se divorcia de determinadas concepciones  filosóficas  o  políticas,  para  asumir  perfiles pragmáticos en el marco de las políticas económico-financieras. Pero a pesar de este cúmulo de consideraciones, no debemos perder de  vista  el  punto  de  partida  que  sigue  siendo  lo  esencial:  la protección de la intimidad del individuo.”[iv]

Fundamentación jurídica

Algunos autores opinan la fundamentación del secreto bancario dentro del secreto profesional al decir:

 “Según  nuestro  criterio  observando y considerando las diversas tesis que existen con respecto al fundamento del secreto bancario, se puede considerar que el secreto bancario se encuentra dentro del secreto profesional y que el profesional debe observar su deber de silencio en el tanto se den la relaciones contractuales como cuando se le pida un consejo u opinión, ya que dada la necesidad de acudir al banquero para informarse o realizar cualquier tipo de operación es cada día más común dentro de nuestra sociedad. Dentro de la fundamentación del secreto bancario existen ciertos caracteres que lo identifican, por ejemplo se puede considerar que es una obligación de no hacer, es decir, de no dar a conocer o revelar hechos o informaciones del cliente, la cual se encuentra regulada  en  varias  legislaciones,  también es una obligación indeterminada  en  el  tiempo,  en  el  sentido  de  que  este  deber  se silencio no se extingue con la operación o el negocio que realiza el cliente, ni aunque éste se desvincule de la entidad y es por último una obligación general frente a terceros, es decir es una obligación erga omnes, el banquero no puede ni debe  a menos que una ley se lo permita o exija revelar información de su cliente a terceros, sean estos particulares o entidades. No  obstante el secreto bancario no sólo es eficaz por las relaciones contractuales que ambas pares pueden mantener –banco y cliente-  sino  que  puede  surgir  o  mantenerse  cuando  el  cliente requiera de un consejo u opinión del banquero. Otro factor importante de considerar es el bien jurídico que el secreto bancario protege, por ejemplo Luis Manuel Meján menciona que lo que se pretende proteger con el secreto financiero es una justa  seguridad  patrimonial, a lo que  nosotros  agregamos la importancia de la confianza y discreción mutua entre el banquero y el cliente. Todo esto en busca de una protección de la esfera de la intimidad de cada persona es decir de poder gozar con un ámbito de privacidad  en  ciertas  relaciones,  la  cual  se  encuentra  amparada bajo el artículo 24 de la Constitución Política de nuestro país.”[v]

En nuestro criterio personal, tomamos distancia de la autora citada, puesto que no puede equipararse el secreto bancario al secreto profesional y menos ubicársele dentro de él, por la sencilla razón de la naturaleza de los sujetos, pues la naturaleza jurídica del profesional es la de una persona física y la otra de una persona jurídica, por ello esta sometida su actuar a legislaciones distintas.

Sujetos

Haremos una distinción de los sujetos del “secreto bancario”, desde el punto de vista procesal, entendiéndose como él que posee el derecho de pedir (sujeto activo) al otro (sujeto pasivo) que se guarde el referido secreto, veamos:

Activos

 “… el cliente es, en el secreto bancario, no sólo quien realiza determinadas  operaciones  en  las  entidades  financieras,  sino cualquier persona que se requiera, aunque sea en forma irregular y discontinua, alguno de los servicios que son el giro normal de la Institución Bancaria o Financiera. Es, pues, cliente tanto el que contrata un préstamo o depósito bancario en cuenta corriente, como quien utiliza sus servicios para pagar los recibos por servicios agua o electricidad o  solamente para que se le pague un cheque girado  contra  la  cuenta  corriente  de  un  cliente  – en  sentido estricto- de tal institución bancaria, o quien gestiona el pago de un crédito documentario en el proceso de importación o exportación, siendo en estos casos que sin concretar ninguna operación realizó una manifestación de bienes ante la entidad. El  concepto  de  cliente  –empleado  en  la  regulación  del  Secreto Bancario:  necesariamente  debe  ser  utilizado  en  sentido  amplio, ‘entendiendo por tales no sólo a quienes mantienen una relación de continuidad en sus operaciones con una entidad sino a todo aquel que utilice los servicios de una entidad financiera, aunque sea en forma accidental.’(…) El fundamento último de que el cliente sea el titular del derecho subjetivo de esta relación jurídica es, sin duda, el hecho de que ‘la  persona  necesita  amparo  en  la  vida  de  relación  contra  la ingerencia extraña para resguardarse de las indiscreciones o de la malevolencia’. Existe, pues, interés público en amparar la libertad que fundamenta la confidencialidad de los documentos privados.”[vi]

Pasivos

 “1. Los  bancos  y entidades  financieras,  como  persona  jurídica. Si rompe ese deber de silencio, sufrirá las consecuencias legales en su perjuicio.

2.  Personas  físicas  que  laboran  en  la  entidad  bancaria  o financiera.  Ya  que al ser persona jurídica el banco o entidad financiera, la obligación de guardar silencio, tiene que extenderse según  Gilberto  Villegas  ‘…necesariamente,  a  las  personas  físicas que la administran, gobiernan y fiscalizan y a los funcionarios y empleados de que sirven’. (…)

3. Entidades a las cuales el Estado encomienda la supervisión y control del sistema financiero; esto es lógico en el sentido de que al fiscalizar la entidad, las  personas que realizan ese trabajo deben de guardar silencio con respecto a las actividades bancarias de los clientes de la entidad. Además de que según el Lic. Alfonso Guzmán Cháves, Director de la Asesoría Jurídica de la SUEGEF, ‘la SUGEF  debe  velar  por  la  solidez  y  estabilidad  de  las  entidades financieras,  por  lo  que  no  puede  revelar  información  específica sobre  ninguna  persona,  contrario  a  lo  que  sucede  en  el  mercado bursátil donde debe existir transparencia en relación a todos los sujetos’.

4. La obligación de guardar silencio también existe para aquellas entidades y  personas vinculadas con los bancos y las entidades financieras que por u actividad conozcan hechos o informaciones de los  clientes,  un  ejemplo  pueden  ser las empresas que realizan servicios de auditoría, o las empresas de computación que realizan las tareas de contabilización de operaciones o labores de reunir información que sea de los clientes.”[vii]

Excepciones al secreto bancario

Consentimiento del cliente

 “El cliente puede relevar al banco ya sea en forma expresa o tácita el deber de silencio, las razones podrían ser variadas, pero es totalmente comprensible ya que el cliente es el titular del interés en cuanto al  deber de sigilo,  y  si  él  permite  que se dé la revelación no existe ningún problema.(…) Dentro  de  esta  categoría  pueden  considerarse  también  a  los mandatarios y apoderados del cliente, en razón de las funciones que el cliente o mandante les ha encomendado, ya que actúan a nombre y cuenta del mandante, por lo que una vez acreditada su personería, no tiene sentido mantener la obligación de reserva, ahora bien, es interesante  cuestionarse,  si  el  mandatario  debe  apegarse  a  lo establecido en el Código Civil, en cuanto al mandado en el Título VIII, y si los bancos así lo exigen, desde nuestro punto de vista, con el fin de que se dé una mayor seguridad a la hora de utilizar los  servicios  bancarios,  el  banco  debe  cerciorarse  de  que  la persona en cuya capacidad ha confiado el mandante, esté debidamente legitimado para llevar a cabo las diferentes operaciones bancarias, siendo  algo  necesario  contar  con  un  registro  actualizado  de poderes.”[viii]

Organismos de supervisión

“El  deber  se  sigilo  no  existe  entre  el  Banco  y  la  entidad  o entidades de supervisión del sistema financiero, cubriendo por lo tanto a sus funcionarios y empleados, ya que si esto se diera seria problemático en el sentido de que éstos no podrían cumplir con las labores de fiscalización y control de las entidades que tienen encomendadas.”[ix]

Sucesores a título universal y particular

“En cuanto a los sucesores universales vale la pena mención al hecho de ante ellos no es posible que exista el deber de silencio‘…ya que son continuadores de la personalidad del causante y son lo que reciben, íntegramente o en cuotas, el patrimonio del mismo’. En cambio para los herederos a título particular, como por ejemplo, la quiebra o el concurso de acreedores, es que se permite por medio del  liquidador  puedan  tener  acceso  a  la  información  sobre  el patrimonio del fallido.”[x]

Administración de justicia

“según Bonfanti ‘El trasfondo de privacidad que late en el secreto bancario no puede obstar a los lineamientos del debido proceso legal (civil  o  comercial) instaurado  precisamente como  garantía  de  las  personas,  sobrepasando  con  seguridad  la legítima defensa del patrimonio de cada uno’.” [xi]

II NORMATIVA APLICABLE

Lo que desarrollaremos adelante, es una sinopsis de la normativa nacional y alguna jurisprudencia  que versa sobre el secreto bancario en Costa Rica; dicho compendio abarca distintas ramas de nuestro ordenamiento jurídico, ya que la figura objeto de este estudio, roza de manera transversal y directa, aspectos de índole comercial, penal, financiero, además de ser herramienta fundamental para las investigaciones de uno de los delitos que más aquejan a nuestra región, como lo es la legitimación de capitales.

Código de Comercio

Artículo 615. Las cuentas corrientes bancarias son inviolables y los Bancos sólo podrán suministrar  información  sobre  ellas  a  solicitud  o  con autorización escrita del dueño, o por orden de autoridad judicial competente. Se exceptúa la intervención que en cumplimiento de sus funciones determinadas por la ley haga la Superintendencia General de Entidades Financieras (*)

Queda  prohibida  la  revisión  de  cuentas  corrientes  por  las autoridades fiscales.

(*Así  modificado  el  nombre  del  ente  contralor  bancario  por  el artículo 176 de la Ley Orgánica del Banco Central de Costa Rica No.7558 de 3 de noviembre de 1995)

Código Penal.

Artículo 203. Divulgación de secretos.

Será reprimido con prisión de un mes a un año o de treinta a cien días multa, el que teniendo noticias por razón de su estado, oficio, empleo, profesión o arte, de un secreto cuya divulgación puede causar daño, lo releve sin justa causa.

Si se tratare de un funcionario público o un profesional se impondrá, además inhabilitación para el ejercicio de sus cargos y oficios públicos, o de profesionales titulares, de seis meses a dos años.”

Articulo 339. Divulgación de secretos.

Será reprimido con prisión de tres meses a dos años el funcionario público que divulgare hechos, actuaciones o documentos, que por ley deben quedar secretos.

Ley Orgánica del Banco Central de Costa Rica

Artículo 14. Publicaciones

El  Banco  Central  de  Costa  Rica  suministrará  al público la información que tenga en su poder sobre la situación económica del país y la política económica. Como mínimo, el Banco:

a) Publicará, dentro de los primeros quince días hábiles de cada mes, un balance general de su situación financiera, que comprenderá un amplio detalle de su activo y pasivo al último día hábil del mes anterior. Incluirá un detalle de las cuentas a las que se refiere el artículo 11 de esta ley.

Los balances, las cuentas y los estados del Banco serán firmados por el Gerente y refrendados por el Auditor Interno. Si este no los refrendare,  deberán  ser  publicados  con  las  observaciones pertinentes.  Ambos  serán  responsables  de  la  exactitud  y  la corrección de estos documentos.

b)  Publicará,  durante  el  mes  de  enero  de  cada  año,  el  programa monetario que se propone ejecutar durante el año, e indicará en él sus metas semestrales. Además, publicará, dentro de los primeros treinta  días  naturales  de  cada  semestre,  un  informe  sobre  la ejecución  del  programa  monetario  y  las  modificaciones  que  se propone  introducir  en  el  semestre  siguiente.  También  publicará cualquier modificación del programa monetario que realice durante el semestre, a más tardar una semana a partir de que el acuerdo de modificación sea declarado en firme por la Junta Directiva.

c) Pondrá a disposición del público, dentro de los primeros ocho días  hábiles  de  cada  mes,  por  medios  escritos  y  sistemas electrónicos, un informe de las operaciones cambiarias realizadas por el Banco y, separadamente, las realizadas por el conjunto de entes  que  participan  en  el  mercado  cambiario.  Esto  incluirá  los montos  de  las  compras  y  ventas  de  divisas,  según  su  origen  y destino.

d) Publicará, mensualmente, un resumen estadístico de la situación económica  del  país,  que  incluya,  por  lo  menos,  información  de producción, precios, moneda, crédito, exportaciones, importaciones y reservas internacionales brutas y netas. El Banco establecerá y publicará  la  metodología  que  usará  para  elaborar  este  resumen estadístico, así como los cambios que realice en la metodología.

e) Pondrá a disposición del público, por medios escritos y sistemas electrónicos, la información diaria sobre los tipos de cambio que rigieron  durante  el  día  anterior,  en  cada  uno  de  los  entes autorizados para participar en el mercado cambiario, así como el tipo  de  cambio  promedio  que  rigió  el  día  anterior  en  los  entes autorizados. Para hacer este último cálculo, el Banco establecerá y publicará la metodología que usará, así como los cambios que haga en ella.

f) Publicará, durante los meses de enero y julio, un informe de la evolución de la economía en el semestre anterior. Se  autoriza  al  Banco  Central  para  cobrar  el  costo  de  las publicaciones y de cualquier otro medio que utilice para divulgar información económica.

El  Banco  está  obligado  a  guardar  la  confidencialidad  de  la información individual que le suministren las personas físicas y jurídicas.

Artículo 132. Prohibición

Queda prohibido al Superintendente, al Intendente, a los miembros del Consejo Directivo, a los empleados, asesores y a cualquier otra persona,  física o jurídica, que preste servicios a la Superintendencia en la  regularización o fiscalización  de  las entidades  financieras, dar a conocer  información relacionada con los documentos, informes  u  operaciones  de  las  entidades fiscalizadas.  La  violación  de  esta  prohibición  será  sancionada según lo dispuesto en el artículo 203 del Código Penal. Tratándose de funcionarios de la Superintendencia constituirá, además, falta grave para efectos laborales.  Se exceptúan de la prohibición anterior:

a) La información que la Superintendencia deba brindar al público en los casos y conforme a los procedimientos expresamente previstos en esta ley.

b)  La  información  requerida  por  orden  de  autoridad  judicial competente.

c)  La  información  solicitada  por  la  Junta  Directiva  del  Banco Central,  por  acuerdo  de  por  lo  menos  cinco  de  sus  miembros,  en virtud de ser necesaria para el ejercicio de las funciones legales propias de ese órgano. En estos casos, los miembros de la Junta Directiva y demás funcionarios del Banco Central estarán sujetos a la prohibición indicada en el párrafo primero de este artículo.

d)  La  información  de  interés  público,  calificada  como  tal  por acuerdo unánime del Consejo Directivo.

e)  La  información  que  requiera  la  Contraloría  General  de  la República en ejercicio de sus atribuciones.

 (Así adicionado el inciso anterior por el artículo 67 de la Ley N° 8422 Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública, de 6 de octubre de 2004).

