“LA PROTECCIÓN DE LA INFORMACIÓN CREDITICIA DESDE UNA PERSPECTIVA JURISPRUDENCIAL: sistematizando las posiciones del Tribunal Constitucional y la Autoridad Nacional de Protección de Datos Personales

“LA PROTECCIÓN DE LA INFORMACIÓN CREDITICIA DESDE UNA PERSPECTIVA JURISPRUDENCIAL: sistematizando las posiciones del Tribunal Constitucional y la Autoridad Nacional de Protección de Datos Personales” Milagros Olivos Celis Abogada de la Dirección de Supervisión y Control de la Autoridad Nacional de Protección de Datos Personales. Máster en Derecho por la Universidad de Zaragoza, España. Abogada por la Universidad Católica Santo Toribio de Mogrovejo, Perú. Con especializaciones en Derecho de la Regulación por la Universidad de Piura y en Derecho Corporativo por la Universidad ESAN. Experta certificada en Protección de Datos Personales por IAITG Institute of Audit & IT Governance.

El derecho a la protección de datos personales fue incorporado en la Carta constitucional de 1993 a través de su expreso reconocimiento en el artículo 2.6 1; y fue desarrollado a partir del 2011 con la promulgación y vigencia de la Ley Nº 29773, Ley de Protección de Datos Personales2 y su Reglamento3. Desde un enfoque jurisprudencial, para referirse a este derecho, el Tribunal Constitucional peruano ha utilizado la denominación «autodeterminación informativa», sosteniendo en reiteradas oportunidades, que dicho reconocimiento importa la defensa de las facultades que tiene toda persona para ejercer control sobre la información personal que le concierne, contenida en registros, sean públicos, privados o informáticos, a fin de enfrentar posibles extralimitaciones de los mismos4; poniendo límites a las intromisiones injustificadas en los diferentes ámbitos de la vida personal5. Desde la perspectiva desarrollada por el Tribunal6, el objeto de protección de este derecho es garantizar que el individuo sea capaz de disponer y controlar los datos que sobre él se hayan registrado como consecuencia de su inserción en la vida en sociedad; diferenciándolo -a su vez- de la protección que le otorgan otros derechos reconocidos en la misma Carta Fundamental, especialmente de aquellos tutelados al amparo del artículo 2.77. La interpretación doctrinal que analiza este derecho sostiene8, entre otras cosas, que el texto constitucional del artículo 2.6 reconoce que el individuo está investido de una facultad de control que puede ejercer respecto de sus datos proporcionados -de manera voluntaria o involuntaria- como resultado de su interacción en esferas de actuación pública o privada, en distintos lugares y/o en diferentes etapas de su vida. Esto último sucede porque tanto las personas naturales como jurídicas, públicas o privadas, con el fin de mejorar sus niveles de competitividad, utilizan con mayor frecuencia nuevos instrumentos que incrementan exponencialmente el uso, acceso y transferencia de Artículo 2 de la Constitución Política del Perú (CPP).- Toda persona tiene derecho: […] 6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar. 2 En adelante LPDP. 3 Decreto Supremo Nº 003-2013-JUS. 4 Al respecto puede consultarse las STC 0666-1996-HD/TC; STC 1797-2002-HD/TC; STC 04739-2007-PHD/TC; STC 0746-2010-PHD/TC. 5 Cfr. STC 04227-2009-HD/TC, FJ 6. 6 Cfr. STC 0666-1996-HD/TC, FJ 3 y STC 1797-2002-HD/TC, FJ 3. 7 Dicha diferenciación – en términos del propio Tribunal Constitucional – radica en que mientras éste (el artículo 2.7) protege el derecho a la vida privada, esto es, el poder jurídico de rechazar intromisiones ilegítimas en la vida íntima o familiar de las personas, aquél (el artículo 2.) garantiza la facultad de todo individuo de poder preservarla controlando el registro, uso y revelación de los datos que les conciernen. Expediente Nº 1797-2002HD/TC, FJ. 3. Sobre esta diferenciación también pueden leerse las afirmaciones del Tribunal en el Expediente Nº 00746-2010-HD/TC, FJ. 5. 8 Cfr. MORALES GODO, Juan; “Privacidad de la intimidad personal y familiar” en La Constitución comentada, Gaceta Jurídica, Lima, 2007. 1

