Oscar Sandoval
I- Introducción
En noviembre del año 2022, el Banco Central de Costa Rica (“BCCR”) solicitó a la Superintendencia General de Entidades Financieras (“SUGEF”) el acceso “a la información integral de todas las operaciones de crédito que los intermediarios financieros supervisados le remiten, incluyendo necesariamente el número de identificación (cédula física, jurídica, dimex, u otros), a la División Gestión de Información del Banco Central de Costa Rica, para la elaboración de las nuevas estadísticas de crédito”. Asimismo, el BCCR requirió la entrega de dicha información a las entidades financieras supervisadas.
La negativa de la Superintendente de la SUGEF de poner a disposición del BCCR la información crediticia de las personas físicas y jurídicas sin anonimizar ha abierto un debate jurídico en diferentes frentes, para discutir el alcance del derecho a la autodeterminación informativa en materia bancaria y la protección normativa y jurisprudencial de este derecho frente a las potestades de imperio de la administración pública, en particular los derechos de información del BCCR.
Este es un análisis del caso concreto que se presentó a propósito de la solicitud del BCCR. Hemos incluido la normativa local que se encuentra en discusión actualmente, y la normativa aplicable en Centroamérica.
II- Un debate jurídico en ciernes: el caso de Costa Rica
Mediante Oficio JD-6093/10 del 25 de noviembre del 2022, el BCCR solicitó a la SUGEF[1] la autorización – dentro de un plazo específico – para acceder a la información de todas las operaciones de crédito que le remiten las entidades supervisadas, incluyendo el número de identificación de las personas físicas y jurídicas, nacionales o extranjeras.
Las justificaciones técnicas del BCCR se centran en la obligación de desarrollar el indicador de riesgo climático para el Fondo Monetario Internacional (que daría acceso a ciertos empréstitos) y con ello definir “el nivel de endeudamiento de los hogares, riesgo financiero de los créditos otorgados a unidades ubicadas en zonas susceptibles de inundaciones u otros fenómenos asociados al cambio climático, así como mejorar la efectividad en la transmisión de la política monetaria”. Para lograr este objetivo, así como para unificar bases de datos y generar ciertas variables de estratificación, el BCCR aduce requerir la información personal de los deudores.
El fundamento legal citado por el BCCR para sustentar su solicitud a la SUGEF y a las entidades reguladas gira en torno a: la Ley Orgánica del Banco Central de Costa Rica (“LOBCCR”), la Ley del Sistema de Estadística Nacional, y a los pronunciamientos de su Departamento de Gestión Jurídica y de la Procuraduría General de la República. A continuación, un resumen de la normativa citada y los criterios legales:
- Ley Orgánica del Banco Central de Costa Rica
La LOBCCR establece los objetivos principales y los objetivos subsidiarios del BCCR[2]. Entre los objetivos principales encontramos:
- Mantener la estabilidad interna y externa de la moneda nacional;
- Asegurar su conversión a otras monedas.
En el caso de los objetivos subsidiarios el BCCR resalta los siguientes:
- Promover el ordenado desarrollo de la economía costarricense, a fin de lograr la ocupación plena de los recursos productivos de la nación, procurando evitar o moderar las tendencias inflacionistas o deflacionistas que puedan surgir en el mercado monetario y crediticio;
- Promover un sistema de intermediación financiera estable, eficiente y competitivo.
Asimismo, el art. 14 inciso d) de la LOBCCR establece la obligación de publicar mensualmente “un resumen estadístico de la situación económica del país, que incluya, por lo menos, información de producción, precios, moneda, crédito, exportaciones, importaciones y reservas internacionales brutas y netas”. El mismo artículo in fine establece que el BCCR deberá guardar confidencialidad sobre la información que le suministren las personas físicas y jurídicas.
Este deber de confidencialidad de los funcionarios del BCCR, es aplicable igualmente a funcionarios de SUGEF y las entidades supervisadas, y se encuentra desarrollado en el art. 133 inciso d) de la LOBCCR en los siguientes términos:
En ese mismo sentido, el art. 615 del Código de Comercio establece el secreto (inviolabilidad) de las cuentas corrientes bancarias.