Salvo en los casos que esta ley establece, ningún funcionario de la Superintendencia  o  miembro  del  Consejo  Directivo  podrá  hacer público  su  criterio  acerca  de  la  situación  financiera  de  las entidades fiscalizadas.

Sin  perjuicio  de  las  sanciones  aplicables,  el  Superintendente deberá informar al público, por los medios y en la forma que estime pertinentes, sobre cualquier persona, física o jurídica, nacional o extranjera, que realice actividades de intermediación financiera en el país sin estar autorizada de conformidad con esta ley.

Artículo 133. Reglas para manejar información.

Reglas para  manejar  información  de  la  información  que  la Superintendencia mantiene en virtud del ejercicio de sus labores de supervisión preventiva,  en  materia  de  concentración  de  riesgos crediticios,  la  Superintendencia  podrá  informar  a  las  entidades fiscalizadas  sobre  la  situación  de  los  deudores  del  sistema financiero,  de  acuerdo  con  las  reglas  que  se  establecen  en  los incisos siguientes:

a) Cuando una entidad financiera, en la evaluación de una solicitud de crédito, estime necesario conocer la situación del solicitante en  la  atención  de  sus  obligaciones en el Sistema Financiero Nacional, podrá solicitarle a este su autorización escrita para que la entidad consulte en la Superintendencia sobre su situación.

b)  La entidad supervisada enviará a la Superintendencia la autorización escrita del solicitante, así como la indicación del funcionario o empleado de esta a quien la Superintendencia comunicará la información solicitada. La entidad será responsable por el adecuado uso de la información recibida.

c)  La  entidad  supervisada  entregará  copia  al  solicitante  del crédito,  de  la  información  recibida  de  la  Superintendencia,  a efecto de que este pueda revisar la veracidad de los datos.

Cuando el solicitante estime que los datos no reflejan la situación real de sus obligaciones, podrá dirigirse a la Superintendencia a efecto de que esta aclare la situación.

d) Queda prohibido a los funcionarios, empleados y administradores de las entidades fiscalizadas y de la Superintendencia, suministrar a terceros cualquier dato de la información a que se refiere este artículo. Quien violare la prohibición anterior o los funcionarios, empleados  y  administradores  que  dolosamente  alteren,  registren  o brinden  información  falsa  o  que  no  conste  en  los  registros  o certificaciones de la Superintendencia, serán sancionados con una pena  de  prisión  de  tres  a  seis  años,  sin  perjuicio  de  la responsabilidad penal establecida anteriormente.

El funcionario, empleado o administrador que infrinja lo señalado en este artículo será destituido de su cargo, sin responsabilidad patronal.

e) La Superintendencia deberá establecer las medidas internas que estime  necesarias  para  salvaguardar  la  confidencialidad  de  la información a que se refiere este artículo.

f)  La  información  que  otorgue  la  Superintendencia  sobre  la situación  de  endeudamiento  del  solicitante  de  un  crédito,  no implica calificación alguna sobre su solvencia y liquidez, por lo que la Superintendencia no será responsable por créditos otorgados por  las  entidades  fiscalizadas  con  base  en  la  información suministrada.

Ley Reguladora de Empresas Financieras no Bancarias

Artículo 8.

Las sociedades financieras no podrán hacer del conocimiento público los  detalles  de  las  operaciones  individuales  realizadas  con  sus clientes, ni las informaciones de carácter reservado que reciban de éstos con excepción de:

a)  Los  informes  que  requiera  la  Auditoría  General  de  Bancos  en ejercicio de sus funciones de fiscalización y vigilancia conforme a esta ley;

b)  Los  datos  estadísticos  y  financieros  de  carácter  general  que necesite el Banco Central de Costa Rica o que la sociedad considere necesario divulgar o publicar para la promoción de sus actividades;

c) El intercambio de información por conductos privados que deban efectuar para fijar su política crediticia y el trámite normal de sus negocios; y

d) La que soliciten las autoridades judiciales competentes o que sea requerida para el cumplimiento de las leyes vigentes.

d. Reglamento de la Ley Reguladora de Empresas Financieras no Bancarias

Artículo  19.

Las  empresas  financieras  no  podrán  hacer  del conocimiento público los detalles de las operaciones individuales realizadas  por  sus  clientes,  ni  las  informaciones  de  carácter reservado que reciban de estos; no obstante lo anterior, deberán proveer o suministrar:

a) Los informes que requiera la Auditoría General en ejercicio de sus funciones de fiscalización y vigilancia conforme con la ley y a este Reglamento.

b) Los datos estadísticos y financieros de carácter general que necesite el Banco Central;

c)  La  información  que  soliciten  las  autoridades  judiciales competentes o que sea requerida para el cumplimiento de las leyes vigentes.

Asimismo, quedan autorizadas para:

i)  Divulgar  o  publicar  los  datos  estadísticos  y  financieros  de carácter  general  que  la  empresa  financiera  necesite  para  la promoción de sus actividades. Para este efecto se considerarán como datos  de  carácter  general  los  que  corresponden  a  tres  o  más personas  físicas  o  jurídicas,  de  tal  manera  que  no  puedan  ser identificadas; individualmente y

ii) Realizar el intercambio de información por conductos privados que deban efectuar para fijar su política crediticia y el trámite normal de sus negocios.

Ley  sobre  Estupefacientes,  Sustancias  Psicotrópicas, Drogas de Uso No Autorizado y Actividades Conexas

Artículo 14.

Se consideran entidades sujetas a las obligaciones de esta Ley, las que regulan, supervisan y fiscalizan los siguientes órganos, según corresponde:

a) La Superintendencia General de Entidades Financieras (SUGEF). b) La  Superintendencia  General  de  Valores  (SUGEVAL).  c)  La Superintendencia de Pensiones (SUPEN).

Asimismo, las obligaciones de esta Ley son aplicables a todas las entidades  o  empresas  integrantes  de  los  grupos  financieros supervisados  por  los  órganos  anteriores,  incluidas  las transacciones  financieras  que  los  bancos  o  las  entidades financieras domiciliadas en el extranjero realicen por medio de una entidad financiera domiciliada en Costa Rica. Para estos efectos, las  entidades  de  los  grupos  financieros  citados  no  requieren cumplir nuevamente con la inscripción señalada en el artículo 15 siguiente,  pero  se  encuentran  sujetas  a  la  supervisión  del respectivo órgano, en lo referente a legitimación de capitales.

Artículo  15.

Estarán  sometidos  a  esta  Ley,  además,  quienes desempeñen, entre otras actividades, las citadas a continuación:

a) Operaciones sistemáticas o substanciales de canje de dinero y transferencias  mediante  instrumentos,  tales  como  cheques,  giros bancarios, letras de cambio o similares.

b)  Operaciones  sistemáticas  o  substanciales  de  emisión,  venta, rescate o transferencia de cheques de viajero o giros postales.

c) Transferencias sistemáticas substanciales de fondos realizadas por cualquier medio.

d)  Administración  de  fideicomisos  o  de  cualquier  tipo  de administración  de  recursos  efectuada  por  personas  físicas  o jurídicas que no sean intermediarios financieros.

Las  personas  físicas  o  jurídicas  que  desempeñen  las  actividades indicadas en los incisos anteriores y no se encuentren supervisadas por alguna de las superintendencias existentes en el país, deberán inscribirse ante la SUGEF, sin que por ello se interprete que están autorizadas para operar; además, deberán someterse a la supervisión de esta respecto de la materia de legitimación de  capitales, establecida  en  esta  Ley.  La  inscripción  será  otorgada  por  el Consejo  Nacional  de  Supervisión  del  Sistema  Financiero,  previo dictamen afirmativo de esa Superintendencia, cuando se cumplan las disposiciones  legales  y  reglamentarias  aplicables.  Las municipalidades  del  país  no  podrán  extender  nuevas  patentes  ni renovar las actuales para este tipo de actividades, si no se ha cumplido el requisito de inscripción indicado.

La SUGEF, la SUGEVAL y la SUPEN, según corresponda, deberán velar porque no operen, en el territorio costarricense, personas físicas o  jurídicas,  cualquiera  que  sea  su  domicilio  legal  o  lugar  de operación que, de manera habitual y por cualquier título, realicen sin autorización actividades como las indicadas en este artículo.

Cuando, a juicio del Superintendente, existan motivos de que una persona física o jurídica está realizando alguna de las actividades mencionadas en este artículo, la Superintendencia tendrá, respecto de los presuntos infractores, las mismas facultades de inspección que le corresponden, según esta Ley, respecto de las instituciones sometidas  a  lo  dispuesto  en  este  título,  en  lo  referente  a legitimación de capitales.

Artículo  20.

Toda  institución  financiera  deberá  registrar, en un formulario diseñado por el órgano de supervisión y fiscalización competente, el ingreso o egreso de las transacciones en efectivo, en moneda nacional o extranjera, iguales o superiores a los diez mil  dólares  estadounidenses  (US$10.000,00)  o  su  equivalente  en colones.

Las  transacciones  indicadas  en  el  párrafo  anterior  incluyen  las transferencias desde el exterior o hacia él.

Artículo  21.

Los  formularios  referidos  en  el  artículo  anterior deberán contener, respecto de cada transacción, por lo menos los siguientes datos:

a)  La  identidad,  firma,  fecha  de  nacimiento  y  dirección  de  la persona  que  físicamente  realiza  la  transacción.  Además, deberá aportarse fotocopia de algún documento de identidad. Las personas  jurídicas  deberán  consignar,  para  su  representante  legal  y  su agente residente, la misma información solicitada a las personas físicas.

b) La identidad y dirección de la persona a cuyo nombre se realiza la transacción.

c) La identidad y dirección del beneficiario o destinatario de la transacción, si existe.

d) La identidad de las cuentas afectadas por la transacción, si  existen.

e) El tipo de transacción de que se trata.

f)  La  identidad  de  la  institución  financiera  que  realizó  la transacción.

g) La fecha, la hora y el monto de la transacción.

h) El origen de la transacción.

i) La identificación del funcionario que tramita la transacción.

Artículo  22.

A  partir  de  la  fecha  en  que  se  realice  cada transacción,  la  institución financiera  llevará  un  registro, en forma precisa y completa, de los documentos, las comunicaciones por medios electrónicos y cualesquiera otros medios de prueba que la respalden, y los conservará por un período de cinco años a partir de la finalización de la transacción.

Dicha información estará a la disposición inmediata del organismo supervisor correspondiente.

Artículo  23.

Las  transacciones  múltiples  en  efectivo,  tanto  en moneda nacional como extranjera, que en conjunto igualen o superen los  diez  mil  dólares  estadounidenses  (US$10.000,00)  o  su equivalente  en  otras  monedas  extranjeras,  serán  consideradas transacciones únicas, si son realizadas por una persona determinada o en beneficio de ella durante un día, o en cualquier otro plazo que fije el órgano de supervisión y fiscalización competente. En tal  caso, cuando la institución financiera, sus empleados, funcionarios  o  agentes  conozcan  de  estas  transacciones,  deberán efectuar el registro referido en el artículo anterior.

Queda a criterio de la entidad financiera efectuar dicho registro aun cuando se trate de operaciones en las que no medie efectivo.

Artículo  24.

Las  entidades  sometidas  a  lo  dispuesto  en  este capítulo  prestarán  atención  especial  a  las  transacciones sospechosas, tales como las que se efectúen fuera de los patrones de transacción habituales y las que no sean significativas pero sí periódicas, sin fundamento económico o legal evidente. Lo dispuesto aquí  es  aplicable  a  los  órganos  de  supervisión  y fiscalización.

Artículo 25.

Si se sospecha que las transacciones descritas en el artículo anterior constituyen actividades ilícitas o se relacionan con  ellas,  incluso  las  transacciones  que  se  deriven  de transferencias  desde  el  exterior  o  hacia  él,  las  instituciones financieras  deberán  comunicarlo,  confidencialmente  y  en  forma inmediata,  al  órgano  de  supervisión  y  fiscalización correspondiente, el cual las remitirá inmediatamente a la Unidad de Análisis  Financiero.

Artículo  26.

Bajo  las  regulaciones  y  la supervisión citadas en este título, las instituciones sometidas a lo  dispuesto  en  él  deberán  adoptar,  desarrollar  y  ejecutar programas,  normas,  procedimientos  y  controles  internos  para prevenir  y  detectar  los  delitos  tipificados  en  esta  Ley.  Tales programas incluirán, como mínimo:

a) El establecimiento de procedimientos para asegurar un alto nivel de integridad personal del propietario, directivo, administrador o empleado de las entidades financieras, y un sistema para evaluar los  antecedentes  personales,  laborales  y  patrimoniales  del programa.

b)  Programas  permanentes  de  capacitación  del  personal  y  de instrucción en cuanto a las responsabilidades fijadas en esta Ley.

Artículo 27.

Las instituciones financieras deberán designar a los funcionarios encargados de vigilar el cumplimiento de los programas y  procedimientos  internos,  incluso  el  mantenimiento  de  registros adecuados  y  la  comunicación  de  transacciones  sospechosas. Estos funcionarios servirán de enlace con las autoridades competentes. La gerencia general o la administración de la institución financiera respectiva,  proporcionará  los  canales  de  comunicación  adecuados para facilitar que dichos funcionarios cumplan su labor; además, supervisará el trabajo de los encargados de desempeñarla.

Artículo 28.

Conforme  a  derecho,  los  órganos  dotados  de  potestades  de fiscalización y supervisión tendrán, entre otras obligaciones, las siguientes:

a) Vigilar el cumplimiento efectivo de las obligaciones de registro y notificación señaladas en esta Ley.

b)  Dictar  los  instructivos  y  determinar  el  contenido  de  los formularios para el registro y la notificación de las operaciones indicadas en el artículo 20 de esta Ley, a fin de presentar las recomendaciones que apoyen a las instituciones financieras en la detección de patrones sospechosos en la conducta de sus clientes.

Estas pautas tomarán en cuenta técnicas modernas y seguras para el manejo  de  activos y servirán como elemento  educativo  para  el personal de las instituciones financieras.

c) Cooperar con las autoridades competentes y brindarles asistencia técnica,  en  el  marco  de  las  investigaciones  y  los  procesos referentes a los delitos tipificados en esta Ley.

Ley Reguladora del Mercado de Valores.

 “Artículo 108. Actuación de participantes.

Los participantes en el mercado que reciban órdenes, las ejecuten o asesoren a clientes respecto de inversiones en valores, deberán actuar con cuidado y diligencia en sus operaciones, realizándolas según las instrucciones estrictas de sus clientes o, en su defecto, en los mejores términos, de acuerdo con las normas y los usos del mercado. La información que dichos participantes tengan de sus clientes será confidencial y no podrá ser usada en beneficio propio ni de terceros; tampoco para fines distintos de aquellos para los cuales fue solicitada.”

 “Artículo 151. Intercambio de información.

La Superintendencia podrá intercambiar información con organismos supervisores similares de otros países, siempre que exista reciprocidad y que, cuando se trate de información confidencial, el organismo supervisor correspondiente esté sujeto a prohibiciones de divulgación de esa información, equiparables a las indicadas en esta ley.”