1

información de distinta índole, especialmente aquella de tipo personal. Algunas manifestaciones de lo afirmado se reflejan, por ejemplo, en la gestión de procesos electorales a través de la biometría, monitoreo de pronósticos con imágenes satelitales, sucursales bancarias en teléfonos inteligentes, diagnóstico médicos con máquinas de alta especialización, la implementación de la historia clínica electrónica, entre varios otros9. En este quehacer cotidiano, las actividades económicas constituyen un ámbito de especial relevancia; y en este escenario, la persona -en su rol de agente económico- se encuentra particularmente expuesta a tratamientos relevantes de su información personal; particularmente de aquella relacionada con su patrimonio o historial crediticio y que es efectuado por las Centrales de Riesgo en el desarrollo de sus actividades. Desde una óptica exclusivamente legislativa, la actuación de las Centrales de Riesgo se encuentra amparada en la protección y defensa de un interés legítimo, sostenido en el artículo 87 de la Constitución del 93, y que reconoce como deber del Estado la protección del ahorro10. Con mayor precisión, la Ley del Sistema Financiero11 señala que la Superintendencia de Banca, Seguro y AFP 12 tendrá a su cargo un sistema integrado de registro de riesgos financieros, crediticios, comerciales y de seguros denominado Central de Riesgos, que contará con información consolidada y clasificada sobre los deudores de las empresas13. En Perú existe una única Central de riesgos de naturaleza pública (que pertenece a la SBS) y Centrales de Riesgo de naturaleza privada constituidas bajo cualquiera de las formas permitidas por Ley14. Aunque parece tratarse de dos contextos diferentes, la actuación de las Centrales de riesgo –tanto privadas como pública- se realiza de manera conjunta, pues

Cfr. GARCÍA MEXÍA, Principios de Derecho de Internet, Tirant lo Blanch, Valencia, 2005, pp. 56-97. Esto implica, por ejemplo, que el tratamiento de datos –relativos a la solvencia patrimonial y de crédito – se realice sin el consentimiento del titular, tal como lo señala el artículo 14.4 de la LPDP. 11 Ley Nº 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros. 12 En adelante SBS. 13 Así también, la misma norma precisa que para mantener actualizado dicho registro, las empresas del sistema financiero deberán suministrar la información de forma periódica y oportuna, colocando dicha información a disposición de las empresas del sistema financiero, del Banco Central, de las empresas comerciales y de cualquier interesado en general, previo pago de las tarifas que establezca la Superintendencia. Cfr. Artículo 14 Estas últimas, se encuentran bajo el ámbito de aplicación de la Ley Nº 27489, Ley que regula las centrales privadas de información de riesgos y de protección al titular de la información; y de la Ley Nº 27863 que introduce algunas modificatorias. En el mercado peruano las empresas que operan bajo estas condiciones son Infocorp, Certicom e Informa del Perú. 9

10

2

la información contenida en ésta última siempre será referente para las calificaciones y consolidaciones que obtengan las primeras15.

Fuente: Elaboración propia En pronunciamientos recientes, tanto la Autoridad Nacional de Protección de Datos Personales (APDP) como el Tribunal Constitucional (TC) han resuelto algunos conflictos relacionados con sus finalidades y la legitimidad de sus tratamientos; y han planteado ciertas líneas de interpretación, tomado posición respecto de algunos temas16. La lectura de cada uno de los pronunciamientos evidencia que el fundamento de la protección del derecho radica en la interpretación de los principios rectores, tanto de la LPDP como de la Ley General del Sistema Financiero, así como los derechos y deberes que los fundamentan y que se reconocen en sede constitucional.

