Propuesta es defectuosa
El congresista José Luna (PP) expuso el Proyecto de Ley 8239/2023-CR, que busca proteger a los usuarios de los registros indebidos en las Centrales Privadas de Información de Riesgos cuando no presentan deudas en el sistema financiero o servicios públicos regulados, sin embargo el texto es defectuoso y no brindaría una protección adecuada a los clientes del sistema financiero.
Se trata de un problema que tiene décadas y del cual hemos comentado varias veces. Hoy en día la falta de protección a estos clientes se ha convertido en terrible, pues el número de entidades financieras que compiten por captarlos los ha llevado a desarrollar prácticas que afectan a las personas con interminables llamadas spam que interrumpen el trabajo diario, sin que las normas de Indecopi sirvan para algo, debido a lo débiles que son para sancionar a dichos invasores de la vida diaria de la gente. Es posible que el lobby (con o sin coima) haya influido en el Indecopi para que se trate a estos sujetos con lenidad.
Si los captadores de clientes tienen información es por la facilidad que tienen las centrales de riesgo, como Infocorp o Sentinel, para tener una base de datos de bancos y clientes, cuyos datos recaban sin la autorización de los clientes en una distorsión total de lo que debería significar una central de riesgo.
Una central de riesgo solamente debería tener los datos que son de riesgo, es decir, sobre los clientes morosos, no sobre aquellos que nunca solicitaron un préstamo ni quienes accedieron a créditos y cumplieron con puntualidad con los pagos, pero no es así, estas centrales tienen información de todos ellos.
Se hace necesaria una modificación de la Ley 27489, Ley que Regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información (Cepirs), que establezca con claridad que estas centrales sólo podrán tener libremente los datos de clientes morosos debidamente calificados como tales por las entidades financieras con conocimiento de tal condición de los clientes morosos y no de las personas a quienes fraudulentamente se les imputa créditos.
La propuesta plantea que se modifiquen los artículos 7, numeral 7.1, 7.2, 7.3; artículo 8, literal d); artículo 10, literal d); y artículo 12 de la Ley 27489, Ley que Regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información (Cepirs).
Entre los cambios se busca que las Cepris se encuentren bajo supervisión y control de la Superintendencia de Banca, Seguros y AFP. Otro cambio es que, en caso de que la deuda se haya extinguido o cancelado, el registro debe ser eliminado al día siguiente del cumplimiento de la misma.
La Ley 27489, artículo 2.o, señala estas definiciones:
b) Información de riesgos.- Información relacionada a obligaciones o antecedghentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia económica vinculada principalmente a su capacidad y trayectoria de endeudamiento y pago.
c) Información sensible.- Información referida a las características físicas, morales o emocionales de una persona natural, o a hechos o circunstancias de su vida afectiva o familiar, tales como los hábitos personales, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual u otras análogas que afecten su intimidad y todo lo referido en la Constitución Política del Perú en su Artículo 2º inciso 6).
El proyecto
Se plantea modificar así:
Artículo 7.- Fuentes de información
7.1 Las CEPIRS podrán recolectar información de riesgos para sus bancos de datos tanto de fuentes públicas como de fuentes privadas, sin necesidad de contar con la autorización del titular de la información, entendiéndose que la base de datos se conformará con toda la información de riesgo. En caso de los datos sensibles deberá contar con la autorización del titular.
Aquí se aumenta la línea final: “En caso de los datos sensibles deberá contar con la autorización del titular.”. El problema es que la información sensible no es la información financiera del cliente, sino la que afecte su intimidad, por ello es irrelevante el añadido.
Sigue la propuesta:
7.2 Las CEPIRS podrán adquirir información de las fuentes mencionadas en el párrafo precedente mediante la celebración de contratos privados directamente con la persona natural o jurídica que tenga o haya tenido relaciones con entidades financieras con el titular de la información, siempre y cuando ésta se refiera a los actos, situaciones, hechos, derechos y obligaciones materia de tales relaciones o derivadas de éstas y que no constituyan violación del secreto profesional.
