En la última entrega de nuestra serie sobre regulación Fintech en el Paraguay, repasamos las principales disposiciones de la legislación vigente, así como nuevos esfuerzos de regulación, sobre herramientas estrechamente ligadas al mundo Fintech: los datos crediticios y personales, y los servicios de confianza.
- Protección de datos
La información crediticia y su tratamiento se encuentran regulados en el país a través de la Ley N° 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos Personales Crediticios”). Sin embargo, el tratamiento y uso de los datos personales no fue alcanzado por el ámbito de aplicación de esta ley, por lo que actualmente existen esfuerzos para regularlos.
- 1. Normativa aplicable
La Ley de Protección de Datos Personales Crediticios establece el régimen de protección de datos crediticios de toda persona cualquiera sea su nacionalidad, residencia o domicilio. En ese sentido, regula la actividad de recolección y el acceso a datos de información crediticia, estableciendo pautas para las empresas que se dediquen a la obtención y provisión de información crediticia.
La citada ley define a los datos personales como aquella información de cualquier tipo, referida a personas jurídicas o físicas determinadas o determinables. Asimismo, define a la información crediticia como aquella información, positiva y negativa, relacionada con el historial crediticio de personas físicas y jurídicas, acerca de actividades crediticias y comerciales que sirva para, entre otras cosas, determinar su nivel de endeudamiento, de cumplimiento de obligaciones y, en general, de riegos crediticios en un determinado momento.
Esta ley busca preservar derechos fundamentales, como la intimidad, la autodeterminación informativa, la libertad, la seguridad y el trato justo a las personas. En concordancia con ello, prohíbe difundir datos íntimos de su titular, o cuyo uso indebido pueda dar origen a discriminación o conlleve un riesgo grave para éste.
Las autoridades de aplicación establecidas por la ley son el Banco Central del Paraguay (el “BCP”) y la Secretaría de Defensa del Consumidor (SEDECO). Estos organismos actúan como supervisores del sistema de protección de datos incorporado por la Ley de Protección de Datos Personales Crediticios y se encuentran facultados para imponer sanciones a quien infrinjan sus disposiciones.
La Ley de Protección de Datos Personales Crediticios garantiza el acceso de todas las personas a los datos personales de sí misma y de quienes se hallen bajo su patria potestad, tutela o curatela, existentes en registros mantenidos por personas físicas o jurídicas, públicas o privadas.
Conforme a lo dispuesto por la referida ley, las personas deben manifestar expresa e inequívocamente su consentimiento para la obtención y uso de sus datos personales. Este consentimiento puede constar en forma escrita, electrónica o digital y puede ser revocado expresamente en las mismas condiciones, a título gratuito, sin efecto retroactivo. El tratamiento y cesión de estos datos sin el consentimiento del titular constituye así un hecho ilícito.
Las personas, además, tienen el derecho de conocer las condiciones generales y específicas del tratamiento de sus datos personales, debiendo ser informadas en forma expresa y clara la finalidad que se les dará a dichos datos. En ese contexto, pueden solicitar al responsable del manejo de los datos la actualización, rectificación, supresión, oposición y portabilidad de los mismos. Salvo disposición normativa en contrario, la información crediticia que obre en un registro puede ser conservada hasta por cinco años, contados desde la fecha de ocurrencia de los hechos registrados.
Es importante mencionar que la Ley de Protección de Datos Personales Crediticios establece un deber de secreto para las personas responsables y encargadas del tratamiento de información crediticia de terceros, así como para quienes intervengan en cualquier fase de su recolección procesamiento, almacenamiento, uso o circulación. Este deber de secreto solo podría ser levantado ante el requerimiento del BCP y sus órganos de supervisión, la Dirección Nacional de Ingresos Tributarios (la “DNIT”), la Secretaría de Prevención de Lavado de Dinero o Bienes (la “SEPRELAD”), la Contraloría General de la República y, naturalmente, el Ministerio Público y las autoridades judiciales competentes.
Los servicios de información crediticia solo pueden ser prestados por Burós de Información Crediticia previamente autorizados por el BCP. Estos burós solo pueden prestar servicios de referencias crediticias a ciertos usuarios, entre ellos, los bancos y financieras, cooperativas, casas de crédito, personas o empresas que otorguen créditos, mutuales y casas de empeño, personas o empresas dedicadas a la venta de productos a crédito o a plazo y personas o empresas que funcionen como un canal o medio para facilitar la intermediación financiera o el otorgamiento de créditos.
