La nueva ley de protección de datos crediticios

El pasado 23 de septiembre de 2020, con el pronunciamiento de la Cámara de Diputados, ambas Cámaras levantaron el veto del Poder Ejecutivo a la Ley N.° 6534/20 (en adelante “la ley”). Por lo tanto, dado que según la Constitución Nacional el Poder Ejecutivo está obligado a promulgarla, es un hecho que esta ley entrará en vigencia próximamente.

La ley tiene por objeto principal garantizar la protección de los datos crediticios de toda persona. Como objeto secundario, aunque de igual manera importante, regulará la actividad de recolección y el acceso a datos de información crediticia con el fin de preservar los derechos fundamentales a la intimidad, la autodeterminación informativa, la libertad, la seguridad y el trato justo de las personas.

La ley será de aplicación obligatoria al tratamiento de datos personales en registros públicos y privados. Por lo tanto, bajo su ámbito de aplicación se encontrarán comprendidas aquellas empresas privadas que proveen información crediticia, como Informconf.

Esta ley regula el derecho de toda persona a ser informada en forma expresa y clara sobre la finalidad que se dará a sus datos personales, el derecho al olvido de datos crediticios y el deber de secreto por parte de las personas que tengan acceso a estos datos. Para ello, la persona cuyos datos serán recabados deberá manifestar expresamente su consentimiento para la obtención y utilización de sus datos personales. La recolección o cesión de datos sin la autorización del afectado será considerada ilegal y pasible de sanciones.

Buscando proteger los datos personales sensibles de los deudores, como lo es la información crediticia, esta nueva ley exige un motivo para el acceso a los datos crediticios. Solo podrá ser recolectada información crediticia en el marco de una relación comercial. Se prohíbe la utilización de información crediticia para la toma de decisiones laborales, acceso al empleo, promoción, traslado o despido del personal, así como para negar o restringir el acceso a la medicina prepaga o a la atención médica de urgencia.

Además, la ley limita quiénes podrán tener acceso a los datos crediticios, estableciendo como usuarios de información crediticia a las siguientes instituciones o personas: (i) entidades de intermediación financiera y de crédito reguladas por el Banco Central del Paraguay; (ii) entidades controladas por el Instituto Nacional de Cooperativismo; (iii) las personas físicas o jurídicas que en forma empresarial otorguen crédito; (iv) las cajas mutuales, casas de préstamos y casas de empeños; (v) las personas que se dediquen de manera habitual a la venta a crédito de productos; y (vi) las personas que mediante el uso de plataformas tecnológicas funcionen como un canal o medio de intermediación. Esta lista es exhaustiva, por lo que, las personas físicas o jurídicas no incluidas en la misma, no podrán ser usuarios de información crediticia.

Los usuarios de información crediticia están obligados a la constante actualización de los datos de sus clientes, en especial la información de cumplimiento de obligaciones crediticias. En efecto, la cancelación de las deudas deberá ser notificada a la institución que registra los datos (como Informconf) en el plazo máximo de 24 horas después de su cancelación.

En caso de incumplimientos, la Secretaría de Defensa del Consumidor y el Usuario (SEDECO) podrá imponer sanciones administrativas que van desde el apercibimiento hasta una multa máxima de 15.000 jornales mínimos vigentes al momento de la aplicación de la sanción. Esta sanción podría aumentar en caso de reincidencia, llegando hasta un máximo de 50.000 jornales mínimos, e incluso provocar la suspensión de la actividad. Las sanciones estipuladas en la ley no solo serán aplicables a la persona jurídica que cometió la falta, sino también será extensiva a todos los miembros de los órganos de administración de la entidad, salvo que los mismos prueben que no han tenido conocimiento del hecho u omisión, o se hayan opuesto a la actuación contraria a la ley.

Una vez promulgada, la ley entrará en vigor en el plazo de 24 horas contadas desde su publicación. Con la ley vigente, todo ente público o privado responsable o encargado de los servicios de información crediticia y de datos personales, deberá ajustar sus estatutos sociales, organización y funcionamiento a lo previsto en esta ley en el plazo de 24 meses.