Podrán no significa obligación, así que las centrales de riesgo seguirán sin la necesidad de autorización del cliente para recabar sus datos, como señala el artículo 7.1.
Sigue:
7.3 Igualmente podrán celebrar contratos privados directamente con las entidades de la administración pública que recolecten o utilicen información de riesgos en el ejercicio de sus funciones y competencias legalmente establecidas, salvo que tal información haya sido declarada o constituya un secreto comercial o industrial, o sea considerado un dato sensible.
Igual, podrán no es obligación y el artículo 7.1 indica que no requieren autorización del titular.
Sigue modificación del artículo 8:
Artículo 8.- Información suministrada por los titulares Las CEPIRS podrán recolectar información de riesgos directamente de los titulares, debiendo previamente informarles a éstos de modo expreso, bajo responsabilidad y sanción, preciso e inequívoco lo siguiente: d) Las posibles consecuencias de la obtención de la información, salvaguardando sus datos sensibles; y,
Seguimos con “podrá”, cuando les está permitido recopilar datos sin autorización del cliente.
Artículo 10.- Información excluida Las CEPIRS no podrán contener en sus bancos de datos ni difundir en sus reportes de crédito la siguiente información: d) Información referida al incumplimiento de obligaciones de naturaleza civil, comercial o tributaria, cuando (i) las empresas financieras no hayan notificado al usuario sobre el reporte a la central de riesgo (ii) los usuarios que hayan incurrido en morosidad, producto de una deuda no reconocida, por operaciones fraudulentas o no consentidas, hasta que se resuelva su proceso de reclamación (iii) la obligación se haya extinguido; o (iv) La obligación haya sido cancelada. En caso de que la deuda se haya extinguido o cancelado, el registro debe ser eliminado al día siguiente del cumplimiento de la misma. El caso de los protestos se regirá por la Ley de Títulos Valores.
Esta exclusión no protege a los clientes en general no comprendidos en esos casos.
Dice la propuesta sobre la seguridad:
Artículo 12.- Deber de seguridad Las CEPIRS deberán adoptar las medidas de índole técnica y administrativa destinadas a garantizar la seguridad de la información que manejen, a fin de evitar su alteración, pérdida, tratamiento o acceso autorizado. Las CEPIRS estarán bajo supervisión y control de la Superintendencia de Banca, Seguros y AFP.
Aquí se aumentó “Las CEPIRS estarán bajo supervisión y control de la Superintendencia de Banca, Seguros y AFP.”, pero el deber de seguridad existe desde que la ley se promulgó en 2001. Nos preguntamos, ¿de dónde extraerían las centrales de llamadas información para bombardear a los clientes con ofertas? La situación es más peligrosa ahora, pues muchos de los sujetos que llaman con ofertas son venezolanos cuyos antecedentes no sabemos si son verdaderos o falsos y ya vemos todos los días en los noticieros cómo están delinquiendo estos extranjeros.
No se modifica el artículo 11, que permite a las centrales negociar con los datos y difundirlos añadiendo restricciones, por ejemplo que no se podrá vender los datos a empresas sancionadas por realizar llamadas spam.
En resumen, faltó introducir un artículo que señale de forma expresa que las centrales de riesgos están prohibidas de recabar datos de clientes que no sean morosos calificados según la norma, bajo responsabilidad de la entidad financiera que los proporciona, salvo autorización del propio cliente.
Inacción del Indecopi
El Indecopi está viendo años de problemas y azotes a los usuarios del sistema financiero y nunca ha propuesto modificar la mencionada ley, pese a que tiene la facultad de presentar iniciativas legales. La burocracia del Indecopi se sienta a calentar sus asientos y cada día decae la idoneidad de su servicio, son incapaces de pensar en iniciativas como esta para solucionar serios problemas que afectan a los consumidores y no sólo en caso como este, sino en general, de todo tipo.