HERAS ZÁRATE, Luis Henry, “La tarjeta de crédito y las consecuencias por los reportes injustificados ante las Centrales de Riesgo de la SBS” en Revista de Investigación Jurídica IUS, Vol I, Universidad Católica Santo Toribio de Mogrovejo, Chiclayo, 2010, p. 1-19. 16 El pasado abril del 2015 la APDP resolvió un proceso de tutela relacionado con este tema, mientras que el Tribunal Constitucional ha desarrollado jurisprudencia especialmente relevante desde inicios del 2014, aunque sus primeras referencias provienen desde algunos años antes. No obstante, como es lógico dichos pronunciamientos –especialmente aquellos anteriores al 2011- se enmarcaron en un contexto en el cual se presentaban hasta tres presupuestos: i) El artículo 87º de la Carta Constitucional reconocía, y lo sigue haciendo, el deber del Estado de promover y proteger el ahorro; ii) Antes de la vigencia de la Ley de Protección de Datos Personales, la única forma de protección del derecho reconocido en el artículo 2.6 de la Constitución era a través del Habeas Data; iii) Perú no contaba con una legislación específica de desarrollo del derecho a la protección de datos personales, sino hasta el 2011, fecha de publicación de la norma en el Diario Oficial El Peruano. 15

3

A continuación se han seleccionado algunas consideraciones que resultan relevantes y pueden ser de particular interés, y que constituyen referencias expresas de los recursos resueltos por ambas Autoridades: 

Habilitación legal para el tratamiento legítimo de la información en las Centrales de Riesgo.- Para las Centrales de Riesgo privadas, el Tribunal Constitucional ha reconocido como legítimo el tratamiento de datos de naturaleza crediticia que se realiza con la finalidad de difundir el historial o comportamiento crediticio de personales naturales como jurídicas en el sistema financiero, considerando que a través de ello se promueve su fortalecimiento17. En palabras del Tribunal: « […] resulta legítimo y acorde con el derecho a la libertad de contratación, que exista un flujo continuo de información de riegos crediticios en el mercado, pues solo así se puede generar confianza en el sistema financiero para el otorgamiento de créditos y su consiguiente recuperación, en la medida que el tratamiento de este tipo de datos permite, tanto a personas jurídicas como a personas naturales, conocer el comportamiento en el tiempo de los sujetos de crédito en general (historial crediticio: endeudamiento, capacidad de pago, voluntad de pago), para así tomar decisiones adecuadas en torno al ofrecimiento de créditos, lo cual repercute directamente en la economía nacional (requisitos para el acceso al crédito, tasas de interés, por ejemplo). Por tal razón, y dado que la difusión de este tipo de datos en específico cumple un fin constitucionalmente legítimo, no es necesario que para su tratamiento se recabe el consentimiento de su titular, dado que se entiende que la permisibilidad legal resulta legítima solo y exclusivamente para información de tipo crediticio18»



Tipo de información que se encuentra sujeta a tratamiento.- El Tribunal ha señalado que el propósito de las Centrales de Riesgo (refiriéndose a las centrales de naturaleza privada) se cumple no solo con el reporte de un historial de deudas u obligaciones incumplidas (registro negativo), sino también con el historial de deudas debidamente honradas (registro positivo).

A su juicio dicho objetivo es compatible con la

Constitución, en la medida en que sea ejecutado con pleno respeto a los derechos

El Tribunal hace suya la definición de “Información de riesgos” contenidas en la Ley Nº 27489 señalado que se trata de aquella información relacionada a obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia económica vinculada principalmente a su capacidad y trayectoria de endeudamiento y pago. Al respecto, cabe resaltar que el texto emplea como sinónimos los conceptos «información de riesgo» e «información crediticia». Cfr. STC 037002010-PHD/TC, FJ 18. 18 STC 03700-2010-PHD/TC, FJ 6. 17

