Autora: Adara Palomino
El uso de la información que reciben las entidades bancarias y/o financieras por parte de las centrales de riesgo para fines de prospección comercial es un tema que ha generado un amplio debate, especialmente en el contexto de la protección de datos personales en Perú. En este sentido, la Ley de Protección de Datos Personales, Ley N° 29733 (en adelante, “LPDP”), establece un marco legal para el tratamiento adecuado de la información personal de los ciudadanos, y tanto las entidades bancarias y/o financieras como las demás empresas deben cumplir con sus disposiciones para garantizar el uso legal y legítimo de la información que custodian. Por otro lado, las centrales de riesgo se encuentran reguladas en la Ley de creación y funcionamiento de las centrales de riesgo (en adelante, “Ley Nº 27489”), la cual establece qué tipo de información pueden guardar o compartir dichas entidades a las empresas.
Por tanto, es fundamental analizar la licitud del uso de la información recopilada de las centrales de riesgo por parte de las entidades bancarias y/o financieras para fines de prospección comercial, teniendo en cuenta las obligaciones establecidas en las normas anteriormente citadas. En este artículo, presentaremos el marco legal de la protección de datos personales en el Perú y las obligaciones que deben cumplir las empresas que manejan este tipo de información, con especial énfasis en su uso para fines de prospección comercial. Luego, describiremos el papel de las centrales de riesgo en el sector bancario y/o financiero y cómo se utiliza la información que recopilan para tomar decisiones en la concesión de créditos. Además, explicaremos el tratamiento para fines de publicidad o prospección comercial, según la LPDP. Por último, describiremos las limitaciones sobre el uso de la información recopilada de las centrales de riesgo para el fin específico de la prospección comercial en las empresas y/o entidades bancarias.
En primer lugar, es importante señalar que la LPDP establece una serie de obligaciones para las empresas que manejan información personal que incluyen: la obtención de consentimiento informado para el tratamiento de la información, la garantía de la seguridad y confidencialidad de los datos personales, la limitación del uso de la información para los fines para los que fue recopilada o de lo contrario, para las “finalidades adicionales” -que también requieren recopilar el consentimiento por escrito del titular-, entre otras. En cuanto a la obtención del consentimiento informado para el tratamiento de la información personal, debemos decir que la misma es fundamental para el uso legal y legítimo de la información obtenida a través de las centrales de riesgo. En ese sentido, las entidades bancarias, financieras y/o demás empresas, deberán informar a los titulares de los datos personales acerca del uso que se dará a su información, y obtener su consentimiento de manera expresa, previa e informada antes de utilizarla para fines de prospección comercial. Además, es obligatorio respetar los derechos de los titulares de los datos personales y proteger la privacidad de éstos en todo momento. De lo contrario, cualquier uso indebido o no autorizado de los datos personales puede generar responsabilidades legales y sanciones para tales empresas.
Esto se deberá incluir en la política de privacidad de la empresa donde se detalle el tratamiento que se le dará a los los datos personales obtenidos de las centrales de riesgo. Por ejemplo, en el caso de una empresa de créditos, se podrá explicar que la obtención de esta información por medio de las centrales de riesgo se realizará para evaluar la solvencia crediticia del usuario y determinar su capacidad para pagar el crédito. Además, será fundamental incluir la forma en que se recopilan, procesan, almacenan y eliminan los datos; y el tiempo y los derechos que le asisten al titular como el derecho de acceso, rectificación, cancelación y oposición (derechos ARCO). Dicho documento deberá ser fácilmente accesible para el usuario y deberá solicitar su consentimiento explícito antes de recopilar los datos personales provenientes de las centrales de riesgo. Por ejemplo, se podrá incluir una casilla de verificación que el usuario deberá marcar para dar su consentimiento al tratamiento de los datos personales provenientes de las centrales de riesgo.
