La Secretaría de Defensa al Consumidor y el Usuario (“SEDECO”), como ente regulador de la Ley 6534/20 de Protección de datos personales crediticios, a lo largo del 2022 ha concluido varios sumarios por el procesamiento inadecuado de datos. Destacamos los puntos más relevantes:

  • Uso de datos crediticios para tomar decisiones en el ámbito laboral

El uso de datos crediticios para la toma de decisiones de carácter laboral está expresamente prohibido. La SEDECO ha emitido resoluciones en este sentido, ya sea tanto para contrataciones (Resolución No. 725/2022), ascensos, despidos (Resolución No. 127/2022 y Resolución No. 711/2022), etc.

Cabe destacar que la prohibición legal se extiende al uso de datos crediticios para el análisis de acceso a la atención médica de urgencia o a la medicina prepaga (Ley 6534/20 – artículo 15).

  • Cesión de cartera de créditos

En el marco de las disposiciones de la Ley 6534/2020, se desprende que el acceso a los datos crediticios puede darse por parte del titular de los datos en cuestión, aquellos que se encuentre bajo su patria potestad, curatela o tutela, o en su defecto, con el consentimiento informado de este para que un tercero pueda acceder a los mismos.

En el marco de cesión de cartera de créditos (Resolución No. 1626/2022 y Resolución No. 1645/2022), la adquisición de la cartera de créditos no implica la extensión de la autorización de solicitar reportes o de compartir información con los burós de crédito. Por tanto, incluso cuando dicho el titular de los datos consintió inicialmente al tratamiento de sus datos, quien adquiere la cartera debe obtener un nuevo consentimiento de manera directa.

  • Consentimiento válido

La ley 6534/2020 determina que el consentimiento para ser válido debe ser previo, informado y expreso. Además, el titular del dato debe otorgar su consentimiento a través de un medio fehaciente y manifestado a través de una acción positiva (artículo 6).

En base a esta disposición es que la SEDECO resolvió (Resolución No. 1727/2022, que la puesta a disposición del cliente en una página web de términos y condiciones (en el caso concreto se refiere a un Contrato Único de Productos y Servicios Financieros), no es suficiente prueba de consentimiento. En el caso en cuestión, la empresa sancionada no pudo producir ninguna prueba de una aceptación expresa (acción positiva) de parte del cliente/usuario.

Cabe destacar que la Ley 4868/13 de Comercio Electrónico, de manera expresa requiere a los proveedores bienes y servicios la puesta a disposición de mecanismos que permitan a los usuarios confirmar la operación de manera expresa. Es así como el silencio del consumidor no puede ser considerado como equivalente al consentimiento.

  • Acceso no autorizado

Siendo el consentimiento la única base legal para el tratamiento de datos según la Ley 6534/20, todo acceso no consentido y sin motivo aparente es considerado como indebido; y, en consecuencia, una infracción a la norma (Resolución No. 1010/2022).

En líneas generales, las sanciones aplicadas por la SEDECO en el 2022 comprendieron apercibimientos, obligación de modificar o mejorar los procesos internos de procesamiento de datos, publicación en diarios, y multas de hasta 500 jornales.