La SEDECO recibe continuamente denuncias en contra de Comercios y Empresas de Créditos por el Acceso indebido en la Base de Datos de INFORMCONF sin consentimiento de las Personas Titulares de los Datos, en todos los casos la SEDECO solo sanciona a la Empresa que accedió a los Datos y deja impune a EQUIFAX – INFORMCONF siendo este quien ha permitido el acceso sin ningún control, a pesar de que el Art. 6 de la Ley 6534/2020 claramente impone para ambas empresas la obligación de contar y controlar que se tenga la debida autorización del Titular de Datos y solo en esas condiciones debería dar acceso a los Datos Personales, pero resulta que EQUIFAX burla esta obligación legal por medio de clausulas en contratos privados que acuerdan con sus clientes, este tipo de acuerdos privados no tiene validez para ceder o transferir obligaciones legales ante Autoridades Públicas como la SEDECO, consecuentemente en todas las denuncias EQUIFAX también debería ser sancionado subsidiariamente por obligaciones legales omitidas.

La normativa Legal de la Ley Nº 6534/2020 “DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS”, es la que regula tanto el tratamiento de informaciones crediticias como así también la funciones y obligaciones de las empresas encargadas de ellas como EQUIFAX – INFORMCONFllamados por dicha ley como “Sociedades o Buró de Información Crediticia” y sus clientes los cuales serían los Comercios y Entidades que otorgan Créditos, denominados por dicha ley como “Usuario de información crediticia” (Art. 3 inc. “K” y “L”). Por su parte la Institución Pública que autoriza el funcionamiento de un Buró es el Banco Central del Paraguay y este ha regulado la Ley N° 6534/2020 por medio de la Resolución BCP N° 3 Acta N° 8 de fecha 21/02/2023.

En cuanto a la SEDECO es la Institución Pública encargada subsidiariamente junto con el BCP para recibir denuncias y sancionar infracciones o faltas en violación de la Ley Nº 6534/2020 “DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS” (Art. 20 inc. “B”) de las cuales mencionamos principalmente las indicadas en los numerales; 1. Velar por el cumplimiento de las disposiciones de la presente Ley, y demás normas que rijan y tengan relación en materia de protección al consumidor y el usuario. 2 Difundir los derechos y deberes como también realizar acciones de información y educacional consumidor. (…) 5. Recibir y dar curso a las inquietudes, reclamos y denuncias de los consumidores, para canalizarlas a través del Banco Central del Paraguay. 8. Mantener un Registro Nacional de Denuncias, Inspecciones y de Infractores, a los efectos estadísticos y para detectar posibles casos de reincidencia por parte de los proveedores, en coordinación con el Banco Central del Paraguay. (…) 13. Las demás atribuciones que compete a la Secretaría de Defensa del Consumidor y el Usuario(SEDECO) por su ley orgánica y que aplicarían al presente ámbito.

LAS DENUNCIAS QUE RECIBE LA SEDECO

La SEDECO recibe constantes denuncias por parte de Titulares de Datos (persona física afectada) por Accesos indebidos a su información crediticia realizada por distintos comercios y empresas, sin que estos hayan obtenido ningún tipo de consentimiento firmado por el Titular, este hecho es considerado una falta grave en la Ley 6534/20 en su Art. 6 y 21 (inc. “q”, “w”) y las obligaciones de control es para ambas empresas tanto para los Buros como sus Ususarios, pero lo que la SEDECO realiza es sancionar nada más a los Comercios y Empresas (Usuarios) y deja impune a Equifax (Buró), con ello el hecho se vuelve a repetir una y otra vez con distintas otras empresas que vuelven a cometer las mismas faltas pero en todas siempre el Buró sale impune.

Denuncias por Acceso Indebido Sin Consentimiento del Titular de Datos

Las denuncias obrantes en las Resoluciones de la SEDECO N° 701/2024; 126/2024 y 352/2024 publicadas en la Web (www.sedeco.gov.py) en su sección “Registro de Infractores”, son solo algunos de los varios otros que refieren sobre hechos como cuando el Titular ni siquiera es cliente del Comercio pero por algunas llamativas y desconocidas circunstancias realizan revisiones de sus Datos Crediticios sin consentimiento alguno, en otros casos ya siendo cliente pero sin haber solicitado la compra de ningún nuevo producto igualmente la Empresa accede a revisar sus Datos Crediticios sin que tenga una nueva autorización para hacerlo ya que la Ley N° 6534/20 Art. 6 exige expresamente el consentimiento para cada acceso específico, o sea el Comercio no puede acceder en varias ocasiones en distintas fechas valiéndose de una sola y antigua autorización, estos accesos ilegales se prestan a todo tipo de especulaciones y lo grave sigue siendo la manera impune en que el BURÓ se libra de toda responsabilidad conforme se observa en dichas resoluciones.