Código de Normas y Procedimiento Tributarios.

 “ARTICULO 106.

Deberes específicos de terceros.

Los deberes estipulados en este artículo se cumplirán sin perjuicio de la obligación general establecida en el artículo anterior, de la siguiente manera:

a) Los retenedores estarán obligados a presentar los documentos informativos de las cantidades satisfechas a otras personas, por concepto de rentas del trabajo, capital mobiliario y actividades profesionales.

b) Las sociedades, las asociaciones, las fundaciones y los colegios profesionales deberán suministrar la información de trascendencia tributaria que conste en sus registros, respecto de sus socios, asociados, miembros y colegiados.

c) Las personas o las entidades, incluidas las bancarias, las crediticias o las de intermediación financiera en general que, legal, estatutaria o habitualmente, realicen la gestión o la intervención en el cobro de honorarios profesionales o de comisiones, deberán informar sobre los rendimientos obtenidos en sus actividades de captación, colocación, cesión o intermediación en el mercado de capitales.

d) Las personas o las entidades depositarias de dinero en efectivo o en cuenta, valores u otros bienes de deudores de la hacienda pública, en el período de cobro judicial, están obligadas a informar a los órganos y a los agentes de recaudación ejecutiva, así como a cumplir con los requerimientos que ellos les formulen en el ejercicio de sus funciones legales.

e) Los bancos, las instituciones de crédito y las financieras, públicas o privadas, deberán proporcionar información relativa a las operaciones financieras y económicas de sus clientes o usuarios. En este caso, el Director General de la Tributación Directa, mediante resolución fundada, solicitará a la autoridad judicial competente que ordene entregar esa información, siempre que se cumpla con lo establecido en los párrafos siguientes de este artículo.

Únicamente podrá solicitarse información sobre contribuyentes o sujetos pasivos previamente escogidos, mediante los criterios objetivos de selección para auditoría, debidamente publicados por la Administración Tributaria e incluidos en el Plan Anual de

Auditoría vigente a la fecha de la solicitud.

Asimismo, deberá demostrarse, en la solicitud, la existencia de evidencias sólidas de la configuración potencial de un acto ilícito tributario.

Además, en la solicitud podrá incluirse información sobre terceros contribuyentes cuando, a raíz de la investigación de uno de los contribuyentes que cumpla con los requisitos anteriores, se determine que estos terceros podrían estar vinculados con actos ilícitos tributarios.”

III JURISPRUDENCIA

a. El  secreto  bancario  tiene  solo  rango  legal  y  no constitucional

 “De  la  exégesis  de  lo  dispuesto  en  el  artículo  24  de  la Constitución Política se desprende, con claridad que en él no se establece ni tampoco se regula el denominado “secreto bancario”, razón por la que tanto su instauración como su regulación en el ordenamiento  jurídico  es  medularmente  legal  y  no  constitucional. Así  el  procedimiento  establecido  por  el  inciso  cuestionado,  sin entrar en mayores consideraciones acerca de los reparos formulados por  los  Diputados,  no  puede  quebrantar  lo  establecido  en  el artículo 24 de la Carta Magna, como tampoco excede el límite de la actuación administrativa -sin control judicial “a priori”- en esta materia,  comentado  en  el  Considerando  anterior,  pues  la  propia norma  impone  a  la  Administración  tributaria  la  exigencia  de  una autorización judicial para el levantamiento del denominado “secreto bancario”.[xii]

 “I)  La  Sala  en  las  sentencias  números  5355-94  y  5507-94,  entre otras,  indicó  que  el  secreto  bancario  no  tiene  rango constitucional, pues no pasa de ser una de las características que el  legislador  ordinario  ha  elegido  para  nuestro  sistema, consiguientemente  su  trascendencia  es  únicamente  legal.  No  debe perderse de vista que el Código de Comercio prevé la confiabilidad de las cuentas corrientes, es decir; del detalle del funcionamiento de la cuentacorriente lo que es distinto de la conducta comercial de los usuario de los servicios bancarios que puede ser registrada a fin de que sirva como parámetro para prever su compartimiento futuro cuando se trate de concederle un nuevo préstamo. La Sala no estima irrazonable que los Bancos lleven un registro de la conducta de sus clientes y que ello sea un elemento a tomar en cuenta cuando se trate de aprobar un nuevo crédito.”[xiii]

Actividades que contempla

 “En  general  toda  actividad  bancaria  que  involucre  contratos  o solicitudes  de  cualquier  otro  tipo  de  relación  con  particulares -como  clientes-,  está  por  su  naturaleza,  amparada  al  secreto bancario.  Las  operaciones  que  efectúen  los  particulares  con  los bancos  -como  sujetos  de  derecho  privado-constituyen  tanto  en  su obtención como en la forma y el modo de su constitución y servicio, documentos  privados  que  están  amparados  a  la  protección  que establece  el  artículo  24  Constitucional  -salvo  que  por  su naturaleza  deban  constar  en  documentos  públicos  o  en  registros, también públicos, de los cuales y sin intervención del banco, se podría  obtener  la  información  que  ellos  contengan-,   así  que  el banco no puede suministrarla sino en los casos y en la forma que aquel artículo prevé para ello. La información que fuera solicitada por el recurrente -como cliente de la operación y como interesado directo-  no  cae  dentro  de  la  prohibición  que,  en  cuanto  a  su suministro, establece el artículo constitucional citado, por lo que la negativa a brindarla hace que el recurso devenga procedente por violación del artículo 27 Constitucional y prevenir, igualmente, al recurrido no incurrir en conductas posteriores que podrían hacer aplicable  lo  dispuesto  en  artículos  71  y  72  de  la  Ley  de  la Jurisdicción Constitucional.” [xiv]

 “En este sentido, el secreto bancario, entendido genéricamente como deber  impuesto  a  las  entidades  financieras  de  no  revelar informaciones  que  posean  de  sus  clientes  y  las  operaciones  o negocios  que  realicen  con  ellos,  constituye  una  de  las manifestaciones del derecho a la intimidad y a la vida privada. Por lo  que  los  documentos  e  informaciones  que  un  cliente  haya proporcionado  a  un  Banco  y  las  operaciones  o  negocios  que  haya pactado con él, se encuentran protegidos por la tutela genérica a los documentos e informaciones privadas y por el secreto bancario. Sin embargo, la exhibición de objetos particularmente los dados en prenda  a  otros,  que  deben  ser  custodiados  por  su  valor  o preservación, no por su confidencialidad, no se encuentra protegida por el artículo 24 de la Constitución ni por el secreto bancario.

El  secreto  bancario  protege  la  divulgación  de  informaciones  que expresan determinados contenidos, no la exhibición de bienes que como tales no se asimilan a las informaciones que podrían obtenerse de  su  manejo  o  análisis.  Por  lo  que  si  las  partes  pactan expresamente en el contrato la forma en que se van a custodiar esos bienes o el manejo de tales objetos y alguno de los contratantes transgrede dichas reglas, se configura a lo sumo un incumplimiento contractual  pero  no  una  violación  de  derechos  fundamentales.  En consecuencia, procede declarar sin lugar el recurso.”[xv]

Alcance jurisprudencial

 “En el caso concreto que se somete a decisión de este Tribunal la petición  de  información  la  formuló  el  actor  en  los  siguientes términos: “a) cuáles son las razones de que el Banco Nacional se encuentre  en  un  estado  de  insuficiencia  patrimonial.  b)  Qué acciones tomó esa superintendencia con la pérdida de $35.000.000,00 sufrida  por  el  banco  en  el  proyecto  Fibasur.  c)  Si  la superintendencia ha remitido al Ministerio Público las actuaciones de la Junta Directiva del Banco Nacional, por la pérdida de los $35.000.000,00, la pérdida sufrida con la empresa COCESA, donde además de perder el crédito debió cancelar costas millonarias. d) Si el pago de los $70.000,00 mensuales por concepto de alquiler de vehículos, más las otras sumas están siendo estimadas dentro de los problemas  financieros  del  banco  y  si  tienen  respaldo  legal.” Retomando la sentencia #2003-06908, recién citada, debe enfatizarse que no solo el funcionamiento de la banca nacionalizada -la forma en que se emplean sus recursos- es de interés público, sino también la  adecuada  fiscalización  que  de  tal  funcionamiento  haga  la Superintendencia General de Entidades Financieras, tal y como lo dispone el artículo 115 de la Ley Orgánica del Banco Central de Costa  Rica: “Es  de  interés  público  la  fiscalización  de  las entidades  financieras  del  país,  para  lo  cual  se  crea  la Superintendencia  General  de  Entidades  Financieras,  también denominada  en  esta  ley  la  Superintendencia,  como  órgano  de desconcentración  máxima  del  Banco  Central  de  Costa  Rica.  La Superintendencia regirá sus actividades por lo dispuesto en esta ley, sus reglamentos y las demás leyes aplicables.” Adicionalmente, la resolución #2003-06098 alude con claridad al interés público –de todos los habitantes- en acceder a la información relacionada con la  gestión  de  los  funcionarios  y administradores  del  Banco  como institución pública, así como con la fiscalización del destino de los recursos públicos y a la transparencia como garantía para los ahorrantes e inversores, fuente de confianza en el sistema.

– En este sentido, en la respuesta que se remitió al actor no se efectúa  el  mínimo  esfuerzo  de  distinguir,  dentro  de  los  temas generales recién enunciados del funcionamiento de la banca estatal y su supervisión, cuáles aristas podrían comprometer la labor de fiscalización y producir pánico en el público inversionista. No se indica  siquiera  si,  en  efecto,  se  está  llevando  a  cabo  una investigación de los aspectos consultados, que pueda ilustrar al interesado, en forma general que ha existido una intervención de la Superintendencia  dirigida  a  supervisar  la  actividad  de  la institución autónoma en cuestión.

– Igualmente se echa de menos alguna explicación de la manera en que  los  diferentes  puntos  que  consulta  el  recurrente  podrían resultar  enmarcados  dentro  de  las  prohibiciones  que  prevé  el artículo 132 de la Ley Orgánica del Banco Central de Costa Rica. No se  piden  documentos  concretos,  informes  preparados  por  la Superintendencia, ni los datos de operaciones específicas del Banco Nacional. Tan solo es posible considerar comprendido dentro de las restricciones  del  numeral  en  comentario  la  primera  pregunta  del recurrente, que consulta las razones del estado de insuficiencia patrimonial  del  Banco  mencionado.  Al  respecto  el  artículo  132 estipula que “ningún funcionario de la Superintendencia o miembro del Consejo Directivo podrá hacer público su criterio acerca de la situación financiera de las entidades fiscalizadas.” En conclusión,

quitando  esa  salvedad,  considera  la  Sala  que  el  derecho  a  la información del actor se vio infringido con la respuesta otorgada en el oficio SUGEF 2744/200405684 del 12 de julio de 2004, por lo procede  estimar  el  recurso,  ordenando  al  Intendente  General  de Entidades  Financieras,  en  su  carácter  de  superior  del  órgano accionado,  proveer  lo  necesario  para  que  se  suministre  al recurrente la información pedida en su memorial del 7 de julio de 2004, bajo los puntos b) a d). Lo anterior dentro del plazo de diez días, contado a partir de la notificación de esta sentencia.”[xvi]

Naturaleza y modalidad del secreto profesional

En primer lugar, el secreto bancario es una modalidad del secreto profesional,  cuyo  deber  recae  sobre  las  entidades  financieras, quienes deben guardar reserva sobre las operaciones realizadas por sus  clientes.  Esto  forma  parte  del  derecho  a  la  intimidad consagrado en la Constitución Política.  Sin embargo, este derecho no es absoluto y está sometido a excepciones, y una de ellas es precisamente, la dispuesta en el artículo 198 del Código Procesal Penal de 1996, que indica que el Ministerio Público, e incluso la policía, pueden disponer que sean secuestrados los objetos sujetos a confiscación, como lo es el caso del dinero proveniente de un delito.  En este caso no es aplicable la Ley de registro, secuestro y  examen  de  documentos  privados  e  intervención  de  las comunicaciones,  No. 7524 del 9 de agosto de 1994, publicada el 8 de  setiembre  de  1994.   Si  bien  es  cierto  esta  ley  regula  el secuestro  y  examen  de  documentos  privados,  entendidos  como correspondencia epistolar, por fax, télex, telemática o cualquier otro medio; los videos, los casetes, las cintas magnetofónicas, los discos, los disquetes, los escritos, los libros, los memoriales, los  registros,  los  planos,  los  dibujos,  los  cuadros,  las radiografías, las fotografías y cualquier otra forma de registrar información  de  carácter  privado,  utilizados  con  carácter representantivo o declarativo, para ilustrar o comprobar algo, el dinero no es un documento privado.  Además, en el caso de bienes producto del delito o sujetos a confiscación se aplica el artículo 198 del Código Procesal Penal, que no sólo es ley posterior sino ley especial respecto de aquélla. Este tema ya había sido discutido dentro del presente proceso, a raíz de una gestión de la defensa que culminó en  una consulta judicial de la constitucionalidad del artículo  198  del  Código  Procesal  Penal  (ver  folios  285  a  291). Mediante  resolución  de  la  SALA  CONSTITUCIONAL   No.  5024-99,  de 11:42 horas del 25 de julio de 1999, se dispuso que no estaba en discusión  un  problema  de  constitucionalidad,  sino  de  mera legalidad, por lo que la Juez consultante debía resolver el punto dentro de las facultades a ella conferidas por el ordenamiento.  En acatamiento  de  lo  resuelto  por  la  Sala  Constitucional,  la  jueza consideró  en  forma  acertada  que  el  secreto  bancario  desaparece cuando se debe investigar un delito, y que el Ministerio Público está  plenamente  facultado  para  decomisar  dinero  relacionado  con dicha  investigación,  opinión  plenamente  compartida  por  esta  Sala (ver folio 319). Por lo anterior el reclamo se declara sin lugar.”[xvii]

e. Frente a la norma constitucional de la publicidad de las contribuciones privadas de los partidos políticos no se puede  anteponer  el  secreto  bancario,  puesto  que,  esta institución no tiene rango constitucional sino legal.

