Nuevo régimen de protección de datos personales

Desde 2001, hasta recientemente, la protección de datos y la información personal en Paraguay estaba regulada y gobernada por la Ley 1.682/01, y sus modificaciones, la Ley 1.969/02 y la Ley 5.543/15, que en general se limitaban a prohibir la divulgación de datos sensibles, y a condicionar a la autorización del titular la divulgación de información crediticia o vinculada a deudas morosas sobre el mismo. No había una autoridad de aplicación especifica de dicha ley, y si una persona consideraba que los derechos que la misma le garantizaba habían sido violados, debía recurrir a la justicia ordinaria para reclamar una indemnización en sede civil.

El 28 de octubre de 2020, sin embargo, entró en vigencia la Ley 6.534/20 “De Protección de Datos Personales Crediticios”, derogando la Ley 1.682/01 y sus modificaciones, estableciendo un nuevo régimen de protección de datos e información personal en Paraguay, con dos autoridades de aplicación, el Banco Central del Paraguay (el “BCP”) y la Secretaría de Defensa del Consumidor y del Usuario (la “SEDECO”), que pueden sancionar a los infractores de dicha ley conforme a la misma.

1. Objeto

De acuerdo a su artículo 1, la Ley 6.534/20 tiene por objeto garantizar la protección de datos crediticios de toda persona, cualquiera sea su nacionalidad, residencia o domicilio. También regula la actividad de recolección y el acceso a datos de información crediticia, así como la constitución, organización, funcionamiento, derechos, obligaciones y extinción de las empresas que se dediquen a la obtención y provisión de información crediticia, con el fin de preservar los derechos fundamentales, la intimidad, la autodeterminación informativa, la libertad, la seguridad y el trato justo de las personas, conforme a la Constitución Nacional (la “CN”), la Ley 6.534/20 e instrumentos internacionales sobre la materia de los que Paraguay es parte.

Por su parte, al establecer el ámbito de aplicación de la Ley 6.534/20, su artículo 2 determina que la misma es de aplicación obligatoria al tratamiento de datos personales en registros públicos o privados recopilados o almacenados en Paraguay en sistemas de información, archivos, registros o bases de datos físicos, electrónicos o digitales a través de mecanismos manuales, automatizados o parcialmente automatizados de recolección de datos.

2. Conceptos Básicos

En este marco, en su artículo 3, la Ley 6.534/20 establece conceptos básicos necesarios para su aplicación e interpretación, como:

• Datos Personales: entendidos como información de cualquier tipo, referida a personas jurídicas o personas físicas determinadas o determinables. Por determinable se entiende a toda persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Los derechos y garantías de protección de datos personales se extienden a personas jurídicas, en cuanto le sean aplicables.
• Información Crediticia: entendida como aquella información, positiva y negativa, relacionada con el historial crediticio de personas físicas y jurídicas, acerca de actividades crediticias, comerciales y otras de naturaleza análoga, que sirva para identificar correcta e inequívocamente a la persona, su domicilio, actividad comercial, determinar su nivel de endeudamiento, de cumplimiento de sus obligaciones y, en general, de riesgos crediticios en un determinado momento.
• Fuentes de Información: entendidas como cualquier persona o entidad pública o privada que en el ejercicio de sus funciones o actividades gestione una base de Datos Personales o Información Crediticia.
• Fuentes de Información Crediticia: Son las personas o empresas públicas y privadas que, debido a sus actividades, poseen Información Crediticia, entre las cuales pueden encontrarse entes públicos y administradoras de fondos previsionales.

3. Prohibición de Divulgación de Datos Sensibles

Al igual que su antecesora, la Ley 6.534/20 prohíbe dar a publicidad o difundir datos sensibles de personas que sean explícitamente individualizadas o individualizables (art. 4). Por datos sensibles se entiende: aquellos sobre la esfera íntima de su titular, o cuyo uso indebido pueda dar origen a discriminación o conlleve un riesgo grave para éste, como: origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos de identificación biométricos.