En el Caso de la Resolución SEDECO N° 352/2024, resulta un hecho muy grave donde el comercio remite a INFORMCONF la inclusión del Titular como moroso sin consentimiento para tal efecto, ni mucho menos que este sea su cliente o que haya adquirido algún producto de la Casa Comercial, o sea el Titular de Datos nunca compro nada del Comercio y este lo incluye en INFORMCONF como moroso, en sus descargo el Comercio trata de justificarse reconociendo los hechos a atribuyéndolo en un supuesto “Error Involuntario”.

En esta causa el BURÓ fue sancionado por no haber borrado toda mala indicación del perfil o registro del Titular ya que aún figuraba como mal pagador con una determinada calificación de FAJA “L” para ello la SEDECO le impuso la infracción de los Art. 7 y 17 (inc. “d”, “e” y “h”) de la Ley 6534/20, pero nuevamente no se le ha sancionado por haber permitido la inscripción del Titular como Morosa siendo que no existía consentimiento alguno conforme a las exigencias de la Ley 6534/20 que en su Art. 6 obliga a contar con autorización del Titular tanto para consultar Datos o para Inscribirlo en caso de Morosidad, en su Art. 21 inc. “q” tipífica como Infracción el hecho de recolectar, almacenar y transmitir datos sin el consentimiento del titular, en su inc. “w” también refiere como infracción la vulneración del deber de confidencialidad el cual es violado por los Burós ya que otorgan el acceso a los Datos personales sin ningún control, atendiendo que los Comercios acceden a estos datos de forma directa sin tener que presentar ningún documento de autorización, siendo esta la principal falta cometida y si el BURÓ hubiera respetado dichos artículos ni siquiera se le hubiera inscrito al titular como Moroso o sea la irregularidad se hubiera detectado a tiempo ya que no había consentimiento, ni siquiera hubo transacción comercial, el afectado no era cliente de la empresa.

Llamativamente la SEDECO pasa por alto las transgresiones de los Art. 6 y 21 inc. “q” y “w”, haciendo parecer como si el Titular realmente hubiera dado su consentimiento y que solo se tratara de unos errores en la carga de datos, aquí es donde se denota la clara y manifiesta complacencia de la SEDECO ya que la propia Titular en su denuncia había manifestado que nunca fue cliente de la empresa denunciada, por su parte la SEDECO solo le impone al Denunciado la medida correctiva de cumplir cabalmente el contrato de prestación de servicio a fin de “…verificar previamente los datos relacionados con la Mora, a fin de evitar errores en la carga de datos…”, esto consiste en un claro encubrimiento de las graves faltas cometidas por el BURÓ ya que es considerado como falta grave el hecho de gestionar, almacenar, distribuir datos crediticios e inscribir como moroso al Titular sin que este haya consentido o permitido el tratamiento de sus Datos, como se puede observar en otras resoluciones que se indican más adelante las Empresas Usuarios de los BUROS que fueron sancionados por acceso indebido estos fueron multados por 500 jornales (45 millones Aprox.) y sin embargo con las omisiones y encubrimientos de la SEDECO en la Res. N° 352/2024 este solo fue sancionado con 150 jornales (13 Millones Aprox.). Por lo tanto la SEDECO en su Res. N° 352/2024 ha maquillado los hechos para atenuar y amenorizar la multa, pese de haberse tratado de un hecho sumamente grave.

Denuncias por Acceso Indebido por Cuestiones Laborales

Las denuncias obrantes en las Resoluciones de la SEDECO N° 929/21; 162/23 y 122/24 publicadas en la Web (www.sedeco.gov.py) en su sección “Registro de Infractores”, también son solo algunos de los varios otros que refieren sobre hechos como cuando el Titular solo se ha presentado para un puesto laboral y la Empresa sin ningún aviso al Titular realiza el Acceso Indebido a la Información Crediticia, aparte de no contar con autorización la Ley 6534/20 en su Art. 15 también prohíbe totalmente que el Acceso a Datos sea una Condicionante para acceder a un puesto laboral o despido, tampoco para condicionar la atención médica o acceso a la medicina prepaga entre otros. Pese a estas disposiciones legales esta practica es muy común y la SEDECO sigue recibiendo constantemente Denuncias relacionadas al Acceso Indebido sin autorización a Datos Crediticios por cuestiones Laborales, de aquí surge la inmensa necesidad de que el BURÓ sea sancionado por permitir el Acceso a los Datos sin que el Usuario haya presentado su debida autorización.