En vista de que la situación planteada en este amparo es similar a la que se analizó en esa sentencia y por considerar la Sala que no existen motivos para cambiar el criterio vertido, lo procedente es estimar el recurso en vista de que, como se indicó, el patrimonio de los partidos políticos -independientemente de su origen privado o público- se encuentra sujeto a los principios de publicidad y transparencia por expresa disposición constitucional, la cantidad de  cuentas  corrientes,  sus  movimientos  y  los  balances  que  los partidos  políticos  poseen  en  los  Bancos  Comerciales  del  Estado, bancos privados y cualquier entidad financiera no bancaria son de interés  público  y,  por  consiguiente,  pueden  ser accesados  por cualquier persona, de manera que frente a la norma constitucional de  la  publicidad  de  las  contribuciones  privadas  de  los  partidos políticos no se puede anteponer el secreto bancario, puesto que, esta institución no tiene rango constitucional sino legal, y por ende,  en  el  caso  concreto,  ello  implica  ordenar  la  entrega inmediata de la información solicitada por el recurrente.”[xviii]

f. Estima el recurrente que la decisión de las autoridades de  Valores  Cuscatlán  de  no  entregar  la  información solicitada  sobre  los  movimientos  de  la  cuenta  que mantiene el Partido Unidad Social Cristiana violenta sus derechos fundamentales

 “Las autoridades del Banco Cuscatlán le indicaron al recurrente mediante Oficio GGV/023-2003 que no podían entregar la información solicitada  pues  el  voto  de  este  Tribunal  2003-03489,  se  refería únicamente a bancos y entidades financieras no bancarias y entidades de naturaleza financiera no bancaria y como la recurrida es un intermediario  del  mercado  de  valores,  es  decir  un  intermediario bursátil, debe respetar el secreto bursátil. Sin embargo, contrario a lo expuesto, por el recurrido, según se desprende de lo expuesto en el considerando anterior, las valoraciones realizadas por este Tribunal sobre el secreto bancario es plenamente aplicable al secreto bursátil, pues ante una situación como la que nos ocupa, sea el otorgamiento de una información con carácter público, permiten  el  establecimiento  de  un  trato  también  similar.  Lo  anterior,  se fundamenta en la sujeción del patrimonio de los partidos políticos -independientemente de su origen privado o público- a los principios de publicidad y transparencia por expresa disposición constitucional (artículo 96, párrafo 3°). Así las cosas, todos los movimientos registrados en la cuenta que mantiene el Partido Unidad en  Valores Cuscatlán son de interés público y, por consiguiente, pueden ser accesados por cualquier persona. Frente a la norma constitucional  de  la  publicidad  de  las  contribuciones  privadas  de  los partidos políticos no se puede anteponer el secreto bursátil, como lo  alegan  los  recurridos,  puesto  que,  esta  institución  no  tiene rango constitucional, sino legal. En todo caso debe entenderse que el párrafo 3° del artículo 96 de la Constitución Política constituye un principio instrumental para hacer efectivo el goce y el ejercicio del derecho fundamental consagrado en el artículo 30 de la  norma fundamental, esto es, el acceso a la información de interés  público. Sobre el particular, la regla debe ser que si cualquier persona puede obtener de un partido político información de interés  público sobre esa agrupación como lo es el origen y el monto de sus  contribuciones privadas, de igual forma puede obtenerla de cualquier otro ente –público o privado- que la disponga o posea. En el  presente asunto, de los documentos aportados por el recurrente resulta acreditado, a todas luces, que la información requerida es respecto de cuentas que mantiene el Partido Unidad En Valores Cuscatlán.

Como corolario de lo expuesto, se impone declarar con lugar el recurso de amparo y se ordena al Gerente de Valores Cuscatlán, Puesto de Bolsa, brindarle al recurrente la información solicitada de forma inmediata, bajo los apercibimientos de ley.”[xix]

Información sobre cuentas bancarias de partidos políticos

 “En lo que se refiere a la solicitud de acceso a la información formulada por el recurrente, es preciso indicar que presenta dos vertientes  que  demandan  una  solución  diferenciada  para  evitar equívocos, a saber: a) La solicitud de información acerca de las cuentas corrientes que poseen, específicamente, los Partidos Unidad Social  Cristiana  y  Liberación  Nacional  y,  en  general,  cualquier partido que haya participado en las últimas elecciones nacionales y b) la solicitud acerca de las cuentas corrientes que poseen varias sociedades anónimas presuntamente vinculadas con las tesorerías de campaña de los partidos referidos. En lo relativo al supuesto a) es menester indicar que en vista de la sujeción del patrimonio de los partidos  políticos  -independientemente  de  su  origen  privado  o público- a los principios de publicidad y transparencia por expresa disposición constitucional (artículo 96, párrafo 3°) la cantidad de cuentas corrientes, sus movimientos y los balances que los partidos políticos  poseen  en  los  Bancos  Comerciales  del  Estado,  bancos privados y cualquier entidad financiera no bancaria son de interés público  y,  por  consiguiente,  pueden  ser  accesados  por  cualquier persona. Frente a la norma constitucional de la publicidad de las contribuciones  privadas  de  los  partidos  políticos  no  se  puede anteponer  el  secreto  bancario,  puesto  que,  esta  institución  no tiene rango constitucional sino legal. En todo caso debe entenderse que  el  párrafo  3°  del  artículo  96  de  la  Constitución  Política constituye un principio instrumental para hacer efectivo el goce y el ejercicio del derecho fundamental consagrado en el artículo 30 de la norma fundamental, esto es, el acceso a la información de interés  público.  Las  contribuciones  privadas  de  los  partidos políticos están expresamente excepcionadas del contenido esencial del derecho fundamental a la intimidad establecido en el artículo 24 de la Constitución, o lo que es lo mismo  la transparencia  o publicidad de las contribuciones privadas a los partidos políticos es  un  límite  extrínseco  o  limitación  al  derecho  esencial anteriormente indicado.  Sobre el particular, la regla debe ser que si  cualquier  persona  puede  obtener  de  un  partido  político información de interés público sobre esa agrupación como lo es el origen y el monto de sus contribuciones privadas, de igual forma puede obtenerla de cualquier otro ente -público o privado- que la disponga o posea. En lo tocante a la hipótesis b) este Tribunal estima que el número de cuentas corrientes que posea una persona jurídica  u  organización  colectiva  del  Derecho  Privado  -Sociedad Anónima,  Sociedad  de  Responsabilidad  Limitada,  Fundación, Asociación,  etc.-,  sus  movimientos  y  sus  balances,  en  tesis  de principio, sí están cubiertas por el derecho a la intimidad, puesto que,  en  esta  hipótesis  no  opera  la  limitación  constitucional expresa  establecida  para  las  contribuciones  de  los   partidos políticos. En tal supuesto, rige, además, el instituto legislativo del secreto bancario contemplado en el artículo  615 del Código de Comercio para el contrato de cuenta corriente. La regla anterior tiene  como  excepción  la  demostración  fehaciente  e  idónea  que  un partido  político  le  ha  transferido  a  una  de  tales  personas jurídicas parte de sus aportaciones privadas, puesto que, de ser sí la información dejaría de ser privada -propia de una relación meramente  contractual-  y  se  tornaría  de  interés  público.  En  el presente  asunto,  de  los  documentos  aportados  por  el  recurrente resulta  acreditado,  a  todas  luces,  el  nexo  existente  entre  el Partido Unidad Social Cristiana y algunas de las sociedades que se mencionan  en  el  recurso.  En  efecto,  en  la  misiva  fechada  16  de octubre  del  2002  (visible  a  folios  51-53)  dirigida  por  Rodolfo Montero al presidente de la República se indica lo siguiente: “Para organizar y controlar el flujo de ingresos y gastos, procedimos a la  apertura  de  tres  cuentas  corrientes.  Una  a  nombre  suyo,  que nosotros manejamos totalmente, gracias a su confianza, porque los donadores insistían en girar a su nombre. Otra cuenta a nombre de Gramínea Plateada, porque alguien preguntó: “y si se nos muere don Abel?” con qué pagamos las deudas, y finalmente otra a nombre de la compañía Bayamo S.A. en Panamá para facilitar las transferencias internacionales”. De la misma forma, en la nota remitida por el Presidente de la República el 23 de septiembre del 2002 (visible a folios 49-50) al Presidente del Tribunal Supremo de Elecciones, Don Abel Pacheco indicó que “Reconocí ante los señores Periodistas que, según se me informó, existieron dos cuentas de sociedades anónimas en donde se depositaron y desde donde se giraron algunos recursos donados a la campaña electoral. Una de estas cuentas se denominó “Abel  Pacheco,  Campaña  Política”  y  la  otra  “Gramínea  Plateada S.A.””. Bajo esta inteligencia, al haber recibido las sociedades anónimas  Gramínea  Plateada  y  Bayamo  contribuciones  privadas  para financiar la campaña de Don Abel Pacheco, pasan a estar sometidas al  principio  de  publicidad  del  ordinal  96,  párrafo  3°,  de  la Constitución  Política  y,  por  consiguiente,  también,  deviene  en interés  público  el  conocimiento  de  su  manejo  y  destino  en  las cuentas  corrientes  de  esas  empresas.  Pese  a   lo  anterior,  es preciso indicar que el recurrente no logró demostrar el nexo entre

las  sociedades  Plutón  S.A.,  Faltros  SR.S  S.A  y  alguno  de  los partidos políticos a nivel nacional, a fin de captar o manejar en sus  cuentas  corrientes  contribuciones  privadas  para  la  campaña electoral,  por  lo  que  respecto  de  tales  empresas  rige  la  regla anteriormente  enunciada  y  el  recurso  de  amparo  resulta improcedente.”[xx]

Definición y alcances del Secreto Bancario.

Número 2004 – 14201 y 2006 – 17518:

“De todo lo anterior puede concluirse que el secreto bancario es la obligación impuesta a los bancos, sean públicos o privados, de no revelar a terceros los datos referentes a sus clientes que lleguen a su conocimiento como consecuencia de las relaciones jurídicas que los vinculan. Es un deber de silencio respecto de hechos vinculados a las personas con quienes las instituciones bancarias mantienen relaciones comerciales, así como una obligación profesional de no revelar informaciones y datos que lleguen a su conocimiento en virtud de la actividad a que están dedicados.”

Número 8127-1997:

“… por un lado la obligación -como regla- del órgano del Estado encargado de la supervisión de la actividad bancaria de guardar discreción sobre los datos que obtiene en el ejercicio de esa función, salvo las excepciones previstas, las que, en todo caso, deben seguir un trámite administrativo especial (…) .Los deberes impuestos en las normas anteriores también resultan inherentes a la naturaleza de la actividad bancaria, y tienen como fin proteger la relación cliente-banco, mediante el uso adecuado y legítimo de la información que éste da a la institución financiera, de manera que no se defraude una confianza legítimamente depositada. (…).

Número 578-1992

“…En general toda la actividad bancaria que involucre contratos, solicitudes y cualquier otro tipo de relación con particulares -como clientes-, está, por su naturaleza, amparada al secreto bancario.

Las operaciones que efectúan los particulares con los bancos -como sujetos de derecho privado- constituyen tanto en su obtención como en la forma y el modo de su constitución y servicio, documentos privados que están amparados a la protección que establece el artículo 24 Constitucional -salvo que por su naturaleza deban constar en documentos públicos o en registros, también públicos, de los cuales, y sin intervención del banco, se podría obtener la información que ellos contengan-, así que el banco no puede suministrarla sino en los casos y en la forma que aquel artículo prevé para ello…”.

Número 5507-1994

“Menos puede sostenerse que el principio del secreto bancario tiene rango constitucional, pues no pasa de ser una de las características que el legislador ha elegido para nuestro sistema, por lo que su trascendencia es únicamente legal, por lo que las eventualidades de su aplicación han de ventilarse y resolverse en la sede correspondiente, sea la civil para los daños y perjuicios irrogados o bien la penal, en busca de las sanciones pertinentes.”

Número 7-1994

“Si bien el secreto bancario – acordado por Ley especial al efecto – impide a las entidades financieras revelar datos a terceras personas sobre documentos privados de sus clientes, lo cierto es que en el caso de examen no opera, ya que el banco lo que hizo fue hacer llegar a las autoridades correspondientes los cheques objeto del conflicto, a fin de que se iniciara la investigación judicial, habida cuenta de haber sufrido, aparentemente, con el empleo de aquellos, un menoscabo en su patrimonio, situación que podría constituir un delito de acción pública, sin que tal proceder implique, como se dijo, una violación a lo dispuesto en el artículo 24 Constitucional, que de por sí no cubre el secreto bancario, pues no tiene contenido constitucional.”

Limitaciones al Secreto Bancario.

Número 4749–1999

“X. – Sobre la necesidad de que el interesado dé su expreso consentimiento para la recolección y uso de datos referentes a su persona, esta Sala considera que ello es cierto cuando se trata de datos personales de interés meramente privado. No ocurre lo mismo respecto de la información que revele el historial crediticio de una persona, la cual es necesaria para la protección de una actividad mercantil de interés público y necesaria para el desarrollo, como lo es el crédito. En ese sentido, no resultaría lógico exigir que toda persona diera su expreso asentimiento para el almacenamiento de datos suyos referentes a créditos anteriores, pues posiblemente las personas con problemas de pago estarían renuentes a prestar sus datos, y así el sistema perdería el sentido que tiene. Además, procede esta información de transacciones comerciales realizadas por el recurrente, mismas que no obedecen a una obligación de confidencialidad excepto que exista pacto expreso o que así lo indique la Ley. Por lo anterior, también en cuanto a este aspecto considera la Sala que no lleva razón el petente, por lo que deberá ser desestimado el recurso, como en efecto se hace…”

[i]MARTÍNEZ Rivera, Rocío. La informática en el secreto bancario. Tesis de grado para optar por el grado de Licenciado en Derecho. San José: Facultad de Derecho de la Universidad de Costa Rica, 1998. pp. 61-62. (Localizada  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura 3334).

[ii]LABANCA, Jorge. El secreto bancario y otros estudios. ABELEDO-PERROT: Buenos Aires, 1968. p. 9. (Localizado en la Biblioteca de la Facultad de Derecho de la Universidad de Costa Rica bajo signatura DA346.082 l112s).

[iii]BERGSTEIN,  Nahum.  El  delito  de  violación  del  secreto  bancario. Montevideo:  Fundación  de  Cultura  Universitaria,  1987.   p.  16. (Localizado  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura DA346.082 B499d).

[iv]BERGSTEIN,  Nahum.  El  delito  de  violación  del  secreto  bancario. Montevideo: Fundación  de  Cultura  Universitaria,  1987.   p.  21. (Localizado  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura DA346.082 B499d).

[v]MARTÍNEZ Rivera, Rocío. La informática en el secreto bancario. Tesis de grado para optar por el grado de Licenciado en Derecho. San José: Facultad de Derecho de la Universidad de Costa Rica, 1998. pp. 68-69. (Localizada  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura 3334).

[vi]VILLEGAS y ARROYO Torres citados  por  CASCANTE Soto, José, CORRALES  Valverde,   Oscar   [et   al]   El   secreto   bancario   en   el   ordenamiento  jurídico costarricense.   Seminario   de   Graduación   para   optar   por el grado de Licenciados en Derecho. San José: Facultad de Derecho de la Universidad de Costa Rica, 1988. p.p 249, 250253 y 254. (Localizada en la Biblioteca de la Facultad de Derecho de la Universidad de Costa  Rica bajo signatura 1926 Tomo I).

[vii]MARTÍNEZ Rivera, Rocío. La informática en el secreto bancario. Tesis de grado para optar por el grado de Licenciado en Derecho. San José: Facultad de Derecho de la Universidad de Costa Rica, 1998. pp. 72-73. (Localizada  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura 3334).