4. Acceso, Rectificación, Cancelación y Oposición al Uso de Datos Personales

El artículo 5 de la Ley 6.534/20 garantiza a toda persona el acceso a la información y a los datos sobre sí misma, sobre quienes se hallen bajo su patria potestad o su tutela o curatela, así como sobre sus bienes, que obren en registros oficiales o privados de carácter público o en entidades que suministren información sobre solvencia económica y situación patrimonial, así como conocer el uso que se haga de los mismos o su finalidad y a requerir su rectificación, cancelación y oposición.

Por su parte, el artículo 8 garantiza a toda persona el derecho a acceder a los Datos Personales sobre la misma existentes en registros mantenidos por personas físicas o jurídicas, públicas o privadas, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento, pudiendo solicitar al responsable de su manejo su actualización, rectificación, supresión, oposición y portabilidad. Bajo esta norma una persona puede por ejemplo solicitar la rectificación o supresión de sus Datos Personales en poder de cualquier persona o empresa, extendiendo este derecho mas allá de la garantía de Habeas Data del artículo 135 de la CN, que asegura a toda persona el derecho a solicitar judicialmente la actualización, rectificación o destrucción de Datos Personales erróneos sobre la misma o que afecten ilegítimamente sus derechos que obren en registros oficiales (de entes públicos) o privados de carácter público (de acceso público, como los Burós de Información Crediticia). Los responsables del manejo de la información deben establecer medios y procedimientos sencillos, rápidos, accesibles y gratuitos para que el titular pueda ejercer sus derechos. 

5. Consentimiento Informado 

En su artículo 6, la Ley 6.534/20 garantiza a toda persona que le sea informado en forma expresa y clara la finalidad que se dará a los Datos Personales requeridos sobre ella, para que pueda manifestar expresamente su consentimiento para la obtención y uso de sus Datos Personales. Dicho consentimiento debe ser expreso e inequívoco, constando de forma escrita, electrónica, digital o mediante otro mecanismo fehaciente. El consentimiento puede ser revocado expresamente en las mismas condiciones, a título gratuito, sin efecto retroactivo.

A su vez, el tratamiento y la cesión de Datos Personales se consideran ilícitos cuando el titular de los mismos no hubiere prestado su consentimiento libre, expreso y consciente en la forma indicada. El responsable del tratamiento de los datos debe demostrar que su titular consintió su uso. 

6. Derecho al Olvido de Información Crediticia

La Información Crediticia sobre una persona o empresa que obre en un registro puede ser conservada hasta por cinco años, contados desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que establezca otro plazo o si las partes pactan un plazo menor (art. 9). Si la Información Crediticia debe conservarse más allá del plazo máximo, los Datos Personales del titular deben desasociarse de la misma.

7. Seguridad de la Información Crediticia

El responsable del tratamiento de Información Crediticia de otros debe garantizar la adopción e implementación de medidas técnicas, organizativas y de seguridad necesarias para salvaguardar el acceso y la integridad de la misma, para evitar su alteración, pérdida, consulta, comercialización o acceso no autorizado (art. 10).

8. Deber de Secreto

Las personas responsables, encargadas del tratamiento de Información Crediticia de terceros, y quienes intervengan en cualquier fase de su recolección, procesamiento, almacenamiento, uso o circulación deben mantener su secreto, salvo orden de autoridad competente (art. 11).

El deber de secreto cede cuando la información es requerida por:

1. El BCP y sus órganos de supervisión, en ejercicio de sus funciones;
2. Autoridad judicial competente en base a una resolución dictada en el proceso que el afectado sea parte;
3. La máxima autoridad de Contraloría General de la República, si se refiere a una persona o empresa determinada y se encuentra en curso una auditoria o verificación sobre la misma ante el ente;
4. La máxima autoridad de Subsecretaría de Estado de Tributación (SET) o de la Dirección Nacional de Aduanas (DNA), si se refiere a un responsable o contribuyente determinado y esté en curso una verificación sobre el mismo ante los entes;
5. El Ministerio Público; o
6. La Secretaria de Prevención de Lavado de Dinero o Bienes (SEPRELAD).

9. Prestación de Servicios de Información Crediticia 

Las empresas que presten servicios de Información Crediticia, tanto del sector financiero como del no financiero, pueden tratar Información Crediticia relativa a la solvencia económica y al crédito del titular, obtenidos de fuentes públicas o que procedan de informaciones facilitadas por el mismo o con su consentimiento, que permitan conocer el cumplimiento de sus obligaciones y todo aquello que contribuya al análisis de su perfil crediticio y determinar su capacidad de pago (art. 12). Igualmente deben incluirse las morosidades en prestaciones alimentarias, desde el inicio de la demanda.

