#ElPerúQueQueremos

Foto: burodecredito.com.mx

Control sobre los datos personales almacenados en Centrales de Riesgo

Publicado: 2015-04-01

La ley ha definido a las Centrales Privadas de Información de Riesgo (CEPIRS) son bancos de datos creados con el propósito de suministrar información de riesgos del mercado, registrando el historial crediticio de las personas naturales o jurídicas, a fin de asegurar el buen funcionamiento del sistema financiero. Al ser ésta una finalidad constitucionalmente legítima, ha dicho el Tribunal Constitucional (TC), que no es necesario que la recopilación de datos tenga el consentimiento previo del titular.  

No obstante, ello no significa que las Centrales de Riesgo se encuentren exentas de control, pues al contener información personal sus titulares pueden ejercer su derecho a la autodeterminación informativa en defensa de otros derechos cómo la intimidad, privacidad, el secreto bancario, tributario, entre otros. En ese sentido el TC en su jurisprudencia ha establecido algunos límites al manejo de la información personal por parte de las CEPIRS.

En principio, las CEPIRS sólo deben contener información que sea lícita, exacta y veraz, de forma tal que corresponda a la situación real de la persona evaluada. Toda información inexacta o errónea deberá ser excluida de las Centrales de Riesgo. En ese sentido, el titular de la información tiene la posibilidad de solicitar la modificación de los datos falsos en cualquier momento.

Cabe señalar que es necesario que la persona afectada presente algún tipo de prueba que acredite indubitablemente que la información contenida en la CEPIR es falsa (EXP N° 03859-2012-PHD/TC).

Límites temporales

La “Ley que regula las Centrales Privadas de Información de Riegos y de Protección al Titular de la Información”, Ley N° 27489, modificada por la Ley N° 27863, establece una limitación temporal al registro y publicidad de la información de riesgo, fijando, por ejemplo, un plazo de dos años para las deudas que se han extinguido y cinco años para las que han vencido.

El TC en el EXP. N° 03700-2010-PHD/TC estableció que, transcurrido dichos plazo, las centrales de riesgo privadas deberán cancelar automáticamente la información contenida en sus registros, pues se entiende que su tratamiento se encuentra sujeto a una fecha de vencimiento cierta.

Distinto es el caso de la Central de Riesgos de la SBS, para quien la legislación no ha previsto un plazo determinado. Sin embargo, en el EXP. N° 04227-2009-PHD/TC el Tribunal Constitucional consideró que al haber un vació legislativo se aplicaría el plazo establecido para las centrales de riesgo privadas, exhortando al Congreso de la República a legislar sobre la materia.

Principio de finalidad

El TC ha establecido que la recopilación y almacenamiento de toda información contenida en un banco de datos personales debe respetar la finalidad para la cual fue creado dicho registro. Éste principio además se encuentra reconocido en el artículo 6° de la Ley de Protección de Datos Personales (Ley N° 29733).

En ese sentido, las CEPIRS pueden almacenar tanto información negativa como positiva. Es decir, la información de las deudas morosas, así como las que fueron oportunamente canceladas. (EXP. N° 00831-2010-PHD/TC y 03700-2010-PHD/TC), pues su finalidad no es sólo dar cuenta de quienes no son aptos para ser sujetos de crédito, sino, en general, de la capacidad y trayectoria de endeudamiento y pago de las personas en el sistema financiero.

Sin embargo, no pueden almacenar otra información personal que no cumpla con dicha finalidad, como por ejemplo la información relacionada al domicilio, números de teléfono, ocupación laboral y cargos desempeñados.

Definir el alcance del manejo de los datos personales de acceso público por las CEPIRS no es un asunto pacífico al interior del TC. En el EXP N° 00831-2010-PHD/TC, en una votación reñida con el voto dirimente del Presidente del Tribunal Constitucional se consideró que el registro y comercialización de dicha información era legítimo porque era información que ya se encontraba en otros bancos de datos de acceso público, como por ejemplo la de los colegios profesionales. Los magistrados con voto en minoría esgrimían que lo relevante era la finalidad del banco de datos, considerando que no existe una relación de idoneidad entre el conocer el domicilio de una persona o su ocupación laboral y la búsqueda de valorar su capacidad de endeudamiento y pago.

Nueve meses después, en la recientemente publicada sentencia del EXP. N° 03700-2010-PHD/TC, el Tribunal cambia su línea jurisprudencial y, en una opinión similar a la de los votos en minoría antes mencionados, realiza un análisis sistemático de la Ley de CEPIRS y la Ley de Protección de Datos Personales, estableciendo que, en virtud al principio de finalidad, las CEPIRS únicamente están habilitadas para registrar datos crediticios, no pudiendo dar tratamiento a datos personales de otra índole así hayan sido recogidas de otras fuentes de acceso público.

--

Dania Coz Barón
Gerente de la base de datos "Justicia y Transparencia" dcoz@justiciaytransparencia.pe


Escrito por

Justicia y Transparencia

Archivo web de sentencias sobre acceso a la información pública y protección de datos personales: www.justiciaytransparencia.pe


Publicado en

Justicia y Transparencia

Archivo web de sentencias sobre acceso a la información pública y protección de datos personales: www.justiciaytransparencia.pe