- Ley del Sistema de Estadística Nacional
El art. 4 de la Ley del Sistema de Estadística Nacional establece que es de interés público la actividad estadística “que permita producir y difundir estadísticas fidedignas y oportunas para el conocimiento veraz e integral de la realidad costarricense, como fundamento para la eficiente gestión administrativa pública y privada”. El BCCR es parte de este sistema siempre que su actividad estadística sea relevante en diversas áreas, y sus registros sean de interés para la producción de estadísticas oficiales.
Asimismo, el Sistema de Estadística Nacional está regido, entre otros, por el principio de confidencialidad estadística[3] por el cual, el personal tiene la prohibición de revelar información de personas físicas o jurídicas que lleguen a conocer directa o indirectamente por el desempeño de sus actividades.
El art. 16 del mismo cuerpo normativo establece la obligación para las personas físicas, jurídicas, residentes o no de atender la solicitud del Sistema de Estadística Nacional y de entregar la información requerida. Más aún, el art. 68 de la Ley de Estadística Nacional sanciona con penas que van desde multa hasta el delito de desobediencia a quienes se nieguen a responder las solicitudes emanadas de los participantes del Sistema o a entregar la información requerida.
- Opiniones legales y dictámenes
El BCCR recurre a ciertos criterios de la Procuraduría General de la República (“PGR”) para justificar su derecho a requerir, a las entidades financieras supervisadas, la información sin anonimizar, por su condición de entidad integrante del Sistema de Estadística Nacional. Según el dictamen C-145-2008 del 5 de mayo de 2008, la PGR establece lo siguiente:
- Reconoce al BCCR una función de producción de estadísticas;
- Al amparo del interés público el BCCR puede solicitar información necesaria a otros organismos públicos (incluso si es de origen privado);
- El acceso a la información que se reconoce al BCCR no es sobre datos globales sino sobre datos individuales.
Del mismo modo, el BCCR se ampara en el dictamen PGR-C-264-2022 del 30 de noviembre de 2022, en el que se concluye que si bien la información del Centro de Información Crediticio (CIC) está protegida constitucionalmente por el derecho a la autodeterminación informativa y el secreto bancario, su protección jurídica no es absoluta si así lo establece una norma de rango legal (lo anterior conforme a los arts. 2 y 8 de la “Ley de protección de la persona frente al tratamiento de sus datos personales”, Ley número 8968).
Por su parte, el criterio del Departamento de Gestión Jurídica del BCCR[4] recurre a la interpretación de la normativa citada y los dictámenes de la PGR para concluir que el BCCR tiene fundamento jurídico “sólido, válido y vigente” para continuar haciendo requerimientos de información, y que no existe, actualmente, una orden de carácter judicial o administrativo que restrinja al BCCR para requerir información con fines estadísticos.
Cabe señalar que, actualmente, se están tramitando dos procedimientos contra lo resuelto por el BCCR, en particular:
- Una denuncia[5] ante la Agencia de Protección de Datos de los Habitantes (“PRODHAB”) que generó el dictado de una medida cautelar para suspender la solicitud del BCCR de acceder a datos personales de los deudores de las entidades financieras. En principio, el proceso y la medida cautelar se encuentran en suspenso hasta que la Sala Constitucional se pronuncie respecto al fondo sobre una acción de inconstitucionalidad planteada contra ciertos artículos de la LOBCCR y de la Ley del Sistema de Estadística Nacional;
- Una acción de inconstitucionalidad[6] contra ciertos artículos de la LOBCCR y de la Ley del Sistema de Estadística Nacional que planteó la Asociación Bancaria Costarricense y fue acogida por la Sala Constitucional de la Corte Suprema de Justicia (“Sala Constitucional”) para estudio.
En paralelo, la negativa de la SUGEF a la entrega de la información sin anonimizar – con base en el criterio de confidencialidad de la información personal como datos sensibles y amparados al secreto bancario – le generó a la Superintendente una denuncia penal – interpuesta por el BCCR – por el presunto delito de desobediencia a la autoridad, la cual se encuentra en trámite.