En segundo lugar, en el contexto del sector bancario, es importante tener en cuenta que las centrales de riesgo juegan un papel fundamental en la evaluación del riesgo crediticio de los clientes. En ese sentido, es importante garantizar que el uso de la información provista por dichas entidades no vulnere los derechos de sus titulares. La LPDP establece que las centrales de riesgo sólo pueden compartir datos personales con terceros en los casos en que se encuentren expresamente autorizadas por el titular de los datos o cuando exista una norma legal que así lo permita. Al respecto, debe tenerse en cuenta lo siguiente:
- Consentimiento por parte del titular de los datos personales: La consulta de la información en las centrales de riesgo por terceros debe ser autorizada por los titulares, quienes tienen derecho a conocer y rectificar la información que se encuentra en dichas centrales. En consecuencia, las empresas o entidades bancarias y/o financieras que recopilen información de las centrales de riesgo deberán informar a los titulares sobre la información que se solicitará y/o la consulta que podrán realizarle a las centrales de riesgo.
- Norma legal: La Ley N° 27489, cuya regulación está a cargo de la Superintendencia de Banca, Seguros y AFP (en adelante, “SBS”), establece que las centrales de riesgo deben mantener actualizada la información crediticia de las personas naturales y jurídicas, y habilita a las empresas que otorgan créditos, como las empresas bancarias y/o financieras a poder consultar la información crediticia de dicha fuente para que obtengan información que les permita tomar decisiones informadas en la concesión de créditos tanto a las personas naturales como a las personas jurídicas. No obstante, la información que pueden consultar y recopilar aquellas empresas de las centrales de riesgo se encuentra limitada a la información sobre el historial crediticio de los clientes, como por ejemplo: documento de identidad, el correo electrónico, número telefónico, entre otros; siempre y cuando se respeten los derechos de los titulares de los datos. Por tanto, no las autoriza a utilizar esos datos para realizar prospección comercial, pues es una finalidad distinta al otorgamiento de créditos.
Es importante destacar que la Ley Nº 27489 establece sanciones para las centrales de riesgo y terceros que incumplan con las disposiciones sobre protección de datos personales, incluyendo multas, cierre temporal o definitivo de operaciones, y responsabilidad civil y penal. Por ello, las empresas que obtengan información de las centrales de riesgo deberán cumplir con las siguientes obligaciones de la LPDP:
- Consentimiento informado del titular: Las centrales de riesgo deben obtener el consentimiento expreso y por escrito del titular de los datos antes de compartir su información con terceros y/o bancos. Este consentimiento debe ser informado, específico y otorgado de manera voluntaria.
- Finalidad legítima: La información compartida por las centrales de riesgo debe ser utilizada exclusivamente para fines legítimos relacionados con la evaluación crediticia, otorgamiento de créditos, cobranza de deudas, y otros fines expresamente permitidos por la ley.
- Proporcionalidad y pertinencia: La información almacenada debe ser proporcional y pertinente para la finalidad legítima perseguida, evitando la divulgación de datos excesivos o irrelevantes.
- Seguridad y confidencialidad: Las centrales de riesgo y los terceros y/o empresas receptoras de la información deben garantizar la seguridad y confidencialidad de los datos compartidos, adoptando las medidas técnicas, organizativas y legales necesarias para proteger la privacidad de los titulares de los datos.
Sobre la obligación de garantizar la seguridad y confidencialidad de los datos personales, deberán elaborarse políticas y cumplir con las medidas de seguridad adecuadas para proteger la información personal de los titulares, y evitar así su divulgación o acceso no autorizado. Igualmente, deberá limitarse el uso de la información de las centrales de riesgo a los fines específicos para los que fue recopilada. Esto significa que las entidades bancarias y/o financieras sólo podrán utilizar la información para fines de prospección comercial si dichos fines están claramente establecidos y relacionados con la actividad comercial de la entidad.
En tercer lugar, sobre la obtención del consentimiento para la realización de acciones de marketing y publicidad, las entidades bancarias, financieras y/o demás empresas deberán elaborar un procedimiento interno que cumpla con las siguientes obligaciones:
- Consentimiento informado: El titular de los datos que brinde el consentimiento debe recibir información clara y detallada sobre los fines del tratamiento de sus datos personales, incluyendo la finalidad específica de las acciones de marketing y publicidad, y debe ser informado sobre el tipo de productos y servicios que se ofrecerán.