[viii]MARTÍNEZ Rivera, Rocío. La informática en el secreto bancario. Tesis de grado para optar por el grado de Licenciado en Derecho. San José: Facultad de Derecho de la Universidad de Costa Rica, 1998. pp. 74-75. (Localizada  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura 3334).

[ix]VILLEGAS  citado  por  MARTÍNEZ  Rivera,  Rocío.  La  informática  en  el secreto bancario. Tesis de grado para optar por el grado de Licenciado en Derecho. San José: Facultad de Derecho de la Universidad de Costa Rica, 1998. p. 76.  (Localizada en la Biblioteca de la Facultad de Derecho de la Universidad de Costa Rica bajo signatura 3334).

[x]MARTÍNEZ Rivera, Rocío. La informática en el secreto bancario. Tesis de grado para optar por el grado de Licenciado en Derecho. San José: Facultad  de  Derecho  de  la  Universidad  de  Costa  Rica,  1998.  p.  77. (Localizada  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura 3334).

[xi]MARTÍNEZ Rivera, Rocío. La informática en el secreto bancario. Tesis de grado para optar por el grado de Licenciado en Derecho. San José: Facultad  de  Derecho  de  la  Universidad  de  Costa  Rica,  1998.  p.  78. (Localizada  en  la  Biblioteca  de  la  Facultad  de  Derecho  de  la Universidad de Costa Rica bajo signatura 3334).

[xii]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. Res. Nº 3929-95 de las quince horas con veinticuatro minutos del dieciocho de julio de mil novecientos noventa y cinco

[xiii]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. Res. Nº 0417-95 de   las   nueve   horas   quince   minutos   del   veinte   de   enero   de   mil  novecientos noventa y cinco.

[xiv]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. Res. Nº 3317-92 de las quince horas cincuenta y cinco minutos del cuatro de noviembre de mil novecientos noventa y dos.

[xv]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. Res. Nº 5376­94  de las once horas cuarenta y cinco minutos del dieciséis de setiembre de mil novecientos noventa y cuatro.

[xvi]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. Res. Nº 2005-009855 de las nueve horas y quince minutos del veintinueve de julio del dos mil cinco.

[xvii]SALA TERCERA DE LA CORTE SUPREMA DE JUSTICIA. Res: 2004­01422 de las  diez horas diez minutos del diecisiete de diciembre de dos mil cuatro.

[xviii]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA.  Res:  2004­09708 de las dieciocho horas con cincuenta y siete minutos del treinta y uno de agosto del dos mil cuatro.

[xix]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA.  Res:  2004­14201 de las quince horas con cuatro minutos del catorce de diciembre del dos mil cuatro.

[xx]SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA.  Res:  2003­03489  de las catorce horas con once minutos del dos de mayo del dos mil tres.

Análisis normativo y obligaciones de las entidades bancarias y financieras en materia de protección de datos

entidades_financierasPor Daniel A. López Carballo

El tratamiento de datos personales en una entidad bancaria atiende sin dudas a diferentes finalidades, y por tanto pueden ser objeto de la implantación de varios niveles de seguridad. La necesidad de apertura de líneas de negocio y productos ofertados por dichas entidades conlleva a que sea numerosa la información que de una persona se puede llegar a albergar. Los productos financieros y bancarios, seguros, así como el tratamiento de sus datos para la prevención de blanqueo de capitales y la propia gestión de ficheros de morosidad, además en la sociedad de la información se hace necesario llegar a los clientes actuales y potenciales para mostrarles los productos y nuevas oportunidades.

Además del nivel de seguridad que la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y Reglamento de desarrollo, les aplica, se debe tener en cuenta un nivel de seguridad, social, que dicha información debe tener. Al margen de las finalidades y niveles de seguridad que desarrollaremos a continuación, determinada información que a los ojos del legislador puede tener un nivel básico, puede constituir un riesgo y gran perjuicio para el usuario, o puede influir socialmente tener conocimiento de determinadas transacciones.

Debe recordarse que además de la confidencialidad recogida en la citada Ley Orgánica, en el sector de la banca se debe aplicar el secreto bancario y la especial confidencialidad que se debe tener con respecto a los datos de los usuarios, que en la mayor parte de las entidades vienen desarrolladas en políticas de privacidad y compromisos específicos de confidencialidad.

Una correcta implantación de la Ley Orgánica 15/1999, conlleva por tanto, una mayor seguridad en el tratamiento de los datos de las personas, una mejor imagen con respecto a los usuarios actuales y potenciales, generación de mayor confianza, prevención del robo de datos e información y su utilización por otras entidades, una mayor trazabilidad de la información y por tanto una optimización de recursos, así como la delimitación de responsabilidades y posibles infracciones por el personal trabajador o colaborador de la entidad. Se debe recalcar por último el auge de denuncias en materia de protección de datos que se han producido en los últimos años, tal y como reflejan las diferentes memorias de la propia Agencia Española de Protección de Datos.

ENTIDADES BANCARIAS Y SERVICIOS FINANCIEROS

El Real Decreto 1560/1992, de 18 de diciembre, por el que se aprueba la clasificación nacional de actividades económicas, en el epígrafe J de su Anexo incluye la intermediación financiera, banca, cajas de ahorro, cooperativas de crédito, sociedades y fondos de capital riesgo, intermediación monetaria entre otras.

Del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, puede deducirse que acorde con dichas finalidades (solvencia patrimonial, operaciones financieras y de crédito) deberíamos aplicar las medidas de seguridad relativas al nivel medio.

De la Ley 30/1995, de 8 de noviembre, de ordenación y supervisión de los seguros privados, podemos deducir que la actividad aseguradora y sobre planes y fondos de pensiones, es de las más avanzadas en el sistema financiero. El incremento de las tasas de morosidad, así como el aseguramiento del pago de cuotas, créditos y otros productos por parte de las entidades bancarias, en una época de crisis económica, así como la aparición y prestación de nuevos servicios conllevan a que la mayor parte de dichas entidades presten este tipo de servicios, bien directamente, a través de empresas del grupo o de terceros.

A mayor abundamiento el artículo 8.4 de la Ley 13/1992, de 1 de junio, reguladora de los recursos propios y supervisión en base consolidada de las entidades financieras, incluía las Sociedades Gestoras de Fondos de Pensiones entre las entidades financieras que deberán incluirse en el grupo consolidable de entidades de crédito, tal y como recalcaba la propia Agencia Española de Protección de Datos en su informe de 1999.

En este sentido, aunque en el ámbito de seguros, la finalidad no es directamente el tratamiento de datos de salud, tal como sería aplicable por un centro sanitario, si que podemos obtener datos de nivel alto de seguridad, derivados de cuestionarios de salud, tramitación de partes o las mismas pólizas, que conllevaran la adopción de las medias de nivel alto de seguridad para los mismos.

Mismo nivel de seguridad deberá implantarse a los ficheros derivados de la aplicación de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En su artículo 32, la norma obliga a registra el Fichero correspondiente a las finalidades establecidas en la normativa de blanqueo de capitales, a la inclusión de los datos de carácter personal de los afectados, que quedarán exentos tanto del deber de información como del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

El Real Decreto 1720/2007, en su Título IV, Capítulo I hace referencia a los Ficheros de información sobre solvencia patrimonial y crédito, donde se desglosan los requisitos para la inclusión de datos en dichos ficheros, las medidas de seguridad y ejercicio de derechos entre otros.

EL SECRETO BANCARIO Y PROTECCIÓN DE DATOS

Se tiende por secreto bancario, la protección que los bancos e instituciones financieras deben otorgar a la información relativa a los depósitos y captaciones de cualquier naturaleza, que reciban de sus  al considerar que esta información es parte de la privacidad de los clientes del sistema financiero. Si no existiera esta norma, cualquier persona podría solicitar en un banco, por ejemplo, información sobre los movimientos de las cuentas de una persona.

El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal establece que, “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estén obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

Este precepto se encuentra reforzado por la propia jurisprudencia, Sentencia de la Sección Novena de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 3 de mayo de 2001  “(…) el deber de guardar secreto el artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello, es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información. En este caso (….) la repercusión para el afectado de la divulgación de datos a terceros es sumamente subjetiva, de tal forma que, en el caso de autos, podría afectar más a la interesada la comunicación de su deuda a su padre que a cualquier otra persona”.

La Audiencia Nacional en su Sentencia de 18 de enero de 2002, recoge en sus fundamentos jurídicos que “el deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable –en este caso, la entidad bancaria recurrente- de los datos almacenados –en este caso, los asociados a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto. “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida”

Para Luís María Cazorla Prieto, el secreto bancario “se desenvuelve dentro de las relaciones Banco-cliente; sus elementos subjetivos son, pues, el cliente que tiene derecho a exigir tal sigilo, y la entidad bancaria, que tiene la obligación de respetarlo, salvo en un número determinado de casos (…). Por otra parte, el instituto analizado tiene un objeto muy preciso, como son los valores, aquellos que conlleve, encierre o represente riqueza material, y que generalmente está constituido por dinero”. Para Rafael Jiménez de Parga “La primera naturaleza posible del secreto bancario no es otra que constituir un deber moral. Es decir, el Banco debe moralmente no revelar secretos de sus clientes debido a dos razones. Por un lado para defender los intereses del cliente que no puede interesarle la exteriorización de su situación patrimonial. Y por otro lado, en interés propio; es decir, para salvar su propia reputación. Volvemos, así, de nuevo al campo moral”

Este deber de secreto, se encuentra regulado, en el caso del Banco de España en la Ley 13/1994, de 1 de junio, de Autonomía del Banco de España. Artículo 6 “1. Los miembros de sus órganos rectores y el personal del Banco de España deberán guardar secreto, incluso después de cesar en sus funciones, de cuantas informaciones de naturaleza confidencial tuvieran conocimiento en el ejercicio de sus cargos. La infracción de dicho deber se sancionará, en el caso del personal del Banco de España, de acuerdo con lo dispuesto en el Reglamento interno del Banco; y, en el caso de los miembros de sus órganos rectores, de acuerdo con lo previsto en el artículo 29. 2. El deber de secreto se entiende sin perjuicio de las obligaciones de información sobre política monetaria impuestas al Banco de España por el artículo 10 de esta Ley, y de lo dispuesto en las disposiciones específicas que, en aplicación de las directivas de la Comunidad Europea en materia de entidades de crédito, regulan la obligación de secreto de las autoridades supervisoras. 3. El acceso de las Cortes Generales a la información sometida al deber de secreto se realizará a través del Gobernador del Banco de España, de conformidad con lo previsto en los Reglamentos parlamentarios. A tal efecto, el Gobernador podrá solicitar motivadamente de los órganos competentes de la Cámara la celebración de sesión secreta o la aplicación del procedimiento establecido para el acceso a las materias clasificadas”.

Es importante recordar la Sentencia 110/1984 del Tribunal Constitucional, que a este respecto informaba que “Respecto a la primera cuestión (se refiere a en qué medida el conocimiento de las cuentas bancarias por la Administración a efectos fiscales debe entenderse comprendido en la zona de la intimidad constitucionalmente protegida), la respuesta ha de ser negativa, pues aun admitiendo como hipótesis que el movimiento de las cuentas bancarias esté cubierto por el derecho a la intimidad, nos encontraríamos que ante el Fisco operaría un límite justificado de ese derecho. Conviene recordar, en efecto, que, como ya ha declarado este Tribunal Constitucional, no existen derechos ilimitados. Todo derecho tiene sus límites que en relación a los derechos fundamentales establece la Constitución por sí misma en algunas ocasiones, mientras en otras el límite deriva de una manera mediata o indirecta de tal norma, en cuanto ha de justificarse por la necesidad de proteger o preservar no sólo otros derechos constitucionales, sino también otros bienes constitucionalmente protegidos (Sentencia 11/1981, de 8 de abril, Fundamento Jurídico 7, y Sentencia 2/1982, de 29 de enero, Fundamento Jurídico 5). Ahora bien, el conocimiento de las cuentas corrientes puede ser necesario para proteger el bien constitucionalmente protegido, que es la distribución equitativa del sostenimiento de los gastos públicos, pues para una verificación de los ingresos del contribuyente y de su situación patrimonial puede no ser suficiente en ocasiones la exhibición de los saldos medios anuales y de los saldos a 31 de diciembre. Es importante señalar que las certificaciones pedidas al recurrente o las que se exigirían a las Entidades bancarias caso de que aquél no las entregase voluntariamente son los extractos de las cuentas, en que figuran, como es notorio, sólo la causa genérica de cada partida (talón bancario, transferencia, efectos domiciliados, entrega en efectivo, etc.), pero no su causa concreta. Ahora bien, estos datos en sí no tienen relevancia para la intimidad personal y familiar del contribuyente, como no la tiene la declaración sobre la renta o sobre el patrimonio. El recurrente parece insistir especialmente en la gravedad de que la investigación de las cuentas comprenda las operaciones pasivas, pues a nadie le importa en qué gasta cada cual su dinero. Pero el conocimiento de una cuenta corriente no puede darse si no se contempla en su integridad. Las operaciones pasivas pueden ser también reveladoras de una anómala conducta fiscal, como ocurriría, entre otros supuestos que podrían citarse con la retirada de una masa importante de dinero sin que se explique el destino de la misma, que ha podido trasladarse de una situación de transparencia fiscal a otra menos o nada transparente”.

Continúa diciendo la Sentencia que “el problema del llamado secreto bancario es distinto. En lo que aquí importa, el secreto bancario no puede tener otro fundamento que el derecho a la intimidad del cliente reconocido en el artículo 18.1 de la Constitución, pues no hay una consagración explícita y reforzada de este tipo de secreto, como la hay del secreto profesional. De forma que lo que se ha dicho antes sobre los límites del derecho a la intimidad es totalmente aplicable al caso en que sea la Entidad de crédito la obligada a facilitar los datos y antecedentes que requiera la Inspección”.

La Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero hace diferentes menciones a la aplicación de la Ley Orgánica 15/1999, sírvase como ejemplo el Capítulos VI sobre las centrales de información de riesgos, como el artículo 62 sobre el uso y cesión de datos por las entidades declarantes “la información recibida por las entidades declarantes con arreglo a lo previsto en el artículo anterior tendrá carácter confidencial”.

La propia Agencia Española de Protección de Datos, en sus “Conclusiones relativas al plan de inspección de oficio al sector de la banca a distancia con objeto de verificar el grado de adecuación de sus ficheros de clientes y clientes potenciales a la Ley Orgánica 15/1999, de protección de datos de carácter personal, hacia las siguientes recomendaciones “Se recomienda incluir en los contratos de trabajo cláusulas relativas al deber de secreto respecto de los datos personales a los que tienen acceso los empleados como consecuencia de su actividad, ya sean los propios empleados de la entidad como los empleados de las empresas prestatarias de servicios para la entidad con acceso a los datos personales de los clientes. Se recomienda también que las páginas web de acceso a los servicios se diseñen de tal manera que no proporcionen al usuario más datos personales que los introducidos por el propio usuario, hasta que éste no haya superado con éxito los controles de identificación y autenticación”.