Tanto la SUGEF, como el Consejo Nacional de Supervisión del Sistema Financiero (“CONASSIF”)[7] y las asociaciones bancarias gremiales coinciden en la protección de la información personal como datos sensibles y amparados al secreto bancario. En el mismo sentido se pronunció el Colegio de Abogados y Abogadas de Costa Rica, por medio del Comité de Derecho Constitucional (mediante oficio CDC-05-23 del 1 de setiembre de 2023), con fundamento en el art. 24 de la Constitución Política (que garantiza el derecho a la intimidad, a la libertad y secreto de las comunicaciones), y en la jurisprudencia de la Sala Constitucional sobre la protección del derecho a la intimidad y el principio pro homine desarrollado en los pronunciamientos de la Corte Interamericana de Derechos Humanos.
En tesis de principio, corresponderá a la Sala Constitucional dilucidar el alcance de las potestades de interés público de la administración frente a la tutela del derecho a la autodeterminación informativa. Estimamos que cualquier posición que adopte la Sala Constitucional pondrá en perspectiva un análisis de temas que seguirán generando debate jurídico.
III- La protección del derecho a la autodeterminación informativa en Centroamérica
Uno de los principales retos en nuestra región es el desarrollo normativo del derecho a la autodeterminación informativa de las personas (independientemente de su nacionalidad). El reconocimiento de este derecho genera protección para las personas en relación con su vida o actividad privada, la igualdad en el tratamiento de los datos correspondientes a su persona o bienes, en especial si esa información figura en bases de datos públicas o privadas.
En Centroamérica el tratamiento del derecho a la autodeterminación informativa de las personas goza de reconocimiento en diferentes niveles normativos, tanto constitucional como legal. A continuación, un acercamiento a la regulación de cada país.
- Guatemala
La Constitución Política de Guatemala[8] reconoce a la persona el derecho a conocer, corregir, rectificar y actualizar la información que de ella conste en archivos, ficha o registros estatales.
Por su parte, la Ley de Acceso a la Información Pública, cuyas normas son de orden público, no solo establece los procedimientos para garantizar a las personas el acceso a la información o a los actos de la administración pública sino que también, garantiza el derecho a las personas a acceder, reservar o rectificar la información correspondiente a su persona en poder de las entidades públicas y personas físicas o jurídicas privadas que se encuentren obligadas por ley a entregar dicha información (habeas data).
Actualmente, se encuentra en proceso de aprobación en el Congreso el proyecto de ley denominado “Ley Integral de Protección de Datos Personales en Poder de Terceros”. Este proyecto data del año 2022 y tiene como objetivo garantizar la protección de los datos personales en poder de terceros, su tratamiento legítimo, proporcional, seguro, controlado e informado y, en consecuencia, la privacidad y el derecho de autodeterminación informativa.
La Corte de Constitucionalidad de Guatemala ha puesto de manifiesto en sus sentencias la obligación de proteger los derechos fundamentales a la intimidad y privacidad, permitiendo a las personas el acceso, la actualización, la rectificación, la reserva (confidencialidad) y la exclusión de sus datos personales de bases de datos públicas o privadas.[9]
En materia de información bancaria, el secreto bancario se encuentra regulado en el art. 63 de la Ley de Bancos y Grupos Financieros. Sus excepciones son la información que los bancos deban entregar a la Superintendencia de Bancos, al Banco de Guatemala, y la información que solicite la Superintendencia de Administración Tributaria. La inobservancia del secreto bancario genera sanciones penales para las personas físicas involucradas y multas para las personas jurídicas responsables.
En línea con lo anterior, la Corte de Constitucionalidad ha considerado que existe violación al derecho a la intimidad si la persona no ha dado su consentimiento expreso para que se recaben, procesen, comercialicen y difundan sus datos personales e información privada.[10]
- El Salvador
La “Ley de regulación de los servicios de información sobre el historial de crédito de las personas y sus normas técnicas” regula el tratamiento de la información crediticia de los consumidores financieros y los límites a la información a la que tienen acceso los agentes económicos. Esta regulación es extensible a los datos recolectados en cualquier transacción comercial y que se almacenen en una base de datos. Adicionalmente, la misma ley establece el consentimiento expreso de las personas para el tratamiento de sus datos personales.