- Consentimiento previo: El consentimiento se debe obtener de manera previa, es decir, antes de realizar cualquier acción de marketing y publicidad, y no puede ser obtenido de forma implícita o a posteriori.
- Consentimiento expreso: El consentimiento debe ser expreso, lo que significa que debe ser otorgado de manera clara y específica, mediante una declaración o acción afirmativa por parte del titular de los datos. No se permite el consentimiento tácito o la inclusión de cláusulas de consentimiento en contratos o formularios pre marcados.
- Retirada del consentimiento: El titular de los datos debe tener la posibilidad de retirar su consentimiento en cualquier momento, de manera fácil y accesible, y el responsable del tratamiento de datos debe respetar esta decisión y cesar el tratamiento de los datos para fines de marketing y publicidad.
Del mismo modo, la prospección comercial que consiste en identificar a clientes potenciales y establecer contacto con ellos con el objetivo de ofrecerles productos y servicios, es una práctica muy común y generalizada en las empresas bancarias y/o financieras en Perú; sin embargo, debido a la sensibilidad de los datos personales que se manejan en dicho ámbito, la prospección comercial en este sector está sujeta a ciertas regulaciones y restricciones especiales. Según el artículo 15 del Reglamento de la LPDP, el tratamiento de datos personales (únicamente los permitidos según la Ley 27489) para fines de publicidad o prospección comercial solo puede llevarse a cabo si se cuenta con el consentimiento previo, expreso, inequívoco e informado del titular de los datos personales. Por ejemplo, sobre la finalidad de la recopilación de los datos y los derechos que le asisten.
Finalmente, es importante destacar que la LPDP establece ciertas limitaciones y requisitos para el tratamiento de datos personales con fines de prospección comercial, incluyendo la necesidad de obtener el consentimiento informado y expreso del titular de los datos, y la obligación de garantizar la seguridad y confidencialidad de los datos recolectados y procesados. Una manera de cumplir con dichas obligaciones es implementando políticas y medidas de seguridad adecuadas para garantizar el uso legal y legítimo de la información a través de la implementación de protocolos de seguridad de la información, la capacitación del personal encargado del tratamiento de la información, y la revisión constante de las políticas y medidas de seguridad. De esta manera, la relevancia y adecuación de la información que los bancos y/o financieras reciben de las centrales de riesgo para el fin específico de la prospección comercial dependerá del tipo de producto o servicio que se esté ofreciendo, así como del perfil del cliente potencial al que se está dirigido. Por ejemplo, si una entidad bancaria desea ofrecer un préstamo a un cliente potencial, la información relevante y adecuada podría incluir datos relacionados con el historial crediticio del cliente, su capacidad de pago, su situación laboral, entre otros factores que puedan ser relevantes para evaluar su solvencia y capacidad de pago.
En conclusión, las empresas deben cumplir con sus obligaciones legales para garantizar el uso legítimo de la información que recopilan de las centrales de riesgo. Para ello, deben evaluar cuidadosamente la relevancia y adecuación de dicha información para el fin específico que se persigue, y cumplir con todas las obligaciones y requisitos establecidos por la LPDP y su Reglamento para garantizar la protección de los datos personales de sus titulares. Esto se realiza a través de la obtención previa y expresa del consentimiento para el tratamiento de datos personales provenientes de las centrales de riesgo, la cual deberá ser clara y específica. Para ello, es recomendable incluir en la política de privacidad de la empresa una sección específica que detalle el tratamiento que se dará a los datos personales obtenidos de las centrales de riesgo, en la cual la empresa deberá explicar al titular de los datos cuál será el propósito específico para el que se utilizarán los datos personales obtenidos, así como las posibles consecuencias que se derivan de dicho tratamiento. De esta forma, se protegen los derechos de los titulares y se promueve el desarrollo de un sector bancario, financiero y empresarial sostenible y responsable en el Perú.