Estos burós solo pueden tratar información crediticia relativa a la solvencia económica y al crédito del titular, obtenidos de fuentes públicas o facilitadas por el mismo o con su consentimiento. Asimismo, no pueden divulgar información crediticia sobre (i) deudas vencidas no reclamadas judicialmente que hayan superado tres años de inscripción, (ii) deudas canceladas y (iii) juicios de convocatoria de acreedores después de cinco años de su admisión.
Los usuarios de los servicios de información crediticia deben entregar a los burós autorizados la información crediticia positiva y negativa de sus clientes. Además, solo podrán usar la información crediticia obtenida mediante los burós de forma confidencial y para la evaluación de riesgos crediticios.
Una obligación clave establecida para los usuarios de estos servicios, es la de informar al titular de información crediticia sobre la denegación de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero en base a un informe crediticio, entregándole una copia de este informe.
En cuanto a las infracciones a la ley, podrán ser responsables tanto las personas físicas como las personas jurídicas que cometieron las faltas, así como todos los miembros de los órganos de administración de la entidad en cuestión, y quienes ejerzan o realicen funciones asimilables a dichos cargos, con las salvedades y de acuerdo con las circunstancias establecidas en la propia ley.
Las sanciones que podrían ser aplicadas por el BCP y la SEDECO a los infractores varían desde el apercibimiento, cierre temporal y definitivo de las operaciones, inhabilitación para desempeñar cargos dentro del sistema financiero, crediticio y en Burós de Información Crediticia, hasta multas que podrían elevarse a montos cercanos al millón de dólares.
- 2. Proyecto de Ley
Promulgada la Ley de Protección de Datos Personales Crediticios, ciertos sectores de la ciudadanía expresaron su preocupación por el ámbito de aplicación de la misma. El principal argumento esgrimido por quienes cuestionan esta normativa es que consideran que se han limitado a regular, más que nada, el tratamiento de la información crediticia de las personas, sin detenerse mucho en proteger los datos personales en general.
Actualmente existe un proyecto de ley que buscaría rectificar esta situación e incluir a los datos personales al ámbito de protección de la referida ley. Dicho proyecto de ley se encuentra actualmente en discusión en comisiones de la Cámara de Diputados.
En su redacción actual, el proyecto de ley no busca derogar la Ley de Protección de Datos Personales Crediticios, pero sí regular de manera supletoria aquellas cuestiones de información crediticia que no fueron abarcadas por dicha norma. El proyecto de ley tiene por objeto la protección integral de los datos personales de las personas físicas, a fin de garantizar el ejercicio pleno de sus derechos y regular la libre circulación de estos datos.
Al efecto, mediante el referido proyecto, se pretende regular cuestiones relacionadas a datos biométricos, genéticos, sensibles y personales. Además, se busca regular el tratamiento de estos datos y su uso automatizado, así como la elaboración de perfiles a partir de ellos.
- Servicios de confianza
El Ministerio de Tecnologías de la Información y Comunicación (MITIC), ha desarrollado estrategias para la digitalización de los servicios, transacciones e interacciones en el país, tanto en la esfera pública como en la privada. Este proyecto, denominado Agenda Digital, entre otras cosas, busca impulsar el acceso a interacciones digitales seguras y rápidas y, en ese marco, ha regulado la prestación de los denominados “servicios de confianza.”
Los servicios de confianza, definidos como aquellos consistentes en la creación, verificación, validación o preservación de firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, de entrega electrónica, de autenticaciones de sitios web y de medios de identificación en virtud de sistemas de identificación electrónica, se encuentran regulados como tales en el Paraguay mediante la Ley N° 6.822/21 “De los Servicios de Confianza para las Transacciones Electrónicas, del Documento Electrónico y los Documentos Transmisibles Electrónicos” (la “Ley de Servicios de Confianza”) y su decreto reglamentario, el N° 7.576/22.