Se deben recordar las excepciones legales previstas, tales como las recogidas en la legislación española y europea en materia de prevención del blanqueo de capitales y la obligatoriedad de comunicar operaciones sospechosas conforme a la Ley al Servicio Ejecutivo del Banco de España de prevención de blanqueo de capitales (SEPBLAC).

FICHEROS DE SOLVENCIA PATRIMONIAL Y CENTRAL DE RIESGOS

Según hace referencia el propio Banco de España, la Central de Información de Riesgos recoge el historial crediticio de las personas físicas y jurídicas para facilitar a las entidades el análisis de sus riesgos de crédito.

Con carácter general, las entidades declarantes (entidades de crédito y otras) tienen la obligación de informar sobre los riesgos directos con residentes por importe igual o superior a 6.000 euros en el conjunto de negocios en España o a 60.000 euros en cualquier otro país. Para los no residentes, la obligación de declarar es a partir de 300.000 euros.

El propio artículo 59 de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero la define como “un servicio público que tiene por finalidad recabar de las entidades declarantes a que se refiere el apartado primero del artículo siguiente, datos e informaciones sobre los riesgos de crédito, para facilitar a las entidades declarantes datos necesarios para el ejercicio de su actividad; permitir a las autoridades competentes para la supervisión prudencial de dichas entidades el adecuado ejercicio de sus competencias de supervisión e inspección; contribuir al correcto desarrollo de las restantes funciones que el Banco de España tiene legalmente atribuidas”.

Los datos declarados permiten al Banco de España conocer los créditos totales concedidos, lo que facilita el ejercicio de sus competencias de supervisión bancaria.

Por su parte, las entidades que declaran sus riesgos a la Central de Información de Riesgos del Banco de España reciben mensualmente información agregada del riesgo contraído por las personas físicas y jurídicas para las que han hecho una declaración (los llamados titulares).

El artículo 60 de la citada Ley establece que las entidades declarantes deberán facilitar “los datos necesarios para identificar a las personas con quienes se mantengan, directa o indirectamente, riesgos de crédito, así como las características de dichas personas y riesgos, incluyendo, en particular, las que afecten al importe y la recuperabilidad de éstos. Esta obligación se extenderá a los riesgos mantenidos a través de entidades instrumentales integradas en los grupos consolidables de las entidades declarantes, y a aquellos que hayan sido cedidos a terceros conservando la entidad su administración.

Entre los datos a los que se refiere el párrafo anterior se incluirán aquellos que reflejen una situación de incumplimiento, por la contraparte, de sus obligaciones frente a la entidad declarante, así como los que pongan de manifiesto una situación en la cual la entidad estuviera obligada a dotar una provisión específica en cobertura de riesgo de crédito, según lo previsto en las normas de contabilidad que le sean de aplicación.

Los datos referentes a las personas mencionadas en el presente apartado no incluirán, en ningún caso, los regulados en el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Cabe recordar que el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal se refiere a los datos especialmente protegidos “1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento”.

Mediante el Decreto Ley 18/1962, se crea el fichero “Central de Información de Riesgos” cuyo artículo 16 se prevé: “El Banco de España  establecer á un Servicio Central de información de Riesgos en relación con las operaciones de crédito de la Banca, Cajas de ahorro y demás entidades de crédito”.

La Norma Segunda de la Circular 3/1995, de 25/09, modificada por la Circular 3/2002, de 25/06, del Banco de España obliga a las entidades bancarias a informar mensualmente al Servicio Central de Información de Riesgos del Banco de España de los riesgos contraídos y de sus titulares, considerando como riesgos declarables los denominados indirectos, esto es, los contraídos por la entidad con quienes garantizan o avalan operaciones de riesgos indirectos tales como avales, afianzamiento y garantías personales

La Circular 3/1995, de 25/09, establece en su norma novena: “1. Cualquier titular podrá solicitar la información que contiene la Central de Información de Riesgos sobre él…2. Si el titular observara alguna inexactitud en los datos detallados que le hubiera facilitado la CIR, deberá dirigirse a las entidades declarantes solicitando su rectificación… La CIR suspenderá la cesión a terceros de datos sobre los que exista duda fundada sobre su exactitud. 3. Lo dispuesto en los apartados precedentes se entiende sin perjuicio de los derechos de acceso, rectificación y cancelación que amparan a la s personas físicas, según lo dispuesto en la Ley 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal”, actualmente Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal”.

El artículo 64 de Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, referido a “Conservación de los datos”, establece que “los datos registrados en la CIR se conservarán durante diez años contados desde la fecha a la que se refieran, cancelándose una vez transcurrido dicho plazo. No obstante, podrán conservarse indefinidamente mediante procedimientos que no permitan la identificación del afectado, atendiendo a sus valores históricos, estadísticos o científicos. También podrán conservarse indefinidamente los datos que identifiquen a las personas jurídicas para permitir el ejercicio de las finalidades contempladas en los guiones segundo y tercero del apartado primero del artículo 59 de la presente Ley (…). Conforme a lo previsto en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el Banco de España adoptará las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos registrados en la CIR y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”.

En relación a la seguridad de los datos el artículo 9 de la Ley Orgánica 15/1999 establece que “el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

Es importante recordar, en relación a la exactitud de los datos recogidos por la Central de Información de Riesgos que (artículo 9 de la citada Ley Orgánica), “los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la  situación actual del afectado ”.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de  Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y  crédito, aplicable al caso, que establece que “la inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones  dinerarias deberá efectuarse solamente cuando concurran los siguientes requisitos: la existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada y el requerimiento previo de pago a quien  corresponda, en su caso, el cumplimiento de la obligación.

No obstante, cualquier entidad puede pedir información concreta de un titular si este le solicita una operación de riesgo o figura como obligado al pago o garante en documentos cambiarios o de crédito cuya adquisición o negociación haya sido solicitada a la entidad.

En relación a los ejercicios de derechos e acceso el Banco de España, a través de su web informa que “Cualquier persona física (un individuo) o jurídica (una sociedad) puede acceder de forma gratuita a toda la información que está a su nombre en la CIR.

El acceso puede hacerse de tres formas:

  • A través de la Oficina Virtual del Banco de España, siendo el único requisito imprescindible para ello disponer de firma digital: para informes de personas físicas, DNI electrónico certificado de firma digital de la Fábrica Nacional de Moneda y Timbre y, para personas jurídicas, certificado de personas jurídicas de este Organismo.
  • Ir a las oficinas de la Central de Información de Riesgos, en la sede del Banco de España en la calle Alcalá, 48, de Madrid, o a cualquiera de sus sucursales en horario de 8.30 a 14 horas. El solicitante deberá identificarse suficientemente, presentando su DNI, NIE, pasaporte u otro documento válido.
  • Pedirlo por carta, a la Central de Información de Riesgos de Madrid en la siguiente dirección: Banco de España. Información Financiera y Central de Riesgos C/ Alcalá, 48. 28014 Madrid

Entre los requisitos encontramos que debe ir firmada por el titular, adjuntando fotocopia legible de ambas caras del DNI, NIE, pasaporte u otro documento válido que le identifique, e indicando la dirección para su envío por correo certificado (preferiblemente el domicilio particular).

En caso de que el informe de riesgos lo solicite un representante del titular, será necesario que se aporte fotocopia del documento público que acredite su derecho a obtener información en nombre del representado, así como el DNI, NIE, pasaporte u otro documento válido que identifique al representante.

No obstante lo anterior, el Banco de España, en defensa de la confidencialidad de los datos, se reserva la posibilidad de ampliar las exigencias de información necesarias cuando tenga dudas sobre la correcta identificación de quien solicita los datos”. Sobre el ejercicio del derecho de rectificación “los titulares que consideren que los datos declarados por las entidades a la Central de Información de Riesgos (CIR) son inexactos o incompletos deben dirigirse a la entidad que ha facilitado la información errónea para pedir su rectificación o cancelación. También pueden hacerlo a través del Banco de España, que hará la gestión ante la entidad declarante. En este caso, el titular enviará al Banco de España un escrito, con los mismos requisitos establecidos para el derecho de acceso, en el que se especificarán los datos erróneos y las razones de la petición (…) El procedimiento que se sigue para la tramitación de las solicitudes presentadas, así como sus efectos, se recogen en el apartado 2 de la norma novena de la Circular 3/1995, de 25 de septiembre”.

Por último, el Banco de España, en relación al procedimiento de reclamación contra una entidad por disconformidad con lo declarado a la Central de Información de Riesgos, informa que “si una persona física o jurídica considera que los datos declarados a la CIR a su nombre son inexactos o incompletos podrá dirigirse directamente a la entidad o entidades declarantes requiriendo su rectificación o cancelación, o solicitar al Banco de España que tramite su reclamación, para lo cual deberá identificar los datos que considera erróneos, así como justificar por escrito las razones y alcance de su petición (Articulo 65 de la Ley 44/2002 de Medidas de Reforma del Sistema Financiero). La CIR, al no ser la acreedora, no puede modificar los riesgos declarados por las entidades que son las responsables de su declaración y quienes deben realizar las modificaciones. El Banco de España dará traslado, siempre que así lo estime, de las solicitudes de rectificación o cancelación a la entidad o entidades declarantes de los datos supuestamente inexactos o incompletos. Las entidades deberán contestar tanto al reclamante como a la CIR (cuando la reclamación se hubiese tramitado a través del Banco de España), en el plazo máximo de 15 días hábiles, si el reclamante es una persona física, y de 20 días hábiles si se trata de una persona jurídica. El plazo se contará desde la recepción de la reclamación en cualquiera de las oficinas de la entidad.

Si la entidad accediese a lo solicitado por el reclamante, deberá enviar de inmediato a la CIR una declaración complementaria con las rectificaciones o cancelaciones de todos los datos declarados erróneamente. La CIR comunicará los datos corregidos a las entidades a las que previamente les hubiese cedido los erróneos. Si, por el contrario, la entidad se ratifica en su declaración, deberá justificar los motivos de su decisión. En este último caso la CIR prorrogará la suspensión de la cesión de los datos controvertidos durante dos meses más, salvo que el titular admita la justificación dada por la entidad, en cuyo caso se desbloquearán inmediatamente”.

PREVENCIÓN DE BLANQUEO DE CAPITALES Y PROTECCIÓN DE DATOS

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 10.4, establece que será posible la cesión de datos de carácter personal sin contar con el consentimiento del interesado cuando “la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente”.

En este sentido la entrada en vigor de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, recoge la obligación de los sujetos enumerados en su artículo 2, de establecer requisitos de control y conservación de documentos en operación que excedan de 15.000 euros, en una o varias operaciones siempre que el pago se efectúe en metálico, cheques bancarios al portador o pagos electrónicos que tengan la consideración de pago al portador; identificando a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones, realizando una comprobación previa, mediante documentos fehacientes.

Quedan fuera del sometimiento a las obligaciones, como sujetos obligados, los abogados, en relación al entablar relaciones de negocio, comunicación por indicio y colaboración con el SEPBLAC, con respecto a la información que éstos tengan de sus clientes al defenderles en procedimientos judiciales.

La Ley incorpora a nuestro sistema normativo la Directiva 2005/60/CE del Parlamento europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006, por la que se establecen disposiciones de aplicación de la citada Directiva, en lo relativo a la definición de personas del medió político y a los criterio técnicos aplicables en los procedimientos simplificados de diligencia debida con respecto al cliente así como en lo que atañe a la exención por razones de actividad financiera ocasional o muy limitada.

La citada Ley establece como obligaciones dentro del control citado, la identificación formal de la persona física o jurídica que realice la operación, la realización de un examen de comportamientos y operaciones complejas que puedan tener relación con el blanqueo de capitales o financiación del terrorismo, la obligatoriedad de comunicar cualquier indicio al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), estableciendo la prohibición de revelación de dichas comunicaciones a terceras personas; en la medida de los posible se abstendrán de ejecutar dichas operaciones, así mismo se establece la obligación de conservar dicha información diez años.

En lo relativo a la conservación, tratamiento y comunicación de datos de carácter personal, el artículo 32 somete el cumplimiento de la norma a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y normativa de desarrollo. Especificando que no se requerirá, como es lógico, el consentimiento del interesado para el tratamiento de los datos necesarios para el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales, ni para las obligadas comunicaciones el SEPBLAC, estableciéndose una excepción legal al deber de información recogido en el artículo 5 de la citada Ley Orgánica. Existiendo una prohibición expresa de revelar a los propios clientes o terceros que su información ha sido comunicada al SEPBLAC o que la misma esta siendo objeto de examen.

Como se desprende del espíritu de la Ley 10/2010, la excepción al deber de información se amplia al ejercicio de derechos de acceso, rectificación, cancelación y oposición por el afectado, debiendo los sujetos obligados, informarle en los términos del artículo 32.3.

La Ley otorga la condición de encargados de tratamiento a los órganos centralizados de prevención, y eleva al nivel alto de seguridad las medidas aplicables a los ficheros que contengan datos de prevención de blanqueo de capitales y financiación del terrorismo.

La Ley, así mismo se centra en el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude, cuando concurran circunstancias excepcionales que se determinen reglamentariamente, pudiendo la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, acordar dicho intercambio de información, referida a determinado tipo de operaciones distintas o a clientes sujetos a determinadas circunstancias, siempre que se encuentren en la categorías de sujetos obligados, previstas en el artículo 2 de la Ley.

La Ley establece, además, la obligación de los sujetos obligados de establecer medidas en las operaciones con personas que desempeñen o hayan desempeñado responsabilidades públicas, tanto en otros Estados miembro de la Unión Europea, como en terceros países, así como sus familiares y personas con la consideración de allegados.

Los sujetos obligados podrán intercambiar información relativa a las operaciones con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o financiación del terrorismo cuando las características y operativa del supuesto, implique la posibilidad de que una vez rechazada por el sujeto obligado, al operación pueda llevarse a cavo, con otro sujeto obligado, con idéntico desarrollo u operativa.

Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes podrán consultar la información contenida en los ficheros siempre que el acceso fuese necesario para el cumplimento de las obligaciones recogidas en la Ley. Dicho acceso deberá quedar limitado a los órganos de control interno y las unidades técnicas de control creadas en el ámbito de los sujetos obligados.

En relación a la conservación de documentos, el artículo 25 de la Ley establece que los sujetos obligados conservarán durante un periodo de diez años la documentación en que se formalice el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo, así como el lo referente a la investigación o análisis, en materia de posibles casos infractores, especificando el artículo que documentos se deben conservar. Dicha conservación se realizar, preferiblemente, en soportes ópticos, magnéticos o electrónicos, que garanticen su integridad, la correcta lectura, la imposibilidad de manipulación y su adecuada conservación y localización.

De los citados preceptos de la Ley 10/2010, deducimos la obligatoriedad por parte de los sujetos obligados, de creación e inscripción del correspondiente Fichero de datos de carácter personal ante la Agencia Española de Protección de Datos; quedando clara su finalidad (la prevención del blanqueo de capitales y financiación del terrorismo), el Responsable del Fichero y encargado de tratamiento, así como las medidas aplicables (nivel alto de seguridad) y los destinatarios de cesiones y comunicaciones, así como los propios usuarios del sujeto obligado que podrán acceder a la información con la correspondiente obligatoriedad de llevar los necesarios registros de acceso a la información, así como los registros destinados al inventariado de los soportes que la contienen.

