Читать книгу Los mercados financieros ante la disrupción de las nuevas tecnologías digitales - Mauricio Baquero Herrera - Страница 16
1.2.2. DATOS PERSONALES
ОглавлениеLa privacidad no es un asunto nuevo para el sector financiero y los bancos tradicionalmente han hecho uso de datos financieros o crediticios para calificar el riesgo de sus usuarios. Sin embargo, el mejoramiento de la analítica de datos y el uso de sistema automatizados representan nuevos desafíos para tener en cuenta dentro del entorno de cumplimiento en el sector fintech. Este apartado aborda estos aspectos de innovación en el sector financiero y presenta el marco regulatorio que le asiste a la protección de la información personal.
Una de las novedades de la transformación digital en servicios financieros es la posibilidad de hacer uso de grandes cantidades de datos para mejorar la productividad y los rendimientos de una compañía114. Para ello, es necesario organizar la información de forma estructurada y crear una metodología que depure la información irrelevante para procesarla automaticamente con sistemas de análitica avanzada o inteligencia artificial.
En este escenario, las start-ups con enfoque fintech adquieren relevancia porque pueden recopilar datos de forma más precisa y estructurada para evaluar el grado de riesgo crediticio con información diferente a la que tradicionalmente se usa en el sector. De hecho, tal y como señala el profesor Claudio Scardovi, “los bancos y las aseguradoras solían confiar sólo en lo que los clientes y las agencias externas de crédito y actuariales les decían”115. Ahora las plataformas digitales pueden acceder a una gran cantidad de datos en tiempo real, con la finalidad de analizar y elaborar un perfil más específico, e incluso, personalizar los productos que les ofrecen.
El modelo de negocio basado en soluciones tecnológicas permite que se realicen acuerdos o alianzas comerciales con otros actores, cuyo objetivo es integrar productos y servicios para ampliar el alcance de la actividad a otros nichos del mercado. En consecuencia, hay un crecimiento exponencial de las bases de datos y del alcance de segmentación de los mismos, ya que se puede hacer uso de servicios de rastreo web o del dispositivo móvil para el estudio automatizado del comportamiento de los usuarios116.
El uso masivo de estos datos significa que las fintech pueden responder a la demanda del mercado de forma más precisa y llegar cada vez a más plataformas. Incluso, la implementación de soluciones de innovación dota de una mayor escalabilidad, razón por la cual una start-up puede abordar diversas esferas de la actividad financiera, como lo pueden ser los pagos, préstamos y servicios de gestión de patrimonio117.
Sin embargo, las reglamentaciones sobre la protección de datos personales se han venido robusteciendo en los últimos años y los responsables del tratamiento de información personal adquieren cada vez más deberes, de conformidad con la política nacional de cada país. Después de todo, el régimen de protección de datos es “un factor decisivo en la viabilidad y eficacia de los modelos de negocio digital emergentes”118.
Para el caso colombiano, el derecho que tienen las personas respecto de su intimidad personal, así como el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas, está previsto en el artículo 15 de la Constitución Política. Se trata de la “facultad de disponer de la información, de preservar la propia identidad informática, es decir, de permitir, controlar o rectificar los datos concernientes a la personalidad del titular de los mismos y que, como tales, lo identifican e individualizan ante los demás”119.
Debido a su alcance constitucional, las empresas tienen la responsabilidad de implementar una política de tratamiento de datos personales120, en la que se indique en un lenguaje claro y sencillo la identificación del responsable, el tratamiento y uso que se le dará a los datos personales, los derechos y deberes, el área designada por la organización para atender peticiones, quejas y consultas, el procedimiento para ejercer el derecho de habeas data y el período de vigencia de la base de datos121.
En tal sentido, una empresa debe cumplir el régimen general de protección de datos personales de la Ley 1581 de 2012, y en caso de contar con bases de datos que involucren información de carácter financiero, se adiciona al programa de cumplimiento la Ley 1266 de 2008 sobre habeas data financiero, crediticio, comercial y de servicios.
Así mismo, el principio de responsabilidad demostrada exige que la organización debe ser capaz de demostrar que han implementado medidas apropiadas y efectivas para cumplir con la normatividad existente, sin importar que se trate del procesamiento por conducto de mecanismos automatizados122. De modo que, en caso de un requerimiento de la Delegatura de Protección de Datos de la Superintendencia de Industria y Comercio, es menester proporcionar una descripción detallada de las operaciones de tratamiento de datos personales, una evaluación de los riesgos específicos para los derechos y libertades, así como la identificación y clasificación de riesgos y las medidas para mitigarlos, conforme con el manual interno de políticas y procedimientos de la empresa123.
Los principios que guían el tratamiento de las bases de datos de carácter financiero son fundamentales en la actividad comercial, ya que se trata de información que sirve para calificar el riesgo crediticio de los usuarios. De ahí la importancia de que los datos sean veraces, completos, exactos y actualizados, conforme a la relación contractual con el cliente, y a su vez, de que estos cuenten con medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, pérdida, consulta o uso no autorizado124. De conformidad con lo señalado por el artículo 11 de la Ley 1266 de 2008, los responsables deberán actualizar la información reportada con una periodicidad no superior a diez días calendario.
A diferencia de lo que ocurre con la Ley 1581 de 2012, la información financiera recolectada o suministrada puede ser entregada, además de al titular, a los usuarios de la información, las entidades públicas del poder ejecutivo, los órganos de control y demás dependencias de investigación disciplinaria, fiscal o administrativa, y a otros operadores de datos autorizados por la ley125. En todo caso, el titular tiene derecho a solicitar información acerca de los usuarios autorizados para obtener su información financiera126.