Los servicios de Información Crediticia solo pueden ser prestados por Burós de Información Crediticia autorizados por el BCP, teniendo en cuenta la reglamentación que dictará el BCP (art. 13).

Los Burós de Información Crediticia solo pueden prestar servicios de referencias crediticias a ciertos usuarios taxativamente listados en la ley (art. 14), como:

1. Entidades de intermediación financiera y de crédito;
2. Cooperativas;
3. Personas o empresas que otorguen créditos;
4. Mutuales, casas de préstamo y casas de empeño;
5. Personas o empresas que se dediquen a la venta de productos a crédito, o que presten servicios bajo contratos con pagos a plazo, o que requieran de Información Crediticia de terceros para tomar decisiones; y
6. Las personas o empresas que mediante plataformas tecnológicas funcionen como un canal o medio para facilitar la intermediación o la conexión de créditos ofrecidos por terceros a titulares de la Información Crediticia, permitiéndoles acceder a la oferta de crédito.

Los usuarios de Información Crediticia deben proveer regularmente a los Burós de Información Crediticia los datos actualizados de los clientes de su cartera crediticia, particularmente sobre el cumplimiento de obligaciones crediticias, las que deben ser notificadas dentro de las 24 horas de su cancelación.

Bajo el artículo 17, los Burós de Información Crediticia no pueden tramitar ni divulgar Información Crediticia sobre:

1. Deudas vencidas no reclamadas judicialmente que hayan superado tres años de inscripción;
2. Deudas canceladas, luego de recibida la notificación de un usuario de Información Crediticia; y
3. Juicios de convocatoria de acreedores después de cinco años de su admisión.

10. Obligaciones Particulares de los Usuarios de Servicios de Información Crediticia

Conforme al artículo 18, los usuarios de servicios de Información Crediticia, listados en el artículo 14, tienen las siguientes obligaciones particulares enunciativas:

1. Entregar a los Burós de Información Crediticia la Información Crediticia positiva y negativa de sus clientes;
2. Usar la Información Crediticia obtenida de los Burós de Información Crediticia de forma confidencial, y usarla solo para evaluar riesgos crediticios;
3. Informar sobre la venta o cesión de carteras de crédito a empresas especializadas en la adquisición de deudas o a otros adquirentes o cesionarios, a los Burós de Información Crediticia con lo que tengan contratos de servicios de provisión de Información Crediticia, dentro de los 20 día hábiles, mencionando datos suficientes para identificar al comprador o cesionario y la fecha de la transacción;
4. Informar al titular de Información Crediticia sobre la denegación de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero en base a un informe crediticio, entregándole copia del informe en cuestión; y
5. Informar al titular de la Información Crediticia sobre las consultas que pueden realizarse sobre la misma, el nombre del Buró de Información Crediticia que puede proveerla, el uso que puede darse a la misma, y copia del informe accedido si el titular lo requiere.

11. Prohibiciones

El artículo 15 prohíbe a los usuarios de Información Crediticia usar o proveer a terceros Información Crediticia para que la misma se use para tomar decisiones laborales, acceso al empleo, promoción, traslado o despido de personal. Los usuarios de Información Crediticia serían las personas o empresas listadas en el artículo 14.

La norma también prohíbe que la Información Crediticia se use para negar o restringir el acceso a la medicina prepaga, o negar o restringir al acceso a la atención médica de urgencia a cualquier persona.

12. Plazo de Conservación de la Información Crediticia

La Información Crediticia puede publicarse por un tiempo máximo de cinco años, contados desde la última información significativa, o desde el vencimiento del plazo original de la operación de crédito de que se trate, el que fuera mayor (art. 19).  A estos efectos, se considera información significativa:

1. El momento de mora del deudor;
2. Las modificaciones en las clasificaciones que otorgan al deudor las entidades crediticias;
3. El inicio de una acción judicial de cobro;
4. La sentencia que ordena el pago de una deuda;
5. La fecha de la apertura de la convocatoria de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en su marco; o
6. Cualquier otra información que el BCP determine por resolución.

