Logo
Economía

Informe: BCCR violó protección de datos personales al pedir información de clientes

“Tampoco pueden ser tratados como si fueran propiedad de las instituciones“

Por Alexánder Ramírez | 12 de Abr. 2024 | 11:10 am

Róger Madrigal, presidente del Banco Central de Costa Rica. (Archivo/CRH).

Los datos personales de deudores y clientes de bancos comerciales que pidió el Banco Central de Costa Rica (BCCR) “no son equiparables a ‘bienes de difunto’ y tampoco pueden ser tratados como si fueran propiedad de las instituciones”.

Así lo concluye el borrador del informe de la Comisión para el Control del Ingreso y Gasto Públicos de la Asamblea Legislativa que investigó las solicitudes de datos personales que hizo el BCCR a la Superintendencia General de Entidades Financieras (Sugef) y a cuatro bancos comerciales.

"Esta comisión considera de manera concluyente que la observancia de dicha normativa también era de carácter imperativo para el actuar del Banco Central, y, por tanto, su omisión constituye una violación manifiesta de la legislación vigente. Este descuido configura una transgresión de la obligación de resguardo, protección y adecuada administración de la información sensible y los datos pertenecientes a la ciudadanía, por parte tanto del Banco Central como de las entidades bancarias que facilitaron dicha información. La ausencia de referencia a esta norma legal es motivo de preocupación, ya que subraya una falta de diligencia en el cumplimiento de las disposiciones legales y resalta la necesidad de un escrutinio minucioso sobre la correcta aplicación de las normas de protección de datos por parte de las instituciones involucradas en esta investigación.

Según el informe preparado por una subcomisión legislativa, la justificación presentada por el BCCR para respaldar sus solicitudes de información a las entidades bancarias y la Sugef se fundamentó en un criterio emanado de la Procuraduría General de la República (PGR).

De acuerdo con ese órgano, el acuerdo del Banco Central podría ser objeto de una interpretación acorde con el Derecho Constitucional, indicando que la solicitud de información sería considerada válida, siempre y cuando no abarcara datos sensibles, se precisara el propósito estadístico al que se dirigía y se garantizara la confidencialidad, calidad y seguridad de la información.

Sin embargo, los legisladores que redactaron el informe sostienen que ninguno de esos criterios fue cumplido por el Banco Central en las solicitudes a la Sugef, Banco Nacional de Costa Rica (BNCR), Banco de Costa Rica (BCCR), Banco Popular (BP) y BAC Credomatic.

“La única justificación que podría ser aceptada en este sentido está relacionada con la finalidad estadística para la cual se buscaba obtener la información. Es imperativo destacar que la comisión reconoce la importancia de recopilar datos para elaborar políticas públicas fundamentadas en un evidente interés público, cuestionando únicamente la forma en que el Banco Central obtuvo esta información, sin considerar ni reconocer debidamente que los datos pertenecen a sus titulares y no a la administración, que es únicamente un custodio”, se señala en el texto.

También recuerdan que, según el numeral 3 inciso e) de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, los datos vinculados a la condición socioeconómica son considerados “datos sensibles”.

“Este es un hecho incontestable en nuestra realidad jurídica, no sujeto a apreciación ni interpretación por parte del legislador para llegar a tal conclusión. No existen matices ni atajos para calificarlos de otra manera, y el Banco Central no cuenta con ninguna exención de esta ley, por lo tanto, se encuentra obligado a respetarla íntegramente”, mencionan en el borrador del informe.

Omisión

Banco Central de Costa Rica. (Archivo/CRH).

En el documento, que será conocido por el pleno de la Comisión para el Control del Ingreso y Gasto Públicos el próximo jueves 18 de abril, se señala que la defensa primordial del Banco Central para justificar sus actuaciones se basa en una opinión de la PGR, que está fundamentada y se limita exclusivamente al acceso a datos crediticios.

Pero se advierte que la PGR no consideró el hecho de que el BCCR contaba con acceso a una gama más amplia de información, desde datos relacionados con salarios, declaraciones tributarias, saldos de cuentas bancarias, monto del salario, tipo de ocupación, empleador, lugar de trabajo, aportes al seguro de salud, Registro Obligatorio de Pensiones (ROP) y Fondo de Capitalización Laboral (FCL), así como detalles relativos a las deudas de las personas, su capacidad de pago, su historial de comportamiento de pago, su categoría de riesgo, sus niveles de morosidad y saldos en cuentas bancarias.

“Por ende, la preocupación principal de este órgano radica en que la opinión emitida por la PGR se limitó al acceso a datos crediticios, sin abordar exhaustivamente la extensión de la información a la que el BCCR tenía acceso. Esta omisión resulta crucial, ya que la disponibilidad de datos adicionales, más allá de los aspectos crediticios, puede influir significativamente en la percepción global sobre la privacidad y confidencialidad de la información manejada por el Banco Central”, se asegura.

Por lo tanto, esa omisión podría impactar la validez y exhaustividad de la opinión emitida por la Procuraduría, ya que no refleja la totalidad de la información a la que tiene acceso el BCCR.

Los diputados también estiman que el BCCR no ofreció una justificación exhaustiva para requerir datos tan minuciosos de los clientes de los bancos comerciales y que Ley del Sistema de  Estadística Nacional prohíbe el tratamiento de datos sensibles con fines estadísticos, a menos que exista un consentimiento expreso.

“En este sentido, la comisión sostiene como criterio fundamental que el traslado de los datos en cuestión no cumplió con la exigencia legal mencionada anteriormente. La transmisión de esta información sensible sin el debido consentimiento expreso contradice las disposiciones establecidas en la ley de estadística y también en la Ley de Protección de la Persona frente al Tratamiento de sus Datos personales, lo cual constituye una falta a las normativas vigentes en materia de protección de datos personales. Por ende, es imperativo que se revisen los procedimientos y protocolos involucrados en la transferencia de datos, a fin de garantizar el pleno cumplimiento de las disposiciones legales y salvaguardar los derechos de privacidad y confidencialidad de los titulares de la información”, agregan.

Comentarios
1 comentario
OPINIÓNPRO
Karla Salguero
OPINIÓN

El acto más democrático: volver a creer en la educación

Por Karla Salguero

Sandro Zolezzi
OPINIÓN

Efectos de los aranceles en la industria de los semiconductores

Por Sandro Zolezzi

Tomás de Camino Beck
OPINIÓN

Sumobot: Una historia de tecnología hecha en Costa Rica

Por Tomás de Camino Beck

Marcela Trejos Coronado
OPINIÓN

¿Visibilidad o valor? El criterio en tiempos de apariencia digital

Por Marcela Trejos Coronado

Armando González Rodicio
OPINIÓN

No hay soluciones mágicas

Por Armando González Rodicio

TE PODRÍA INTERESAR
Economía
Economía

Hacienda no migrará créditos fiscales con inconsistencias a TRIBU-CR

Economía
Economía

Alianza capacitará a 158 mil contribuyentes sobre TRIBU-CR a partir de julio

Economía
Economía

Hacienda desactivará sistemas tributarios del 18 de julio al 3 de agosto por implementación de TRIBU-CR

Economía
Economía

Wall Street cierra al alza y se acerca a nuevos récords

Economía
Economía

Procuraduría pidió a tribunal no restituir a exdirectivos del BN