4

fundamentales, especialmente a los derechos de autodeterminación informativa e intimidad reconocidos en la Norma Fundamental. Bajo este criterio, el Tribunal reconoce: «La información de riesgos no solo implica la generación de un historial de deudas u obligaciones incumplidas (información negativa), sino también de aquellas debidamente honradas (información positiva). Por tanto, el registro, recolección y tratamiento de información crediticia positiva resulta acorde con las finalidades para las cuales se ha regulado legalmente el funcionamiento de las Cepirs19» 

Forma en que se realiza tratamiento de información.- El Tribunal Constitucional ha estimado que para lograr las finalidades de las Centrales de Riesgo, las referencias financieras y crediticias deben ser consignadas en montos totales por entidad acreedora. El argumento del Tribunal es el siguiente: « […] Las referencias financieras y crediticias deben ser consignadas en montos totales […]; a efectos de evitar que la difusión de dicha información genere perfiles de endeudamiento con relación a las elecciones que los titulares de datos crediticios pudieran exteriorizar, pues una difusión del detalle específico de dichos gastos resultaría desproporcionada con la finalidad del tratamiento de datos crediticios, por incidir de manera negativa en el derecho a la intimidad de su titular20» Sobre esta base, el Tribunal sostuvo que no existe lesión del derecho a la autodeterminación informativa cuando la información sobre la capacidad de endeudamiento por el uso de tarjetas de crédito ha sido difundida de forma consolidada, es decir, por conceptos generales sin establecer detalles sobre la especificidad de dichos gastos21.



Los «titulares» y «encargados» de la información generada por las Centrales de Riesgos.- Un tema que resulta particularmente novedoso radica en determinar la

STC 03700-2010-PHD/TC, FJ 14. STC 03700-2010-PHD/TC, FJ 15. 21 No obstante también es necesario recordar que en un pronunciamiento anterior el mismo Tribunal señaló: « […] Si bien la información con relación a deudas crediticias oportunamente pagadas es idónea para la consecución de la aludida finalidad [refiriéndose a las finalidades de las Cepirs], incluir el monto específico de las dudas cubiertas resulta innecesario, puesto que se puede alcanzar el mismo objetivo, a saber, transmitir a los interesados la condición de buen pagador del titular de la información, sin especificar los montos de las deudas honradas. Por el contrario, a criterio del Tribunal Constitucional, la inclusión de dicha información (los montos específicos), sin el consentimiento expreso del titular lesiona el derecho a la autodeterminación informativa y el contenido protegido por del derecho fundamental a la intimidad. […]» Cfr. STC 0831-2010PHD/TC FJ 14. 19 20

5

responsabilidad de quienes efectúan el tratamiento de la información crediticia. Sobre el particular, la APDP al resolver un proceso referido al tratamiento de la información crediticia realizada por la Central de Riesgo de la SBS ha puesto de manifiesto la necesaria diferencia entre los roles de titular de banco de datos personales, encargado y responsable del tratamiento de los datos personales 22 ; y ha señalado que es conveniente considerar dicha diferencia, entre otras cosas, para determinar a quién corresponde atender las solicitudes del ejercicio de los derechos de acuerdo a la LPDP. En ese sentido mediante Resolución Directoral Nº 009-2015-JUS/DGPDP se ha precisado: « […] El titular del banco de datos personales que administra la Central de Riesgo de la SBS es la [SBS], toda vez que por norma [refiriéndose a la Ley general del Sistema Financiero] tiene a su cargo un sistema integrado de riesgos financieros, crediticios, comerciales y de seguros, el mismo que contará con información consolidada y clasificada sobre los deudores de las empresas […]23» Asimismo agrega: « […] La norma también establece que las empresas del sistema financiero y de seguros deberán suministrar periódica y oportunamente información que se requiere para mantener actualizada la Central de Riesgo de la SBS, […] determinado que la información sea veraz, exacta y, en la medida de lo posible actualizada, necesaria, pertinente y adecuada respecto de la finalidad para la que fue recopilada, [convirtiéndose] en responsables del tratamiento. […]24». 