En cuando al reporte negativo sobre el incumplimiento de las obligaciones, la ley exige que antes de realizar el reporte, se debe dar comunicación previa al titular de la información para que este demuestre su pago o efectúe el pago de la misma127. Igualmente, el término previsto para reportes negativos es de cuatro años, contados a partir del pago de la obligación vencida. Para el caso de reportes positivos se mantiene de forma indefinida128.
Así las cosas, el derecho al habeas data financiero ha sido definido en la jurisprudencia
como el derecho que tiene todo individuo a conocer, actualizar y rectificar su información personal comercial, crediticia y financiera, contenida en centrales de información públicas o privadas, que tienen como función recopilar, tratar y circular esos datos con el fin de determinar el nivel de riesgo financiero de su titular129.
Esto es considerado derecho fundamental, autónomo y diferenciable al habeas data tradicional.
En otra perspectiva, el artículo 25 de la Ley 1581 de 2012 estableció el deber de instaurar el Registro Nacional de Bases de Datos como un directorio público de las bases de datos sujetas a tratamiento que operan en el país, la cual está a cargo de la Superintendencia de Industria y Comercio. Para tal fin, el Decreto 886 de 2014 y el Decreto 1074 de 2015 reglamentaron la materia, por lo que los responsables del tratamiento de información personal deben inscribir cada una de las bases de datos que contengan datos personales sujetos a tratamiento.
En decir, los responsables tienen la obligación de aportar las políticas del tratamiento a la autoridad competente, adecuándose al manual interno de políticas y procedimientos para garantizar el cumplimiento de los deberes establecidos en la legislación y reglamentos de la autoridad administrativa130. No obstante, los criterios de registro se han ido morigerando y conforme con lo establecido en el artículo 1 del Decreto 090 de 2018, quienes están obligados a llevar a cabo el registro son las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario, además de personas jurídicas de naturaleza pública.
Ahora, si la operación del negocio y el tratamiento de la información personal se realiza mediante el uso de computación en nube, las legislaciones exigen mantener la protección y seguridad de los datos con limitaciones de ámbito jurisdiccional131. Por consiguiente, la Superintendencia Financiera aceptó el uso de la tecnología de computación en la nube respecto de las entidades vigiladas, pero manifiesta la obligatoriedad del Sistema de Administración de Riesgo Operativo (SARO) y el establecimiento de controles de seguridad para la protección de los datos en ambientes virtualizados, lo que impone condiciones en materia de selección del proveedor del servicio.
El proveedor del servicio de nube debe procesar la información conforme con las normas equivalentes o superiores a las aplicables en Colombia, y tiene que tomar “las medidas necesarias para garantizar que, en el evento de toma de posesión, la SFC, Fogafín, Fogacoop, o quienes estas designen, puedan acceder a la información y a la administración de los sistemas de información que operan en la nube”132.
Al compaginar todo este asunto con el área de cumplimiento, se puede decir que la Delegatura de Protección de Datos de la Superintendencia de Industria y Comercio no ha establecido la obligatoriedad de la figura del oficial de protección de datos personales, pero el artículo 23 del Decreto 1377 de 2013 sí establece que todo responsable o encargado debe designar una persona o área encargada de dar trámite a las solicitudes de los titulares para el ejercicio de sus derechos. La designación puede coincidir con la del oficial de cumplimiento, pero no puede perderse de vista que el programa de cumplimiento ético es sustancialmente diferente de la estructuración, diseño y administración del programa de protección de datos personales.
Además de lo expuesto hasta el momento, vale la pena resaltar que la normatividad en Colombia se ajusta a los principios establecidos en el Reglamento General de Protección de Datos Europeos, a través de la legislación nacional en la materia y los pronunciamientos de la Superintendencia de Industria y Comercio, ya que si bien la Ley 1581 de 2015 no contempló expresamente el procedimiento automatizado de datos personales, sí definió principios que son aplicables a cualquier clase de tratamiento, incluido el resultante respecto del uso de herramientas basadas en inteligencia artificial133.
Al respecto, la Corte Constitucional hizo referencia a la existencia de la administración automatizada de datos personales financieros, por lo que se debe respetar la cláusula general de libertad para que el titular pueda controlar la información que de sí mismo ha sido recopilada por una central de información, a fin de evitar el abuso del poder informático en las entidades financieras134. Igualmente, agregó sobre el régimen general de datos personales, que el sujeto concernido mantiene en todo momento las facultades de conocimiento, actualización y rectificación de la información personal contenida en las bases de datos135.
Se puede concluir, entonces, que la protección de datos personales es uno de los pilares más importantes en el marco del cumplimiento normativo de una start-up, al tratarse de un derecho constitucional desarrollado ampliamente por la ley y la jurisprudencia. El oficial de protección de datos personales o quien haga sus veces, debe diferenciar entre el régimen general de protección de datos personales de la Ley 1581 de 2012 y el habeas data financiero de la Ley 1266 de 2008, para diseñar una política de tratamiento de datos. La start-up debe diseñar también un manual interno de políticas y procedimientos que demuestre a la autoridad de datos personales las medidas implantadas para mitigar los riesgos.
Hay reglas específicas para el tratamiento de información financiera, ya que la información financiera recolectada o suministrada puede ser entregada a otros actores relevantes del sector, pero el titular tiene derecho a conocer con quienes se han compartido sus datos. En cuanto al reporte negativo sobre el incumplimiento de las obligaciones, la ley indica que el término previsto para reportes negativos es de cuatro años, contados a partir del pago de la obligación vencida; para el caso de reportes positivos se mantiene de forma indefinida.
La jurisprudencia señala un carácter diferencial respecto al ejercicio de protección de datos personales de carácter general y los de carácter financiero, por lo que se debe respetar la cláusula general de libertad para que los titulares controlen la información que sobre sí mismo reposa en una central de información.