¿COMO HACEN LOS BUROS DE INFORMACIÓN CREDITICIA PARA BURLAR LA LEY N° 6534/2020?

En la Res. SEDECO N° 352/2024, se ha evidenciado partes de las clausulas establecidas de la Solicitud de Servicio de Inclusión de Mora suscrito entre el BURÓ y el USUARIO DE INFORMACIÓN CREDITICIA, en la cual expresamente indica en su nral. 3.1 “…El cliente declara contar con la Autorización Expresa, Escrita del titular de Dato…”, con estas expresiones claramente se concluye que el BURÓ no exige la presentación o anexación de una copia de la Autorización del Titular de los Datos, sino que solo es una manifestación declaratoria, su cliente solo “Declara Tener la Autorización del Titular” pero no la presenta, en el otro numeral N° 5 indica “…Inclusión del Dato: la Empresa se compromete a recibir, procesar, consolidar, almacenar y mantener actualizados los datos remitidos por el cliente…”, con estas expresiones se constata que los datos que almacena son las proveídas por sus clientes o sea no fueron generadas por el BURÓ, en su Nral. 6 indica “…Verificación de Mora: (…) la Empresa verificará previamente los datos relacionados con la Mora, a fin de evitar errores en la carga de datos… ”, con estas expresiones se constata que el BURÓ es consciente de su obligación de controlar la veracidad de los datos remitidos por sus clientes, pero resulta que nunca lo hace conforme se constata en las distintas otras causas investigadas por la SEDECO.

Por lo tanto los BURÓS de Información Crediticia tratan de evadir sus obligaciones legales a través de clausulas de contratos o solicitudes donde sus clientes tan solo se comprometen o “DECLARAN TENER AUTORIZACIÓN DEL TITULAR DE DATOS”, de modo que en todos los casos en que una empresa ha accedido a realizar consultas o inscripción de morosos de manera indebida sin autorización, lo han hecho “DANDO UNA DECLARACION FALSA”, pese ante tantas denuncias y sanciones impartidas a estos Usuarios por parte de la SEDECO, de todas formas los BURÓS no ejercen ningún tipo de acciones por incumplimiento de contrato en contra de sus clientes, por lo que esta falta es consentida por los BURÓS y solo les sirve para tratar de evadir responsabilidades ante una eventual denuncia, que finalmente también es complacida o tolerada por las Autoridades Públicas como el B.C.P. y la SEDECO quienes en todos los casos dejan impune a los BUROS en total detrimento de las disposiciones legales de los Art. 6 y 21 inc. “q” y “w” de la Ley N° 6534/2020 y sancionan solo al Usuario de Información Crediticia.

¿POR QUÉ LOS BURÓS DE INFORMACION CREDITICIA NO CONTROLAN A SUS CLIENTES PARA EL ACCESO A SUS BASES DE DATOS?

Ninguna excusa puede ser valido para no Cumplir las Disposiciones establecidas en una Ley (6534/20), pero tratándose de empresas privadas que solo piensan en conseguir el mayor lucro y beneficio económico, los motivos de esta falta de control a los Usuarios de Información Crediticia podrían ser diversas entre ellas se mencionan los siguientes;

a)- FALTA DE PERSONAL: Los Burós cuentan con una amplia cantidad de clientes (usuarios de información crediticia), controlar el acceso de cada uno de ellos conllevaría igualmente en una gran cantidad de funcionarios que deben estar ahí para corroborar primeramente que cuenten con las documentaciones pertinentes para luego darles el acceso, esto lo convertiría más bien en un proceso administrativo antes que una consulta online de base de datos, también reduciría la practicidad y la cantidad de consultas diarias, reduciendo considerablemente la cantidad de clientes y una gran perdida para la empresa en pagos de salarios de funcionarios.

b)- FALTA DE ADAPTACIÓN DE SUS SITEMAS INFORMATICOS; Bien que las empresas podrían tener formularios electrónicos en las que los Usuarios puedan insertar copias digitalizadas de las autorizaciones otorgadas por Titular de Datos y solo cumpliendo este requisito el sistema les habilite el Acceso, esto de hecho ocurre en varias plataformas donde si no cumples con lo requerido no tienes acceso, esto sería una forma eficiente y automática de control. Pero es bien sabido que mantener un gran flujo de datos almacenados en un Servidor requiere equipos sofisticados, costosos y de alta capacidad de almacenamiento, de la misma forma en cuanto al alojamiento en un Hosting en la Web (Nube) cuanto más grande el caudal de información más caro su almacenamiento y/o el Hosting, de modo que esta opción nuevamente conllevaría mayores perdidas económicas a los BURÓS.