Tiempo de almacenamiento de la información en las Centrales de Riesgo.- La limitación temporal del almacenamiento de la información para calcular el riesgo crediticio está relacionada con la exigencia de su actualidad y veracidad de los datos. A juicio del Tribunal, la única manera de proyectar una imagen real del comportamiento de una persona es que los datos sean constantemente actualizados. Tal actualización presupone cuestionamiento al almacenamiento eterno de los datos. En este contexto, el Tribunal observa que para el caso de las centrales privadas de riesgo, el legislador ha

Los dos primeros regulados en el artículo 2.6 y 2.15 de la Ley, y el último previsto en el artículo 2.14 del Reglamento. Cfr. Artículo 2 de la LPDP.- […] 6. Encargado del banco de datos personales.- Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales. […]. Artículo 2 de la LPDP.- […] 15. Titular del banco de datos personales.- Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad. Incluso el artículo 2.14 del Reglamento de la LPDP reconoce la figura del «Responsable del tratamiento» señalando que se trata de aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales. 23 Resolución Directoral Nº 009-2015-JUS/DGPDP de fecha 30 de abril del 2015, Considerando 3.4. 24 Ídem. 22

6

considerado límites temporales de registro y publicidad para algunos supuestos de información adversa Sin embargo esto no ha sucedido en el caso de la Central de Riesgo de la SBS. No obstante el Tribunal ha sostenido: « […] la inexistencia de un plazo legal de permanencia de datos negativos no confiere a la Central de riesgos de la SBS la competencia para mantener sine die el registro de información adversa. Ello es incompatible con el derecho a la autodeterminación informativa, que exige que los datos mantenidos en un banco informático sean actuales y veraces. Y olvida, por otro lado, que la obligación de respetar

el

contenido

constitucionalmente

protegido

del

derecho

a

la

autodeterminación informativa no está supeditada a la interpositio legislatoris. Los derechos fundamentales no están a expensas de lo que el legislador haga o, como en este caso deje de hacer. Ellos “valen” (es decir, vinculan) por sí mismos y no porque exista una ley que declare tal vinculación25». En ese sentido, el Tribunal interpreta: «El vacío legislativo de la Ley 26702 en materia de límites temporales de registro y publicidad de información adversa y su eventual integración mediante las reglas de la Ley 27489- que la regula para el caso de las centrales privadas de riesgoscomporta que se haya declarado judicialmente la extinción de la obligación y hayan transcurrido 2 años desde su extinción26» 

Tratamiento del domicilio y la ocupación laboral en las Centrales de Riesgo.- Sobre este aspecto el Tribunal ha señalado que al registrar y comercializar otros datos personales no comprendidos en el ámbito de aplicación de la ley, como lo son el domicilio, el número telefónico o las ocupaciones laborales que ha venido ejerciendo el tiempo, no se cumple con la finalidad contenida en la habilitación legal para el tratamiento; por lo que al realizarlo se acredita un ejercicio desproporcionado del tratamiento de datos para el cual la ley no le ha otorgado facultades, más cuando no media consentimiento del titular de los datos.



Obtención

de

datos

personales

de

fuentes

públicas.-

En el

último

de

sus

pronunciamientos el TC ha reconocido que: « […] la publicidad generada por el Estado en cumplimiento de su principio de máxima divulgación, no otorga carácter crediticio a dicha información [refiriéndose 25

Cfr. STC 04227-2009-PHD/TC FJ 15. Ídem. FJ 16.

7

26

al domicilio y ocupación laboral], ni otorga facultades […] para efectuar dicho tratamiento »27 Tanto los pronunciamientos jurisdiccionales como los administrativos revisten especial importancia; no obstante la Resolución Directoral Nº 009-2015-JUS/DGPDP del 30 de abril del 2015 ha planteado la necesidad de una pronta mejora de las normas que regulan el régimen particular o especial de las Centrales de Riesgo a la luz de las disposiciones de la LPDP y su Reglamento; siendo de útil para este proceso el compromiso de un trabajo cooperativo de la APDP y la SBS.

Cfr. STC 03700-2010-PHD/TC FJ 22.

8

27