Privacidad: ahora son los datos financieros

UPAD, Pruebas Faro, marchamo digital, pasaporte biométrico… El nuevo frente de batalla contra de la privacidad surgió donde quizá no lo esperábamos: el Banco Central de Costa Rica.

SUGEF es responsable de una base de datos donde se registran todas las operaciones de crédito de las entidades financieras reguladas, que tiene como finalidad exclusivamente las funciones de SUGEF como regulador de la actividad financiera nacional. El BCCR le solicitó a SUGEF, en noviembre del año pasado, “acceso a la información integral de todas las operaciones de crédito que los intermediarios financieros supervisados le remiten, incluyendo necesariamente el número de identificación”. Al incluir datos que permiten identificar a una persona concreta, estamos hablando de datos personales. Al negarse SUGEF a suministrar estos datos, el BCCR denunció penalmente a su jerarca por desobediencia a la autoridad.

El fundamento que el BCCR esgrimió en su solicitud fue el Art. 14 de su Ley Orgánica, que le confiere la atribución de elaborar estadísticas. Su Junta Directiva indicó, en el acuerdo en donde se solicitó la información a SUGEF, que los nuevos indicadores que se quieren desarrollar incluyen varios elementos, dentro de los que se incluyen algunas monerías como estas: monto de los créditos ubicado geográficamente en zonas con potencial de riesgo climático y desastres naturales, relación entre el monto del crédito y los ingresos, o los activos financieros del sector hogares como porcentaje de su deuda.

Pero, para construir estos indicadores, el BCCR necesita una gran cantidad de información de los deudores, y no solo de la operación de crédito en sí misma. En una conferencia de prensa que dio el Banco para defender lo indefendible, luego de 4 rondas de preguntas de la prensa, un funcionario terminó aceptando que ya estaban consultando los datos tributarios y de salarios de toda la población, “con fines estadísticos”.

Dijo el economista jefe del Banco Central que, sin identificador individual de cada ciudadano, no es factible vincular tres cosas: 1) la actividad económica de los deudores, 2) su ubicación geográfica y, 3) su capacidad de pago. Dicho en otras palabras, para identificar esos tres elementos, necesitan toda la información de la población. Pero el mismo Banco Central podría pedirle a SUGEF que le suministre esa información anonimizada, con descriptores que impidan la identificación de una persona concreta. Sin embargo, pese a que también dijo que: “al BCCR no le interesa la información de una persona o de una empresa de forma particular” denunciaron a una funcionaria pública cuando no se las quiso suministrar.

El rechazo a la actuación del Banco Central ha sido unánime entre expertos y organizaciones de consumidores y bancarias. Y es que la solicitud del BCCR es extralimitada, ya que sus potestades se limitan a producir estadística, y la estadística no abarca el tratamiento de datos personales. Así lo prevé expresamente el Art. 8 (d) de la Ley de Protección de Datos Personales, al decir que el tratamiento con fines estadísticos solo es posible cuando no exista riesgo de que las personas sean identificadas.  Un dato estadístico siempre debe ser un dato agregado, nunca un dato personal, por lo que, si el dato identifica a una persona concreta, no es estadístico. La protección al dato personal frente al dato estadístico tiene una razón de ser: proteger la información frente a la toma de una decisión individualizada. En un universo de datos estadísticos, no debe haber posibilidad de identificar a un sujeto concreto.

Pero, para más INRI, la Ley de Protección de Datos establece que la condición socioeconómica es un dato sensible. Desde luego que la condición de endeudamiento o de morosidad, es un dato socioeconómico, y, además, es evidente que lo que el BCCR plantea hacer son estadísticas socioeconómicas, por lo que sin duda estamos hablando de acceso a datos personales sensibles. El Art. 9 de la Ley de Protección de Datos establece supuestos específicos en los que el dato sensible puede ser tratado, y ni la estadística ni el interés público están previstos en esos supuestos.

El Leviatán tiene hambre por los datos de la ciudadanía, y este caso evidencia la inadecuada aplicación de la legislación de protección de datos personales. Por consiguiente, resulta crucial que los diputados aprueben la reforma integral a la Ley de Protección de Datos (Exp. 23.097), que se encuentra en su fase de discusión en el plenario. Esta reforma contribuirá a establecer límites y requerimientos claros en el manejo de datos por parte del Estado, en salvaguarda del derecho constitucional a la intimidad, que ha sido visto en caída.