Informe Nº 42/019, de 18 de febrero de 2019
Se resuelve una denuncia referida a la utilización de datos diferentes a los que él había proporcionado.
Montevideo, 18 de febrero de 2019.
Expediente N° 2018-2-10-0000772.
Denuncia Sr. AA contra Tienda Inglesa y Banco Scotiabank por utilización de datos sin consentimiento
Informe jurídico Nº 42
I. Antecedentes
Con fecha 20 de diciembre de 2018 presenta ante la Unidad Reguladora y de Control de Datos Personales (URCDP), el Sr. AA una denuncia contra Tienda Inglesa y Banco Scotiabank Uruguay (en adelante (Scotiabank), por utilización de datos sin consentimiento.
El denunciante solicita se inicien las actuaciones correspondientes por la Unidad. Así se procede a dar vista de estos obrados a través de telegrama colacionado a los denunciados, quienes comparecen a tomar la vista respectiva y a presentar sus aclaraciones.
II. Argumentos de las partes
El denunciante manifiesta que obtuvo una tarjeta de débito a través de Tienda Inglesa, declarando su domicilio real. Cuando le llega la tarjeta, la recibe y luego de unos días se da cuenta que en la hoja que trae la tarjeta figura su nombre y domicilio que nunca dio al Scotiabank (banco que emite la tarjeta), ni a ningún de los bancos anteriores que derivaron en este.
Ejerce su derecho de acceso ante el Scotiabank y no le han contestado habiendo pasado el tiempo legal (adjunta documentación, fojas 1 a 5).
Los denunciados son Tienda Inglesa y Scotiabank Uruguay S.A., los que tomaron vista y se notificaron.
La primera se presenta y manifiesta que: el denunciante indicó como su domicilio la calle XX 1111 apto 111, lo que fue verificado con la constancia de domicilio presentada por este, dato que fue transmitido al banco para la realización de la tarjeta de débito, y no la dirección que surge al momento de ser esta entregada en el domicilio del denunciante (foja 33).
El segundo aclara que: llega a su conocimiento esta denuncia al momento de ser notificados, momento en el que comienzan a verificar los hechos mencionados en ella. De esa verificación surge que:
a) Una vez verificados los hechos surge que el domicilio que el denunciante indica no haber proporcionado surge de la base de datos de clientes de la institución desde el año 2007, ya que fue proporcionado por quién era su esposa en ese momento. El sistema del banco toma los datos registrados, en este caso el domicilio de la calle XXX 1111. Ese dato le fue proporcionado al banco en 2007 por su cónyuge. Actualmente se procedió a la actualización del dato (foja 16).
b) En cuanto a la entrega en tiempo y forma de la información solicitada por el denunciante el plazo fue cumplido efectivamente desde el banco pero existió una demora interna del procedimiento de envío del correo electrónico, el que fue enviado el lunes y no el martes como debía ser (foja 17).
III. Análisis de la denuncia
En primer término se entiende que Tienda Inglesa ha comunicado los datos en concordancia con lo informado por el denunciante. Su domicilio real, de acuerdo con sus declaraciones en el momento de estos obrados es la dirección proporcionada por él (XXXX 1111 apto 111) lo que además queda de manifiesto en la documentación presentada por Scotiabank (foja 21).
En segundo lugar Scotiabank tiene una base de datos de clientes con información del año 2007, año en el que la Ley de Protección de Datos no había sido promulgada todavía. A partir del 11 de agosto de 2008 fue promulgada la Ley N° 18.331 de Protección de Datos y Acción de Habeas Data, por lo que comienza a regir para todas las bases de datos que contienen datos personales, como la base de clientes del banco. Base de datos utilizada para verificar si una persona es cliente o no del banco.
En este caso el denunciante no es cliente del banco sino que indirectamente se encuentra su nombre en la base, porque en el año 2007 su cónyuge en ese momento lo declaró como tal.
Esta información forma parte de los datos solicitados a su cónyuge en el momento que esta opera con el banco (cónyuge, domicilio XXX 111), no para que sea utilizada para otra persona por más que en ese entonces fuera su cónyuge. Los datos personales son información de cada persona (artículo 4° de la Ley N° 18.331), actuando para cada uno en forma independiente no en conjunto, por lo que no se debe dar por entendido que los datos contenidos en la base de datos, como en este caso, se pueden utilizar para otra persona, aunque sea su cónyuge, como sucedió según lo que surge de los dichos del propio banco (fojas 16 y 17).
En cuanto al incumplimiento del plazo mencionado en el artículo 14, es necesario que se adecuen los tiempos para que los correos salgan en tiempo y forma y no verse perjudicados.
En relación con lo mencionado anteriormente, y de acuerdo con las normas de protección de datos personales, se sugiere al Consejo Ejecutivo de la Unidad, previa vista del artículo 75 del Decreto 500/091:
Scotiabank Uruguay S.A.: a) se sancione por no cumplir con los principios de la Ley al utilizar datos de personas que no son las que realmente solicitan sus servicios, b) se recomiende se ajusten los tiempos de envíos de los correos electrónicos para no incumplir con los plazos establecidos por la Ley (artículo 14) y verse perjudicado.
El archivo de estos obrados para Tienda Inglesa que actuó conforme a derecho.
Dra. Beatriz Rodríguez
Derechos Ciudadanos