13. Autoridades de Aplicación

La Ley 1.682/01 no instituía una autoridad de aplicación para la misma, que actuara como supervisor del sistema de protección de datos de la misma. Bajo su artículo 20, la Ley 6.534/20 inviste como autoridades de aplicación de dicha ley al BCP y a la SEDECO.

Así, es atribución y función del BCP, a través de la Superintendencia de Bancos:

1. Registrar a los Burós de Información Crediticia;
2. Reglamentar, interpretar y ejecutar la Ley 6.534/20 en cuanto atañe a Información Crediticia, y aprobar un protocolo de actuación para los Burós de Información Crediticia;
3. Supervisar los mecanismos de guarda y uso de la Información Crediticia por los Burós de Información Crediticia y otras entidades reguladas; y
4. Sancionar a los Burós de Información Crediticia.

Por su parte, es atribución y función de la SEDECO:

1. Velar por el cumplimiento de la Ley 6.534/20 y demás normas que rijan y tengan relación en materia de protección a consumidores y usuarios;
2. Difundir los derechos y deberes de la Ley 6.534/20 y realizar acciones de información y educación a los consumidores;
3. Promover la formalización del mercado, evitando la desprotección de los titulares de Información Crediticia;
4. Formular, realizar y fomentar programas de educación e información al consumidor, a través de medios masivos de comunicación, y de otros mecanismos disponibles;
5. Recibir y dar curso a las inquietudes, reclamos y denuncias de los consumidores, para canalizarlas a través del BCP;
6. Disponer la realización de inspecciones y pericias vinculadas con la aplicación de la Ley 6.534/20;
7. Solicitar informes y opiniones a entidades públicas y privadas con relación a las normas de protección del consumidor y el usuario;
8. Mantener un Registro Nacional de Denuncias, Inspecciones e Infractores de la Ley 6.534/20, en coordinación con el BCP;
9. Promover el trabajo conjunto con las autoridades locales de protección al consumidor, como la Municipalidades;
10. Recopilar, elaborar, procesar, divulgar y publicar información para facilitar al consumidor un mejor conocimiento de las características de la comercialización de bienes o servicios que se ofrezcan en el mercado;
11. Realizar y promover investigaciones en el área de consumo; y
12. Solicitar, a través de la justicia, el auxilio de la fuerza pública, la intervención del Ministerio Público o cuantas diligencias fueran necesarias para el cumplimiento de sus funciones.

En cuanto sea pertinente, el BCP y la SEDECO deben coordinar esfuerzos para que la Ley 6.534/20 se cumpla.

14. Infracciones

El BCP y la SEDECO, cada uno dentro de su ámbito de competencia, pueden sancionar las infracciones a la Ley 6.534/20 (art. 21). Bajo esta norma, las siguientes transgresiones se consideran infracciones:

1. El ejercicio de actividades establecidas en la Ley 6.534/20, como el funcionamiento de Burós de Información Crediticia, sin autorización previa del BCP;
2. El ejercicio por los Burós de Información Crediticia de actividades no contenidas en su autorización para operar o en sus estatutos;
3. Recolectar Datos Personales o Información Crediticia para uso en su base de datos sin que se le otorgue suficiente y amplia información al titular, conforme al reglamento a ser dictado;
4. Omitir información obligatoria o suministrar información incompleta o falsa a la Central de Información de la Superintendencia de Bancos del BCP o al BCP;
5. La excusa, negativa o resistencia a la actuación, y a las instrucciones o requerimientos obligatorios de la Superintendencia de Bancos del BCP, de los supervisores o inspectores, o la falta de provisión de la documentación solicitada por estos en forma expresa y fehaciente;
6. Incumplir las limitaciones o prohibiciones temporales impuestas por la autoridad de aplicación;
7. Incumplir las medidas correctivas, obligaciones legales o reglamentarias exigidas por la Superintendencia de Bancos o el Directorio del BCP;
8. Recolectar, almacenar y transmitir Datos Personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;
9. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamiento en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación;
10. El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de Datos Personales o Información Crediticia, o la limitación del tratamiento;
11. El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los Datos Personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento;
12. El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible;
13. La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas, con respecto al tratamiento de datos personales y sus relaciones con los afectados o la inexactitud en la determinación de las mismas;
14. No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento de Datos Personales o Información Crediticia;
15. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a la legislación vigente o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento;
16. La notificación incompleta, tardía o defectuosa al BCP de la información relacionada con una violación de seguridad de Datos Personales o Información Crediticia;
17. Recolectar, almacenar, transmitir o de cualquier otra forma emplear Datos Personales o Información Crediticia sin el consentimiento informado y expreso del titular de los mismos, conforme a la Ley 6.534/20, o transferir esta información a otras personas o empresas contraviniendo la misma;
18. Recolectar, almacenar, transmitir o de cualquier otro modo emplear Datos Personales o Información Crediticia para una finalidad distinta de la autorizada por el titular de los mismos;
19. Negarse injustificadamente a dar acceso a un interesado a sus Datos Personales o Información Crediticia que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la ley;
20. Negarse injustificadamente a eliminar o rectificar Datos Personales o Información Crediticia de una persona que así lo haya solicitado por medio claro e inequívoco;
21. El tratamiento de Datos Personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, o al menos acreditar que se tomaron esfuerzos razonables para ello;
22. La falta de adopción de medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento;
23. La vulneración del deber de confidencialidad previsto en el artículo 11; y
24. La transferencia internacional de Datos Personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en la Ley 6.534/20.

