Desde hace algunas semanas hemos leído en los diferentes medios de comunicación, reacciones diversas en relación a la solicitud de información personal que hiciera el Banco Central de Costa Rica a diferentes entidades bancarias con la finalidad de obtener el insumo necesario para elaborar indicadores como la tasa básica pasiva (TBP), así como analizar el impacto de cambios en los patrones de ahorro y endeudamiento de las personas, e identificar presiones inflacionarias.
El BCCR fundamentó su actual en el criterio DAJ-CJ-0079-2023 emitido por la División Asesoría Jurídica de dicha institución, el cual afirma que “La Ley del Sistema de Estadística Nacional (SEN)”, establece en su artículo 16 la obligación de todas las personas físicas y jurídicas e instituciones públicas, de brindar la información requerida para fines estadísticos. Por otra parte, entidades como la Oficina del Consumidor Financiero (OCF) y la Unión Costarricense de Cámaras y Asociaciones del Sector Empresarial Privado (Uccaep), se han pronunciado públicamente en contra de la acción del BCCR, bajo la consideración de que la información personal tiene una connotación de información confidencial.
Como ha sido ampliamente desarrollado por distintos medios de comunicación, en este momento, el tema ha trascendido el análisis de legalidad y se encuentra en la esfera constitucional en virtud de una acción interpuesta por la Asociación Bancaria Costarricense (ABC). Sera entonces, este alto Tribunal quien determine si existen vicios de inconstitucionalidad.
Mientras la Sala Constitucional analiza el caso desde su perspectiva, nos resulta de especial interés recalcar que la protección al principio de autodeterminación informativa fue regulado por el legislador desde hace aproximadamente una década cuando se promulgo la Ley 8968 Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, la cual es una ley de orden público que tiene por propósito garantizar a cualquier persona su derecho a la autodeterminación informativa, entendiéndose ésta como “el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales … con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias” (art. 4 de la Ley 8968).
Este mismo cuerpo legal, dispone en el artículo 9 como una categoría de los datos personales, aquellos referentes al comportamiento crediticio e indica que “se regirán por las normas que regulan el Sistema Financiero Nacional, de modo que permitan garantizar un grado de riesgo aceptable por parte de las entidades financieras, sin impedir el pleno ejercicio del derecho a la autodeterminación informativa ni exceder los límites de esta ley”. Bajo esta misma línea, encontramos el Acuerdo SUGEF 7-06 Reglamento del Centro de Información Crediticia (CIC) el cual condiciona y limita el acceso a la información personal, particularmente su artículo 7 dispone que cuando un reporte individual incluya información que no es de dominio público, la SUGEF sólo puede dar acceso a esa información si existe una autorización previa de la persona que va a ser consultada.
Las normas antes mencionadas ponen en evidencia que tanto a nivel privado como desde la perspectiva de las entidades financieras los datos personales revierten especial carácter de información confidencial. Bajo este sentido, el uso y eventual transferencia de datos sin anonimizar, conlleva la necesaria valoración de legalidad y la implementación de procedimientos mediante los cuales se cumpla con el tratamiento conforme y se garantice la seguridad de la información que se comparte.
Casos como el del BCCR, que ha tenido repercusiones hasta de índole penal, con la denuncia interpuesta contra la Superintendente de Entidades Financieras, Rocío Aguilar, nos invita a crear conciencia sobre el manejo que estamos haciendo de los datos personales y a extremar las medidas de control, evaluando los procesos de recopilación de datos personales y la implementación de procedimiento de transferencia de datos.
Es a través de una asesoría especializada y oportuna que se podrá minimizar cualquier exposición que ponga en duda el manejo legal de los datos personales que se encuentren bajo su responsabilidad.