Estos servicios buscan generar confianza y seguridad en las transacciones e interacciones electrónicas entre los organismos públicos, los ciudadanos y las empresas y su regulación es necesaria si se pretende fomentar un ecosistema de dinero electrónico seguro para la población. Entre aquellos utilizados con mayor frecuencia, se encuentran las firmas electrónicas para validar actos jurídicos como contratos, procesos de facturación electrónica, transmisión electrónica de datos o documentos y una variedad cada vez más amplia de trámites estatales.
- 1. Normativa Aplicable
La Ley de Servicios de Confianza encuentra su principal influencia en el Reglamento Europeo N° 910/2014, que regula la identificación electrónica y los servicios de confianza para las transacciones electrónicas en los Estados parte de la Unión Europea.
El organismo estatal encargado de supervisar y dictar las resoluciones necesarias para la implementación de las disposiciones de la Ley de Servicios de Confianza es el Ministerio de Industria y Comercio (“MIC”), conforme a lo dispuesto por el decreto regulatorio.
De manera a determinar precisamente qué son los servicios de confianza, la Ley de Servicios de Confianza establece cuatro pilares para definirlos, a saber:
- la creación, verificación y validación de firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios;
- la creación, verificación y validación de certificados para la autenticación de sitios web;
- la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios;
- servicio de expedición de medios de identificación en virtud de sistemas de identificación electrónica.
Los principales servicios ubicados dentro de estos pilares son las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los servicios de entrega electrónica certificada y los certificados para la autenticación de sitios web.
La ley establece que, siempre y cuando la identificación fuera realizada a través de un sistema de identificación electrónica en cumplimiento con los requisitos delineados en la Ley de Servicios de Confianza, no se negarán efectos jurídicos ni admisibilidad en procedimientos privados, judiciales y administrativos a la identificación electrónica de una persona física o jurídica (a través de su representante).
Asimismo, la ley establece una distinción entre la prestación de estos servicios y la prestación cualificada de los mismos, que constituye una versión más fiable de estos servicios, que solo pueden ser prestados por prestadores cualificados conforme a los parámetros establecidos en la ley y cuyas implicancias se explican más adelante. El Ministerio de Industria y Comercio mantiene la lista de los prestadores cualificados.
De manera a convertirse en un prestador cualificado de estos servicios, los prestadores deben estar establecidos en el país, ya sea (i) constituyendo domicilio en el territorio paraguayo; (ii) disponiendo instalaciones o lugares de trabajo en el territorio paraguayo, en donde realice todo o parte de su actividad; o, (iii) cuando haya inscripto su sociedad o sucursal ante la Dirección General de los Registros Públicos. Además, la prestación del servicio debe estar contemplada en los estatutos sociales de la entidad prestadora.
Estos prestadores cualificados deberán ser auditados, al menos, cada dos años por auditores independientes. Además, podrán ser auditados en cualquier momento por el MIC, y deberán adecuar sus operaciones a las observaciones realizadas por el mismo. Adicionalmente, los servicios de confianza prestados por prestadores de servicios establecidos fuera del país serán reconocidos como equivalentes a los prestados por prestadores de servicios establecidos en el Paraguay, siempre y cuando existan acuerdos de reconocimiento mutuo entre las autoridades nacionales o de las organizaciones internacionales correspondientes.
La Ley de Servicios de Confianza reitera lo dispuesto por su antecesora, la Ley N° 4.017/10, al establecer que una firma electrónica cualificada tiene el mismo efecto jurídico que una firma manuscrita. Sin embargo, elimina la distinción entre firma digital y electrónica que había sido establecida en la Ley N° 4.017/10 y que generaba confusión en el uso cotidiano de estos servicios.
La reproducción en forma electrónica de documentos en formato papel, a través de escaneos y procesos similares, adquiere expreso reconocimiento jurídico a través de la Ley de Servicios de Confianza. Este reconocimiento será tal, siempre y cuando exista alguna garantía fidedigna de que se ha conservado la integridad de la información contenida en el documento.
Por último, la Ley de Servicios de Confianza reconoce, además, el valor jurídico de los acuses de recibo de los documentos electrónicos, a través de cualquier acto del destinatario que baste para indicar al remitente la recepción del documento. Esto es especialmente importante para las interacciones cotidianas a través de correos electrónicos o aplicaciones de mensajería.