En relación al registro de personas con responsabilidad pública, se faculta a los sujetos obligados, para la creación de ficheros, aún cuando no se mantengan con ellos relaciones negociales, pudiendo los sujetos obligados, recabar toda la información necesaria sin necesidad de tener el previo consentimiento, sólo pudiendo ser utilizada la información para el cumplimento de las medidas previstas en la Ley 10/2010.

ACCIONES PUBLICIATRIAS Y PROSPECCIÓN COMERCIAL

En relación al tratamiento para actividades de publicidad y prospección comercial, habrá que tener en cuenta lo dispuesto en el Real Decreto 1720/2007,  que establece que para que una entidad pueda realizar por sí misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.

El propio artículo 5 de la Ley Orgánica 15/1999 establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un fichero, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

PRINCIPIOS Y MEDIDAS DE SEGURIDAD APLICABLES

Debe tenerse en cuenta el ejercicio de derechos en materia de protección de datos (Instrucción 1/1998 de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación, cancelación, oposición), en especial el ejercicio del derecho de oposición y cancelación, así como lo establecido en la legislación vigente sobre el consentimiento para el tratamiento de datos con fines publicitarios. Esta es sin duda una de las mayores causas de denuncias en materia de protección de datos.

El tratamiento de los datos por parte de las entidades bancarias y financieras, debe realizarse conforme al principio de calidad de los datos, es decir, deben ser adecuados, pertinentes y no excesivos con respecto a las finalidades para las que fueron recabados. Deben ser exactos y actualizados, e informarse al usuario de las posibles cesiones o comunicaciones de datos que pueden producirse, así como las finalidades de las mismas.

En caso de que el cliente haya solicitado la cancelación de sus datos, las entidades podrían mantener los mismos bloqueados, restringiendo su inclusión en futuras campañas comerciales, siempre que haya norma que me habilite para ello, deba custodiarlos a efectos judiciales o de pago de deudas.

El compromiso de las diferentes entidades bancarias y financieras en aras a una mayor transparencia e información, tanto sobre la recogida de los datos, como el consentimiento o al prevención de delitos informáticos, suplantaciones de identidad o fraudes, cada vez es mayor, ofreciendo información a través de las propias oficinas, Internet, telefónicamente, mediante medios entendibles por el ciudadano.

En relación a las medidas de seguridad, además de las especificadas, se debe tener en cuenta la aparición de nuevos servicios como la banca electrónica, a distancia, la contratación de productos telefónicamente o el telemarketing, en la que deberá asegurarse la prestación del consentimiento, tanto en materia de protección de datos, como en la propia contratación de productos con fines probatorios y en lo referido a lo establecido en la legislación vigente y en materia de defensa del consumidor. Debe hacerse especial hincapié en lo relativo a la identificación del usuario, mediante la inclusión de un código o clave telefónica, la autenticación como control de seguridad, así como la utilización de nuevas tecnologías como la firma electrónica, certificados digitales, entre otros. En todo caso, deberá estarse a lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, legislación, instrucciones y recomendaciones específicas del sector y normativa europea.

Por último, se debe hacer una mención a las medidas de seguridad, avisos legales, cláusulas y políticas de privacidad y cookies con las que debe cumplir las entidades bancarias o financieras, recogidas en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

Publicado por el autor en El Derecho.

Diciembre, mes emblemático para Instituciones Financieras en protección de datos

bancos_mexicoPor Rodrigo Santisteban Maza

Diciembre de 2013, el Instituto Federal de Acceso a la Información y Protección de Datos ha resuelto dos asuntos que dejan un antecedente importante en la materia del Derecho Humano de Protección de Datos Personales, en este caso, en posesión del sector privado, en específico en poder del sector financiero de nuestro país.

El primer caso, deviene de la solicitud de protección de derechos interpuesto por un particular en contra de Scotiabank Inverlat, S.A. Institución de Banca Múltiple, en virtud de que dicha institución no dio atención dentro del plazo de los 20 días señalados en el artículo 32 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares,  a su solicitud de rectificación.

Dicho caso, a pesar de que fue sobreseído por el órgano garante en virtud de quedarse sin materia el procedimiento; destaca por dos grandes elementos, el primero de estos elementos reside en uno de los alegatos dados por el grupo de abogados de dicha institución financiera, al señalar que el procedimiento de protección de derechos era improcedente por competencia del Instituto Federal de Acceso a la Información y Protección de Datos.

El argumento central de esa incompetencia radicó en el señalamiento que:

“… Resulta incompetente para conocer de la presente solicitud el Instituto Federal de Acceso a la Información y Protección de Datos […], toda vez que, la entidad competente para conocer del presente asunto es la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros…”[1]

Lo anterior, en virtud de que la controversia versa sobre una controversia entre un usuario financiero y el banco.

Al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos en el Considerando Tercero de la resolución (PPD.0098/13),  después del análisis del artículo 38 de la Ley, que establece su obligación como órgano garante de la materia, de vigilar su observancia, y citar el artículo 2 de la LFPDPPP, determinó que el titular presentó su solicitud de rectificación de datos ante la institución financiera, que tiene el estatus de sujeto obligado o de responsable, ya que ésta es la que llevó a cabo el tratamiento de los datos personales.

Agregando, que el ejercicio del derecho de rectificación de datos personales, bajo el amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no implica, en ningún caso, que el titular de los datos personales se encuentre ejerciendo un derecho como usuario de los servicios financieros de nuestro país.

El segundo elemento que destaca del presente caso, y que a pesar de que no fue analizado a profundidad por el órgano garante, es la evidente inobservancia por parte de los funcionarios del Banco de un procedimiento interno para dar atención a las solicitudes presentadas al amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y en los términos de su Aviso de Privacidad.

Al respecto el Instituto Federal de Acceso a la Información y Protección de Datos señaló:

“… que el Titular presentó su solicitud de ejercicio del derecho de rectificación de datos personales dirigida a la Unidad Especializadas de Aclaraciones (UNE) del Responsable, la cual, según el propio aviso, se encargaría de notificarla al Área de privacidad para su debido trámite, es claro que la referida solicitud fue presentada correctamente ante el Responsable en la forma y por los medios señalados en su aviso de privacidad, motivo por el cual se encontraba obligado a darle trámite y respuesta…”

Ahora bien, esta aparente omisión por parte de los funcionarios adscritos a la UNE del Banco, denota otra posible violación al principio de responsabilidad contemplado en el artículo 6 de la LFPDPPP y desarrollado en el artículo 48 del Reglamento que impone la obligación al Responsable de poner en práctica un programa de capacitación en la materia y sobre todo de los procesos implementados al interior para dar atención a las múltiples obligaciones que devienen de la citada Ley.

Por otro lado, el segundo caso resuelto en el mes de diciembre de 2013 por parte Instituto Federal de Acceso a la Información y Protección de Datos, es en virtud de una denuncia interpuesta por un particular en contra de BBVA Bancomer S.A., Institución de Banca Múltiple, que en resumen fue presentada en virtud de que dicha institución bancaria utilizó sus datos personales sin su consentimiento para tramitar servicios que no requirió, es decir, el trámite de una tarjeta de crédito.

El objeto y alcance de la denuncia, fue fijada por el IFAI, de la siguiente forma:

“… A efecto de constatar el cumplimiento de la LFPDPPP, se ordena el inicio del procedimiento de verificación a la Responsable, cuyo objeto y alcance está dirigido a: 1) verificar la adecuación del aviso de privacidad de la Responsable a la LFPDPPP; 2) verificar la manera en que recaba los datos personales de los titulares; 3) verificar que la Responsable obtenga el consentimiento de los titulares para tratar sus datos personales, de conformidad con el principio de consentimiento previsto en los artículo 8 de la LFPDPPP y 11 y 20 de su Reglamento; 3) [sic] verificar que el tratamiento de los datos personales que da la Responsable se apegue a la legislación en materia de protección de datos personales, en atención a los principios a que se refieren los artículo 6 de la LFPDPPP y 9 fracción I a VIII de su Reglamento…”[2]

En el desarrollo de la denuncia, BBVA Bancomer manifestó que el consentimiento del titular de los datos personales, deriva de una relación jurídica previa al tratamiento objeto de la denuncia –que a saber, el tratamiento consistió en el otorgamiento de una tarjeta de crédito-, y por lo expresado en los correo electrónicos enviados por el particular previamente, configurándose, a su criterio, el consentimiento tácito en virtud de que  el aviso de privacidad correspondiente se encontraba a su disposición  en los carteles o posters colocados en las sucursales, cajeros automáticos, líneas telefónicas, estados de cuenta y en su página de internet; añadiendo que, el titular no ejercito en ningún momento su oposición o revocación de su consentimiento y se le invitó a que conociera su aviso de privacidad mediante su estado de cuenta.

Para poder entender los alcances de la denuncia y la configuración de la violación de algunos principios contemplados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es necesario recordar los alcances del principio de información y algunas reglas que debemos observar al momento de recabar el consentimiento de los titulares de los datos personales.

El principio de información, implica la obligación que tienen todos los responsables de informar al titular de los datos personales, sobre la existencia y las principales características del tratamiento a que será sometido sus datos personales, así como las finalidades que se buscan con su obtención; dicho principio, se materializa con los avisos de privacidad,  que es definido por la fracción I, del  artículo 3 de la Ley, como:

“… Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales…”

Como podemos desprender de la anterior cita, por regla general el aviso de privacidad debe ser puesto a disposición del titular previo a  la recolección de sus datos personales, lo que supone que, el titular se encuentra físicamente ante el Responsable; pero cuando, esa información es obtenida por medios electrónicos, óptico, sonoro, visual, o cualquier otra tecnología, de forma inmediata el responsable deberá dar a conocer al titular de los datos personales:

  1. Su identidad y domicilio.
  2. La o las finalidades del tratamiento.
  3. La forma en que puede acceder al aviso de privacidad aplicable al caso[3].

Lo anterior, tiene una lógica muy básica, es evitar que el consentimiento que otorgue el titular de los datos personales, por el cual, nos permita dar tratamiento a su información, se encuentre viciado, ya que éste se debe obtener previo a que sea recabada.

El consentimiento, en términos de la Ley, puede ser manifestado de dos formas: tácito y expreso; este último, será requerido cuando se pretenda recabar datos financieros, patrimoniales, o sensibles, salvo que el tratamiento de los datos, encuadre en alguno de los supuestos establecidos en el artículo 10 de la LFPDPP.

Dentro de la información que fue proporcionada por el titular al responsable, se encuentra, entre otros datos:

Datos recabados Tipo de datos Medio de obtención

Numero de cuenta o tarjeta

Dato patrimonial y financiero

Correo electrónico

Número de cliente Dato financiero Indirecto (se obtiene al momento de ingresar el número de cuenta o tarjeta)
Copia de la credencial para votar expedida por el extinto Instituto Federal Electoral, ahora Instituto Nacional Electoral. Dato identificativo Correo electrónico
Registro Federal de Contribuyentes. Dato fiscal Correo electrónico
Ingreso mensual. Dato patrimonial No se puede determinar la forma de su obtención.

Como hemos señalado, cuando se obtienen datos personales de manera electrónica, como es el caso en concreto, existe la obligación del responsable de comunicar de manera inmediata al titular, su identidad, domicilio, finalidad y mecanismos por medio de los cuales puede conocer el aviso de privacidad; al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos después de analizar las evidencias proporcionadas por las partes, pudo determinar que tal obligación no se vio cumplida por parte de BBVA Bancomer[4], violentando por ende, el principio de información.

Del cuadro anterior, podemos observar que BBVA Bancomer obtuvo diversos datos que requieren en términos de la Ley, la obtención del consentimiento expreso, al respecto, recordemos que uno de los argumentos vertidos por el responsable con respecto a este tema fue:

“… que cuenta con el consentimiento […], derivado de una relación jurídica [preexistente]…”[5].

El Instituto Federal de Acceso a la Información y Protección de Datos, después de analizar los documentos aportados por el Responsable, determinó que:

“… también se desprende que los datos requeridos a la denunciante, no tenían por finalidad cumplir con algún propósito concerniente a la relación jurídica a la que se refiere la Responsable, pues dicha relación a la fecha en que se solicitaron nuevos datos, ya se encontraba plenamente formalizada. En consecuencia, dicha circunstancia no eximía a la Responsable de recabar el consentimiento de la titular para dar tratamiento a los nuevos datos personales…”[6]

Lo que conllevó, a la violación por parte del Banco, del principio del consentimiento, en virtud de que no pudo demostrar fehacientemente su otorgamiento, y sobre todo, que éste hubiere sido otorgado de manera libre, específica e informado, y que hubiere sido inequívoco, es decir, que existan elementos que demuestren su otorgamiento y así se acredite ante el IFAI.

Al violentar ambos principios, a saber, el de información y consentimiento, automáticamente se configuró la violación de otro principio contemplado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que es el de licitud.

El principio de licitud, impone la obligación a los responsables de ajustar el tratamiento de los datos personales a lo previsto en la legislación mexicana, en el caso concreto, a la LFPDPPP.

Este caso, aún se encuentra en proceso, por así señalarlo, en virtud de que, a  raíz de ésta denuncia, se ha iniciado el procedimiento de imposición de sanciones contemplado en la Ley, tendremos que esperar unos meses más, para poder conocer a cuanto ascenderán estas infracciones.

En conclusión, podemos señalar que en ambos casos, se hubieren podido evitar sí, la fracción II del artículo 48 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en virtud de que, si el personal que se encontró involucrado en los procesos hubiere recibido una capacitación constante y especializada en la materia, los riesgos de caer en estos supuestos se hubieren visto disminuido, o en el caso concreto de BBVA Bancomer, no tuviere que enfrentarse al proceso de imposición de sanciones, ya que, hubiere recolectado su ejecutiva(o) de cuenta el consentimiento expreso al inicio del proceso, previo disposición del Aviso de Privacidad.

Otro elemento destacable de ambas resoluciones, radica en que el tema del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no se circunscribe exclusivamente en la publicación del Aviso de Privacidad, sino que existe múltiples obligaciones que se deben de observar.

Un punto fundamental de la resolución contra BBVA Bancomer, consiste en que el consentimiento es necesario, a pesar de que exista una relación preexistente, cuando el titular de los datos personales y/o el responsable, persigan la formalización de una nueva relación, cuyo objeto directo o indirecto implique el tratamiento de los datos personales del primero.

[1] Resolución del Expediente PPD.0098/13,. p.p  17 y 18

[2] Resolución: ACT-PRIV/27/11/2013.03.02.01, pág. 8

[3] Artículos 16, 17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y 27 de su Reglamento.

