Unidad Reguladora y de Control de Datos Personales

Resolución Nº 28/019, de 28 de mayo de 2019

Se resuelve una denuncia contra un banco de plaza por errónea calificación y no actualización de  datos personales del denunciante.

 

CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

 

RESOLUCIÓN N°	28	2019
Expediente N°	2018-2-10-0000485

 

Montevideo, 28 de mayo de 2019

VISTO: La denuncia realizada por el Sr. AA contra el Banco Central del Uruguay (BCU) por errónea calificación y no actualización de sus datos personales.

RESULTANDO:

1. Que el denunciante indica que realizó una reclamación “al BCU por ser errónea la calificación al 31/jul/2018 a la Central de Riesgos por parte del Banco Santander, Banco Itaú, Scotiabank y ANDA (8/ago./2018)”, habiéndose generado el error en lo informado por el BROU a junio/2018. Se le habría indicado además en BCU que debía iniciar la reclamación en cada uno de los bancos.
2. Que el 13 de agosto de 2018 informó al BCU que los bancos ya habían remitido la información, obteniendo como respuesta que habían recibido su denuncia, pese a lo cual habrían transcurrido 10 días hábiles sin que se efectuara la corrección.
3. Que aportó las respuestas recibidas de las empresas en la que se le indica que “tardarían dos o tres meses por falta de personal” en modificar la calificación errónea, lo que ocurrió el 20 de setiembre de 2018 (fs. 34).

CONSIDERANDO:

1. Que conforme al artículo 4° literal K) de la Ley N° 18.331, de 11 de agosto de 2008 (LPDP) “Responsable de la base de datos o del tratamiento: persona física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento”. En este sentido, corresponde señalar que si bien el BCU “administra” la Central de Riesgos Crediticios (CRC), encuadra en la figura de responsable antes reseñada pues decide sobre la finalidad, contenido y uso del tratamiento.
2. Que como consecuencia de lo expresado en el Considerando anterior, no se comparte la interpretación realizada a fojas 49 por el BCU cuando expresa “que su rol no se adapta al concepto de “responsable” de la base de datos, en tanto, la ley atribuye la responsabilidad sobre la veracidad y actualización de los datos únicamente a las entidades de intermediación financiera que los proporcionan”.
3. Que corresponde tener presente el artículo 1° de la Ley N° 18.812, de 23 de setiembre de 2011: “la Central de Riesgos Crediticios que administra el Banco Central del Uruguay está regulada por la Ley N° 18.331, de 11 de agosto de 2008, con las modificaciones y precisiones establecidas en los artículos siguientes”.
4. Que la Ley N° 18.331 se aplica en especial respecto de los plazos relativos a la rectificación o actualización de la información una vez recibida la información corregida de parte de las empresas, la que conforme con la citada norma debe efectuarse en 5 días hábiles, sin prórroga de ningún tipo.
5. Que el artículo 1° de la Ley N° 18.812 establece que el BCU tiene la competencia exclusiva de instrumentar y poner en funcionamiento la base de datos de la CRC. La comunicación N° 021/2012 de 24 de enero de 2012, contiene las instrucciones de carácter general que deberán seguir las instituciones de intermediación financiera. En este sentido, es recomendable adoptar todas las medidas necesarias para que los procesos internos, una vez ocurrido un reclamo/denuncia que finalice con la constatación de un error, se proceda con la mayor celeridad posible, para dar cumplimiento a los plazos legales y evitar generar un daño al titular de los datos personales.
6. Que la falta de adopción de medidas tendientes a garantizar la seguridad y confidencialidad de los datos personales como en el caso, se constituye en una vulneración de los 4° literal K), 5°, 10, 12, 15 y 22 de la Ley N° 18.331, tomando en cuenta el carácter de responsable de la base de datos del BCU.
7. Que en lo que respecta a las restantes obligaciones en el marco del artículo 12 de la Ley N° 18.331, de 11 de agosto de 2008, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018, corresponde por el tipo de tratamiento, la realización de una evaluación de impacto en la protección de datos personales.

ATENTO: a lo expuesto

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

RESUELVE:

1. Hacer saber al Banco Central del Uruguay que deberá adoptar medidas concretas que agilicen los procesos internos tendientes a resguardar la protección de datos personales y dar cumplimiento a lo dispuesto en el artículo 12 de la Ley N° 18.331, de 11 de agosto de 2008, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018, realizando a tales efectos una evaluación de impacto en la protección de datos, dando cuenta a esta Unidad.
2. NOTIFÍQUESE Y PUBLÍQUESE

 

FELIPE ROTONDO

URCDP