c)- COMPLACENCIA DE LAS AUTORIDADES PÚBLICAS; Esta parece ser la más viable entre todos los motivos de la falta de control a los Usuarios de Información Crediticia, ya que las Empresas Privadas tienden al mayor lucro económico posible y si para ello hay que violar las leyes estos no tendrían escrúpulos para hacerlo, más aún contando con la Complacencia de las Autoridades como el Banco Central quienes les otorgan el permiso para operar a sabiendas de que no ejercen el control a sus clientes ni respetan la Ley 6534/20, igualmente por su parte la SEDECO omite en todos los casos sancionarles por el incumplimiento de los Art. 6 y 21 inc. “q” y “w” de dicha ley, ambas instituciones públicas pudieron haberle ordenado a los BURÓ a que adecúen sus sistemas o impongan métodos factibles para el control de sus obligaciones legales, en consecuencia los BURÓS preferirían ganar menos, aumentar los funcionarios y/o adecuar sus sistemas o Base de Datos antes que cerrar la empresa.

En caso de que los Actuales BURÓS de Información Crediticia no quieran dar cumplimiento a sus obligaciones legales, entonces el B.C.P. debe revocar las licencias de estos y darle oportunidad a otras empresas que estén dispuestos al cumplimiento de las Leyes, pero en ningún caso debe ser tolerado la complacencia de Autoridades Públicas como lo vienen haciendo la SEDECO y el B.C.P. ante las alevosas violaciones y omisiones a disposiciones legales emanadas de la Ley N° 6534/2020 “DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS”.

Ante estos hechos surge la importancia de que el BURÓ cumpla sus obligaciones emanadas del Art. 6 y 21 inc. “q” y “w” de la Ley 6534/20, si hubieran cumplido estas obligaciones de control y no dar acceso de los Datos a Empresas que no cuentan con autorización del Titular, con esto el propio BURÓ estaría asegurando la confidencialidad de los Datos tal como lo exige la Ley, de modo que ninguno de sus Clientes podría tener acceso si no cuentan con autorización, con ello el BURÓ sería la primera barrera de control y las denuncias ante la SEDECO quedaría solo como para casos extremos o excepcionales.

¿QUE DICE LA CONSTITUCION NACIONAL PARAGUAYA?

La Constitución Nacional claramente estipula que el Interés Particular no puede estar encima del Interés General, al igual que indica que todos los habitantes estamos obligados a respetar las Leyes, en este sentido los Burós no pueden esquivarse de responsabilidades de incumplimiento de la Ley 6534/20 ya que son los titulares obligados en primer orden atendiendo que son estos los que cuentan con autorización del B.C.P. para operar comercialmente dentro las limitaciones impuestas por la Ley 6534, estas obligaciones no pueden ser sedidas por el mero capricho particular o por querer ahorrarse en funcionarios o equipos informáticos, de modo a no ejercer los debidos controles ante cada acceso de sus usuarios. En este sentido los Burós tienen un interés económico que materializan con seder las responsabilidades a través de instrumentos privados, con ello se ahorran contratar funcionarios o adquirir equipos informáticos más sofisticados y costosos.

Por su parte la Ley N° 6534/2020 “DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS”, es de puro “INTERÉS PÚBLICO GENERAL”, su incumplimiento afecta a toda una población que se vé vulnerado ante la mala gestión de sus datos crediticios, en este aspecto los Burós están obligados a Respetar las Leyes como indica la Constitución Nacional Art. 127, así también en su Art. 128 claramente indica que el Interés General es superior al Interés Particular, finalmente en su Art. 137 estipula la Supremacía Constitucional y la Prelación de las Normativas poniendo la constitución en primer lugar las leyes en segundo, sus normativas dictadas por autoridades públicas como tercero y por últimos estarían los instrumentos privados, de modo que los Burós no pueden tratar de evadir responsabilidades por haber firmado contratos de sesión de responsabilidad con sus usuarios.

La falta de sanción a los Buró de informaciones Crediticia hace que los datos de los Titulares estén disponibles a todos sus Clientes con tan solo Firmar un Contrato Privado, una vez formalizado este acuerdo el Comercio o Empresa accede a todos los registros sin ninguna excepción y ningún control, no necesitan presentar al Buró ningún consentimiento firmado por el Titular, bajo la excusa supuestamente de que el Usuario (cliente del Buró) sería el único responsable por las transgresiones a la Ley 6534/20, afectando seriamente un interés general que esta siendo tolerado y permitido por la SEDECO.