En cumplimiento de la Ley Nro. 6534/2020 “De Protección de Datos Personales Crediticios” (“Ley 6534/20”), en fecha 21 de febrero de 2023, el Banco Central de Paraguay (“BCP”) promulgó la Resolución Nro. 3, por la cual aprobó el “Reglamento de Burós de Información Crediticia y Protección de la Información Personal Crediticia".
La Resolución, además de aprobar el Reglamento de Burós de Información Crediticia y Protección de la Información Personal Crediticia (el “Reglamento”), instruye a la Superintendencia de Bancos la divulgación y actualización del Registro de Burós de Información Crediticia.
Al respecto de las sociedades que ya operan en el mercado, la Resolución les otorga un plazo de 30 días, a partir del 21 de febrero de 2023, para solicitar al BCP una autorización para operar como Burós de Información Crediticia (“BIC”), y determina que, a partir del 1 de enero de 2024, solo podrán operar como BICs las sociedades habilitadas por el BCP.
El Reglamento establece los requisitos y pasos para el otorgamiento de licencias para operar como BIC. Así, solo podrán operar como tales las empresas domiciliadas en Paraguay, que cuenten con un capital mínimo de 400 salarios mínimos (aproximadamente USD 140.000). Aquellas entidades que operan actualmente en el mercado tienen un periodo de 12 (doce) meses para adecuar su capital a las disposiciones del Reglamento.
A la solicitud de autorización deberán adjuntarse declaraciones y certificados que permitan al BCP determinar si tanto la empresa, como también los accionistas y administradores o representantes legales, se encuentra en orden y en cumplimiento con sus obligaciones legales.
En este sentido, el Reglamento determina las inhabilidades e incompatibilidades para formar parte de la Plana Ejecutiva y Directiva de los BICs.
El BCP tiene la facultad de solicitar información adicional cuando así lo considere pertinente para verificar la situación patrimonial y el origen de los recursos de los accionistas y reputación de los administradores.
Los solicitantes también deberán presentar el plan de negocios de la sociedad, así como el plan operativo, las condiciones técnicas y las condiciones económicas para la prestación de los servicios, entre ellas, la plataforma utilizada, equipos de comunicación, seguridad, bases de datos, topología de red, cronogramas de desarrollo de manuales de gobierno y control de la tecnología de la información, planes de continuidad del negocio, esquemas de seguridad de datos, protocolo de actuación, entre otros.
Una vez aprobada la solicitud para operar, el BIC deberá iniciar sus operaciones en el plazo máximo de 180 (ciento ochenta) días. En caso contrario, podrá declararse la revocación de la autorización. Las entidades solicitantes no podrán presentar una nueva solicitud en un período de 1 (un) año.
A fin de facilitar el ejercicio de los derechos de los titulares de datos, el Reglamento impone a los BICs la obligación de constituir departamentos de atención a los titulares de la información.
Así también, los BICs deberán adoptar mecanismos de adecuados para la protección de datos crediticios, garantizar su confidencialidad y seguridad de la información. Los BICs deberán implementar lo dispuesto en el Manual de Gobierno y Control de Tecnologías de Información (Resolución SB SG. N° 00124/2017) de acuerdo con la clasificación y el plazo que les sea otorgado por la Superintendencia de Bancos.
El Reglamento impone igualmente la obligación de responder los reclamos de actualización en un plazo de 5 días. Esta última obligación también aplica a los usuarios de BICs. La falta de cumplimiento es pasible de sanción.
Al respecto del derecho al olvido, el Reglamento establece casos excepcionales en los que se podrá extender el plazo de 5 años previstos en la Ley 6534 para la conservación de los datos crediticios, tales como las modificaciones en las clasificaciones otorgadas a los titulares, el inicio de acciones de cobro, entre otras. Tratándose de información positiva, el Reglamento establece la obligación de conservación por un plazo de 10 años.
En cuanto al contenido de la información crediticia, el Reglamento permite la inclusión de información contenida en fuentes públicas. Los reportes de crédito deberán declarar la fuente de la información. Cabe destacar la prohibición expresa de incluir información que pueda ser considerada sensible.
Respecto a la obtención del consentimiento, el Reglamento determina que los usuarios de BICs deben contar con el consentimiento expreso de los titulares para poder tratar sus datos, incluso aquellos que ya hayan tratado datos antes de la vigencia del Reglamento.
El Reglamento establece la presunción de que el consentimiento otorgado en el marco de contratos de otorgamiento de crédito o de venta a plazo, comprende la autorización para aportar información tanto positiva como negativa, y el mismo no podrá ser revocado en tanto se encuentre pendiente el cumplimiento de la obligación.
El Banco Central del Paraguay y la Secretaría de Defensa del Consumidor (SEDECO) son las autoridades reguladoras de la Ley 6534/20, y como tales, podrán intercambiar informaciones referentes a consultas, reclamos y denuncias relativas a la Ley Nro. 6534/2020.
El procedimiento sumarial aplicable a los entes regulados por el BCP está dado por la Ley No. 489/95 “Orgánica del Banco Central”.
El Reglamento entrará en vigencia a partir del 1 de junio de 2023.