La Sala de lo Constitucional en sus resoluciones 934-2007 y 142-2012 ha reiterado la necesidad de contar con el consentimiento expreso de las personas para la revisión y el tratamiento de sus datos personales.
Por otra parte, el art. 232 de la Ley de Bancos establece el secreto bancario y solo permite la revelación de la información a los titulares de las cuentas o productos financieros y a las instituciones públicas facultadas para ello. El incumplimiento con la obligación del secreto bancario es sancionado penal y civilmente conforme al artículo 201 de la ley antes indicada.
- Honduras
En Honduras no existe propiamente una ley especial que regule la protección de datos, no obstante, son aplicables las disposiciones generales de la Constitución de la República de Honduras, la Ley de Justicia Constitucional y la Ley de Transparencia y Acceso a la información Pública.
Por su parte, el Código de Comercio regula la figura del secreto bancario y sus excepciones, brindando protección a los clientes de productos y servicios bancarios. Se exceptúa del secreto bancario la entrega de información a las autoridades competentes en materia fiscal y en materia de prevención y detección del lavado de activos, siempre que se cumpla con el debido proceso. La inobservancia del secreto bancario genera responsabilidad civil y penal.
Adicionalmente, la protección de los datos de los clientes, en el ámbito tecnológico, se encuentra regulada por las Normas para la gestión de tecnologías de información, ciberseguridad y continuidad del negocio, emitidas por la Comisión Nacional de Bancos y Seguros.
- Nicaragua
El tratamiento de datos personales y la protección de la persona natural frente al tratamiento automatizado o no de sus datos públicos y privados se encuentra en la Ley de Protección de Datos Personales, aprobada el 21 de marzo de 2012.
Esta ley garantiza el derecho a la privacidad personal y familiar en observancia del derecho a la autodeterminación informativa.
Por su parte, la Ley General de Bancos establece el deber de sigilo bancario y, los funcionarios y las entidades bancarias son solidariamente responsables por los daños y perjuicios que causen.
La Superintendencia de Bancos y la Unidad de Análisis Financiero están facultadas para solicitar información particular o individual de los clientes a las entidades bancarias, no obstante, no se establece en la normativa vigente las condiciones bajo las cuales la información debe ser entregada.
No es obligatorio el consentimiento del cliente para recibir información sobre productos y servicios financieros.
- Costa Rica
El art. 24 de la Constitución Política regula el derecho a la intimidad, a la libertad y al secreto de las comunicaciones.
Por su parte, la “Ley de protección de la persona frente al tratamiento de sus datos personales” consagra el derecho a la autodeterminación informativa (art 4) como un derecho fundamental. Asimismo, establece que ese derecho abarca el conjunto de principios y garantías relativas al legítimo tratamiento de los datos personales y el control del flujo de informaciones que conciernen a cada persona derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.
En ese sentido, la ley y su correspondiente reglamento desarrollan una serie de principios de aplicación obligatoria entre los que encontramos: el principio de consentimiento informado – incluyendo la obligación de informar y el derecho de consentir sobre el acceso a la información -, y el principio de calidad de la información (actualidad, veracidad, exactitud, adecuación al fin).
Asimismo, se establecen derechos como el acceso a la información y rectificación y se categorizan los datos en:
- Sensibles;
- Personales de acceso restringido;
- Personales de acceso irrestricto;
- Referentes al comportamiento crediticio.
En la ley y en su reglamento se establecen los protocolos de actuación para la recolección, almacenamiento y el uso de datos y las medidas de seguridad y confidencialidad.
Adicionalmente, se crea la Agencia de Protección de Datos de los Habitantes (“PRODHAB”) como encargada de velar por el cumplimiento de la normativa en materia de protección de datos, dicta reglamentos y mantiene un registro de las bases de datos reguladas por la ley.