[4] Op. Cit. pág. 15

[5] Op. Cit. pág. 14

[6] Op. Cit. pág. 18

Banca y servicios financieros, tratamiento de datos y medidas de seguridad

banco_españa

Por Daniel A. López Carballo

El tratamiento de datos personales en una entidad bancaria atiende sin dudas a diferentes finalidades, y por tanto pueden ser objeto de la implantación de varios niveles de seguridad. La necesidad de apertura de líneas de negocio y productos ofertados por dichas entidades conlleva a que sea numerosa la información que de una persona se puede llegar a albergar. Los productos financieros y bancarios, seguros, así como el tratamiento de sus datos para la prevención de blanqueo de capitales y la propia gestión de ficheros de morosidad, además en la sociedad de la información se hace necesario llegar a los clientes actuales y potenciales para mostrarles los productos y nuevas oportunidades.

Además del nivel de seguridad que la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y Reglamento de desarrollo, les aplica, se debe tener en cuenta un nivel de seguridad, social, que dicha información debe tener. Al margen de las finalidades y niveles de seguridad que desarrollaremos a continuación, determinada información que a los ojos del legislador puede tener un nivel básico, puede constituir un riesgo y gran perjuicio para el usuario, o puede influir socialmente tener conocimiento de determinadas transacciones.

Debe recordarse que además de la confidencialidad recogida en la citada Ley Orgánica, en el sector de la banca se debe aplicar el secreto bancario y la especial confidencialidad que se debe tener con respecto a los datos de los usuarios, que en la mayor parte de las entidades vienen desarrolladas en políticas de privacidad y compromisos específicos de confidencialidad.

Una correcta implantación de la Ley Orgánica 15/1999, conlleva por tanto, una mayor seguridad en el tratamiento de los datos de las personas, una mejor imagen con respecto a los usuarios actuales y potenciales, generación de mayor confianza, prevención del robo de datos e información y su utilización por otras entidades, una mayor trazabilidad de la información y por tanto una optimización de recursos, así como la delimitación de responsabilidades y posibles infracciones por el personal trabajador o colaborador de la entidad. Se debe recalcar por último el auge de denuncias en materia de protección de datos que se han producido en los últimos años, tal y como reflejan las diferentes memorias de la propia Agencia Española de Protección de Datos.

El Real Decreto 1560/1992, de 18 de diciembre, por el que se aprueba la clasificación nacional de actividades económicas, en el epígrafe J de su Anexo incluye la intermediación financiera, banca, cajas de ahorro, cooperativas de crédito, sociedades y fondos de capital riesgo, intermediación monetaria entre otras.

Del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, puede deducirse que acorde con dichas finalidades (solvencia patrimonial, operaciones financieras y de crédito) deberíamos aplicar las medidas de seguridad relativas al nivel medio.

De la Ley 30/1995, de 8 de noviembre, de ordenación y supervisión de los seguros privados, podemos deducir que la actividad aseguradora y sobre planes y fondos de pensiones, es de las más avanzadas en el sistema financiero. El incremento de las tasas de morosidad, así como el aseguramiento del pago de cuotas, créditos y otros productos por parte de las entidades bancarias, en una época de crisis económica, así como la aparición y prestación de nuevos servicios conllevan a que la mayor parte de dichas entidades presten este tipo de servicios, bien directamente, a través de empresas del grupo o de terceros.

A mayor abundamiento el artículo 8.4 de la Ley 13/1992, de 1 de junio, reguladora de los recursos propios y supervisión en base consolidada de las entidades financieras, incluía las Sociedades Gestoras de Fondos de Pensiones entre las entidades financieras que deberán incluirse en el grupo consolidable de entidades de crédito, tal y como recalcaba la propia Agencia Española de Protección de Datos en su informe de 1999.

En este sentido, aunque en el ámbito de seguros, la finalidad no es directamente el tratamiento de datos de salud, tal como sería aplicable por un centro sanitario, si que podemos obtener datos de nivel alto de seguridad, derivados de cuestionarios de salud, tramitación de partes o las mismas pólizas, que conllevaran la adopción de las medias de nivel alto de seguridad para los mismos.

Mismo nivel de seguridad deberá implantarse a los ficheros derivados de la aplicación de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En su artículo 32, la norma obliga a registra el Fichero correspondiente a las finalidades establecidas en la normativa de blanqueo de capitales, a la inclusión de los datos de carácter personal de los afectados, que quedarán exentos tanto del deber de información como del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

El Real Decreto 1720/2007, en su Título IV, Capítulo I hace referencia a los Ficheros de información sobre solvencia patrimonial y crédito, donde se desglosan los requisitos para la inclusión de datos en dichos ficheros, las medidas de seguridad y ejercicio de derechos entre otros.

En una sociedad global, en que las entidades no se circunscriben a un determinarlo territorio o país se debe tener en cuenta lo relativo a transferencias internacionales de datos y el nivel de seguridad aplicable según los criterios de la legislación española y europea y el criterio de la propia Agencia Española de Protección de Datos, en este sentido la prestación de servicios fuera de España, cobro o subrogación de deudas, compraventa inmobiliaria y créditos hipotecarios para bienes en terceros países, así como otros tantos.

En relación al tratamiento para actividades de publicidad y prospección comercial, habrá que tener en cuenta lo dispuesto en el Real Decreto 1720/2007,  que establece que para que una entidad pueda realizar por sí misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.

El propio artículo 5 de la Ley Orgánica 15/1999 establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un fichero, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Debe por tanto tenerse en cuenta el ejercicio de derechos en materia de protección de datos (Instrucción 1/1998 de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación, cancelación, oposición), en especial el ejercicio del derecho de oposición y cancelación, así como lo establecido en la legislación vigente sobre el consentimiento para el tratamiento de datos con fines publicitarios. Esta es sin duda una de las mayores causas de denuncias en materia de protección de datos.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de  Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y  crédito, aplicable al caso, que establece que “la inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones  dinerarias deberá efectuarse solamente cuando concurran los siguientes requisitos: la existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada y el requerimiento previo de pago a quien  corresponda, en su caso, el cumplimiento de la obligación.

El tratamiento de los datos por parte de las entidades bancarias y financieras, debe realizarse conforme al principio de calidad de los datos, es decir, deben ser adecuados, pertinentes y no excesivos con respecto a las finalidades para las que fueron recabados. Deben ser exactos y actualizados, e informarse al usuario de las posibles cesiones o comunicaciones de datos que pueden producirse, así como las finalidades de las mismas.

En caso de que el cliente haya solicitado la cancelación de sus datos, las entidades podrían mantener los mismos bloqueados, restringiendo su inclusión en futuras campañas comerciales, siempre que haya norma que me habilite para ello, deba custodiarlos a efectos judiciales o de pago de deudas.

El compromiso de las diferentes entidades bancarias y financieras en aras a una mayor transparencia e información, tanto sobre la recogida de los datos, como el consentimiento o al prevención de delitos informáticos, suplantaciones de identidad o fraudes, cada vez es mayor, ofreciendo información a través de las propias oficinas, Internet, telefónicamente, mediante medios entendibles por el ciudadano. Sírvase como ejemplo el artículo que hace tiempo escribí sobre las buenas prácticas en materia de información al usuario para prevención de fraudes, mejora de la privacidad y consejos que el Banco Pichincha ofrecía a través de su página web y perfiles sociales.

En relación a las medidas de seguridad, además de las especificadas, se debe tener en cuenta la aparición de nuevos servicios como la banca electrónica, a distancia, la contratación de productos telefónicamente o el telemarketing, en la que deberá asegurarse la prestación del consentimiento, tanto en materia de protección de datos, como en la propia contratación de productos con fines probatorios y en lo referido a lo establecido en la legislación vigente y en materia de defensa del consumidor. Debe hacerse especial hincapié en lo relativo a la identificación del usuario, mediante la inclusión de un código o clave telefónica, la autenticación como control de seguridad, así como la utilización de nuevas tecnologías como la firma electrónica, certificados digitales, entre otros. En todo caso, deberá estarse a lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, legislación, instrucciones y recomendaciones específicas del sector y normativa europea.

Por último, se debe hacer una mención a las medidas de seguridad, avisos legales, cláusulas y políticas de privacidad y cookies con las que debe cumplir la entidad bancaria o financiera, recogidas en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

Información crediticia y habeas data financiero en Honduras

cnbs_hondurasPor Daniel A. López Carballo

La Ley de Justicia Constitucional de Honduras, bajo el Capítulo II “De la acción de exhibición personal y de habeas data”, en su artículo 13 reconoce que “El Estado reconoce la garantía de habeas corpus o exhibición personal, y de habeas data. En consecuencia en el Hábeas Corpus o Exhibición Personal, toda persona agraviada o cualquier otra en nombre de ésta tiene derecho a promoverla; y en el habeas data únicamente puede promoverla la persona cuyos datos personales o familiares consten en los archivos, registros públicos o privados de la siguiente manera: (…) 2.) El Hábeas Data. Toda persona tiene el derecho a acceder a la información sobre si misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o enmendarla. Únicamente conocerá de la garantía de habeas data la Sala de lo Constitucional de la Corte Suprema de Justicia.”

En este sentido y para garantizar un correcto tratamiento de la información, para garantizar el derecho a la privacidad, intimidad y el honor de las personas, así como mantener los datos personales actualizados, las personas que se aparecen en el listado de morosidad de la Central de Información Crediticia hondureña, sin que medie justificación, pueden invocar el llamado “habeas data financiero, mediante el cual se reconoce el derecho personal de modificación o rectificación de información incorrecta o falsa.

Cabe recordar que la garantía del habeas data facilita el acceso a la información; impedir su transmisión o divulgación; rectificar datos inexactos o erróneos; actualizar información, exigir confidencialidad y la eliminación de información falsa; respecto de cualquier archivo o registro, privado o público, que conste en medios convencionales, electrónicos o informáticos, que produzcan daño al honor, a la intimidad personal, familiar y a la propia imagen.

Esta garantía implica además, concoer quien está reportando los datos a la Central de Información Crediticia y el derecho a recibir el finiquito de pago de su obligación en un plazo máximo de 10 días hábiles.

Para José Luis Moncada, Presidente de la Comisión Nacional de Bancos y Seguros las modificaciones citadas deben ser ejecutadas por las instituciones del sistema financiero, instituciones de seguros, oficinas de representación de instituciones financieras del exterior, organizaciones privadas de desarrollo que se dedican a actividades financieras, así como emisoras de tarjetas de crédito, fondos públicos y privados de pensiones, instituciones de crédito de segundo piso, bolsas de valores sobre los financiamientos que obtengan en bolsa las entidades emisoras de títulos, entre otros, según informaba en 2009 el diario hondureño El Heraldo, momento en que entro en funcionamiento esta garantía financiera de los ciudadanos. El Presidente de la Comisión Nacional afirmaba en relación a la cancelación de los datos que “Si el deudor no cancela la obligación se mantendrá por cinco años, pero si la cancela solo se mantendrá por tres años”.

La acción del habeas data conlleva, conforme a su definición legal, el derecho de acceso, es decir conocer sobre el contenido de la información que a él se refiere, cuando ésta se encuentra registrada en un banco de datos, sea manual, electrónico o informatizado; el derecho de rectificación o actualización de los datos, buscando una mayor veracidad y precisión de la información; el derecho de supresión, eliminado los datos erróneos, falsos o discriminatorios que afecten la verdad; así como el derecho que tienen las personas a que se guarde la debida confidencialidad sobre la información especialmente protegida, que sobre el se tenga.

Se debe hacer referencia, por último, al principio de finalidad en el tratamiento de los datos de los usuarios, la propia Comisión Nacional, a través de su página web reconoce el derecho de las personas a que “la información proporcionada a las instituciones supervisadas sea utilizada y administrada exclusivamente en relación a los fines para los cuales se suministró. Salvo cuando dicha información deba proporcionarse en atención a un mandato judicial o en cumplimiento a una disposición contenida en el marco legal aplicable”.

¿Seguridad en banca electrónica?

banca_electronica

Por Nelson Remolina Angarita

La verdad sobre las firmas digitales está moribunda y la imposición de las entidades de certificación (EC) está de moda.

El Consultorio de Tecnología y Derecho de ADALID Abogados afirmó lo siguiente en la página 6 de la edición 356 (15-28 de octubre de 2012) de este periódico: “… para que una firma digital se entienda válidamente emitida en Colombia, se requiere de la intervención de un tercero de confianza denominado ‘entidad de certificación” (subrayo). Esto es una réplica casi textual de lo que concluyó el representante legal de una entidad de certificación abierta en la edición 281 del 2009.

Esa conclusión es falsa porque el numeral 2º del parágrafo del artículo 28 de la Ley 527 de 1999 exige que la firma digital sea susceptible de ser verificada. No establece que deba ser certificada ni mucho menos que se requiera la intervención de una EC. La verificación se hace con la clave pública sin que sea necesaria la participación de una EC. En otras palabras, con o sin la presencia de esas entidades, se puede verificar la firma digital.

He sido crítico no solo de la desinformación del tema sino de las propuestas regulatorias y de las normas que imponen el uso de los productos de algunas entidades de certificación abierta. Lo anterior por varias razones: En primer lugar, dejan por fuera otras alternativas de identificación electrónica que pueden ofrecer iguales o mejores niveles de seguridad. En segundo lugar, son productos costosos a los cuales no puede acceder la mayoría de la población. Finalmente, las EC no son empresas vigiladas por el Estado a pesar de que prestan un servicio público asociado a la fe pública (C-662/00). Esto incide en el grado de confianza que se tiene sobre las mismas.

Pese a lo anterior, se sigue tratando de imponer por ley el uso de los productos de las EC. Este es el caso del proyecto de ley “Por medio de la cual se establece seguridad en banca electrónica y otras disposiciones”. Es saludable el objetivo de la iniciativa pero cuestionable la imposición de una lista cerrada de medios de identificación fuerte, a saber: a) mecanismos biométricos (…) que se encuentren certificados para garantizar su integridad; b) mecanismos OTP (One Time Password), en los que se garantice la fecha y hora en la que se autentica cada transacción, así como su integridad; c) firmas electrónicas certificadas; d) firmas digitalescertificadas; e) tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación, y f) registro y validación de algunas características físicas de los computadores desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación

Los avances tecnológicos en seguridad están en constante desarrollo. Si por ley se impone una lista excluyente de mecanismos de autenticación, pues esa ley no solo está destinada a quedar obsoleta sino que deja por fuera actuales y futuras herramientas de seguridad electrónica con igual o superiores niveles de confiabilidad. Se condena y congela la seguridad a un momento del estado de la técnica.

Con el Decreto-Ley 19 del 2012 e iniciativas como la comentada, las EC garantizan más ventas, nada de vigilancia estatal y cero sanciones. ¿Es esto sensato? ¿Y el resto de Colombia qué? ¿Con este tipo de decisiones regulatorias se están protegiendo los intereses generales del país?

Los intereses de Colombia deben estar por encima de los intereses comerciales de una entidad de certificación abierta. Pensemos en el país y no en una empresa del país.

Publicado por el autor en ambitojuridico.com el 14 de Noviembre de 2012.