Las infracciones prescriben a los cinco años de la fecha en que se cometieron, y si se trata de una actividad continuada, la fecha inicial del cómputo del plazo de prescripción es la de la última actuación (art. 24). La prescripción se interrumpe, además de las causas previstas en el Código Civil, por el inicio del sumario administrativo.

15. Responsables por las Infracciones a la Ley 6.534/20

De acuerdo al artículo 22, son responsables de las faltas tipificadas en la Ley 6.534/20 y su reglamentación, a ser dictada en el futuro, tanto la persona física como la persona jurídica que cometió la falta, como todos los miembros de los órganos de administración de la entidad en cuestión, y quienes ejerzan o realicen funciones asimilables a dichos cargos, salvo que:

1. No hayan tenido conocimiento del hecho u omisión que se les impute, ni directa ni indirectamente; así como que no pudieron llegar a tener indicios o información del acto u omisión que suponga el incumplimiento de normas de obligada observancia; o
2. Que habiendo tenido conocimiento de la supuesta falta, se hayan opuesto por escrito a la actuación u omisión.

16. Sanciones

Según su ámbito de competencia, conforme al artículo 23, previo sumario administrativo, el BCP o la SEDECO pueden imponer las siguientes sanciones a los responsables de infracciones a la Ley 6.534/20:

1. Apercibimiento;
2. Multa de hasta 15.000 jornales mínimos (aproximadamente US$ 178.500), duplicándose en caso de reincidencia, pudiendo elevarse a 50.000 jornales mínimos (aproximadamente US$ 595.000) en casos de personas o empresas que tengan una facturación anual superior a Gs. 6.000.000.000 (aproximadamente US$ 853.000);
3. Suspensión de las actividades relacionadas con el tratamiento de datos hasta por seis meses, indicándose las medidas correctivas que deben adoptarse;
4. Inhabilitación para desempeñar un empleo, cargo o comisión dentro del sistema financiero, crediticio y en Burós de Información Crediticia de entre seis meses y cinco años;
5. Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control; y
6. Cierre inmediato y definitivo de la operación que involucre el tratamiento de Datos Sensibles.

Las sanciones administrativas, que pueden ser graduadas por la autoridad de aplicación competente según su gravedad, son independientes de las medidas correctivas o cautelares que dicten dichas autoridades para salvaguardar el interés público protegido por la Ley 6.534/20. Las sanciones pueden ser recurridas ante la justicia contencioso administrativa (art. 27).

17. Adecuación a la Ley 6.534/20

Todo ente público y privado, responsable o encargado de los servicios de Información Crediticia y los de información de Datos Personales creados con anterioridad a la vigencia de la Ley 6.534/20, deberán ajustar sus estatutos sociales, su organización y funcionamiento a lo previsto en dicha ley en el plazo de 24 meses, contados a partir de su publicación, que tuvo lugar el 28 de octubre de 2020.