En materia de secreto bancario, citamos en la Sección II anterior la LOBCCR y el Código de Comercio, apoyados por criterios jurisprudenciales reiterados de la Sala Constitucional de la Corte Suprema de Justicia. La propia Sala Constitucional delimita el secreto bancario de la siguiente forma:
“(…) el secreto bancario, entendido como el deber impuesto a toda entidad de intermediación financiera de no revelar la información y los datos que posea de sus clientes por cualquier operación bancaria o contrato bancario que haya celebrado con éstos, sobre todo, en tratándose de las cuentas corrientes, ya que, el numeral 615 del Código de Comercio lo consagra expresamente para esa hipótesis, y el secreto industrial, comercial o económico de las empresas acerca de determinadas ideas, productos o procedimientos industriales y de sus estados financieros, crediticios y tributarios.”[11]
Por último, el consentimiento informado tanto en materia de consumidor financiero como para la autorización del uso y acceso de datos personales es ampliamente tutelado en sede administrativa como judicial.
IV- Conclusiones
El requerimiento del BCCR a la SUGEF y a las entidades bancarias plantea un debate político-jurídico de relevancia que bien podría servir de antecedente para situaciones de similar envergadura en la región.
Si bien la Sala Constitucional será la encargada de dirimir el conflicto de interés y generará una interpretación inapelable, lo cierto del caso es que no es posible dejar de revelar las posibles antinomias a la luz de la consagración de derechos fundamentales (como el derecho de autodeterminación informativa) frente al interés público y la consecuente obligación de entregar información a ciertas dependencias públicas. En ambos casos, la determinación de los límites a los derechos y las obligaciones es una tarea que esperamos cumpla con objetividad e imparcialidad la autoridad constitucional.
En todos los países de la región existe un reconocimiento expreso, de carácter legal, al secreto o sigilo bancario. Sin embargo, es un reto importante para las autoridades de los distintos países centroamericanos desarrollar la normativa complementaria, hacer valer la protección del secreto bancario y lograr un efectivo balance en la interpretación en sede administrativa y judicial, en especial para prevenir o dilucidar situaciones como las que en este momento se están ventilando en diferentes sedes administrativas y judiciales en Costa Rica.
Lejos de buscar alcanzar una línea interpretativa restrictiva, somos del criterio que la discusión será abierta en todos los niveles y en todos los países, y los casos concretos serán los que marquen tendencias, tal y como en el caso de Costa Rica cuya solución resolverá en definitiva la discusión sobre si las potestades de imperio en materia informativa y para efectos estadísticos son irrestrictas en cuanto a incluir la información crediticia con los datos personales de los deudores o si por el contrario, el requerimiento del BCCR carece de razonabilidad para efectos prácticos y en salvaguarda de un derecho fundamental.
En todo caso, la discusión jurídica está comenzando.
[1] La SUGEF es un órgano de desconcentración máxima del Banco Central de Costa Rica. Artículo 115 Ley Orgánica del Banco Central de Costa Rica.
[2] Ley Orgánica del Banco Central de Costa Rica, artículo 2.
[3] Ver entre otros, artículo 10 inciso a) y artículo 20 de la Ley del Sistema de Estadística Nacional.
[4] Criterio DAJ-CJ-0079-2023 del 14 de setiembre de 2023.
[5] La denuncia se tramita bajo expediente número 180-08-2023-DEN.
[6] La acción de inconstitucionalidad se tramita bajo expediente número 23-020910-0007-CO.
[7] CONASSIF es el órgano de dirección superior de las siguientes superintendencias: Superintendencia General de Entidades Financieras (SUGEF); Superintendencia General de Valores (SUGEVAL); Superintendencia de Pensiones (SUPEN), y Superintendencia General de Seguros (SUGESE).
[8] Constitución Política, artículo 3.
[9] Sentencias de la Corte de Constitucionalidad de fecha (i) 21 de junio de 2011 (expediente número 863-2011) y (ii) 10 de febrero de 2015 (expediente número 3552-2014).
[10] Sentencia de la Corte de Constitucionalidad de fecha 22 de setiembre de 2009 (expediente número 2674-2009).
[11] Resolución número 2022019850, Sala Constitucional de la Corte Suprema de Justicia, de nueve horas quince minutos del veintiséis de agosto de dos mil veintidós.