Dictamen N° 9/020 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 9 de junio de 2020.
VISTO: La consulta presentada por EQUIFAX URUGUAY S.A. respecto a la información obtenida de la Central de Riesgos Crediticios del BANCO CENTRAL DEL URUGUAY.
CONSIDERANDO: I. Que resultan aplicables a la información mencionada las leyes N° 16.696 de 30 de marzo de 1995 en la redacción dada por la Ley N° 18.401 de 24 de octubre de 2008, N° 17.948, de 27 de diciembre de 2005, N° 18.331, de 11 de agosto de 2008, N° 18.812, de 23 de setiembre de 2011, N° 18.996, de 7 de noviembre de 2012; los Decretos N° 414/009, de 31 de agosto de 2009 y 308/014, de 21 de octubre de 2014, y la Circular BCU N° 2.317 (en las condiciones del Dictamen N° 2018/0448 de la Asesoría Jurídica del BCU). Son aplicables, adicionalmente, los artículos 37 a 40 de la Ley N° 19.670, de 15 de octubre de 2018, reglamentados por el decreto 64/020, de 17 de febrero de 2020.
II. Que el BCU se encuentra facultado a publicar información de toda persona física o jurídica “que opere con instituciones de intermediación financiera, concerniente a las operaciones bancarias activas” (Artículo 2° de la Ley N° 17.948). Conforme el artículo 3° puede a divulgar esa información y la incluida en la Central de Riesgos Crediticios y otras bases, y el artículo 4° brinda un amplio abanico de medios de publicación, incluyendo internet. Se trata, en definitiva, de información en fuentes públicas de información en el sentido de los artículos 9° y 9° bis de la Ley N° 18.331.
III. Que corresponde distinguir el tratamiento que realiza el BCU de la información recibida de operadores financieros (Ley N° 18.821 artículo 3° y literales B y C del artículo 9° por remisión del artículo 17 literal B de la Ley N° 18.331), de la comunicación de datos a terceros (excepcionada del consentimiento conforme la Ley N° 17.948 y el artículo 9° literal A, por remisión del artículo 17 de la Ley N° 18.331).
IV. Que el BCU ha establecido criterios para acreditar el cumplimiento de la Ley de protección de datos Personales por Resolución de Directorio N° D-333-2018 para todos aquellos sujetos no regulados por el Banco.
V. Que el empleo de la información obtenida debe realizarse en todos los casos de conformidad con la Ley N° 18.331, considerando además las medidas de responsabilidad proactiva establecidas en el decreto N° 64/020, y en particular el artículo 17 de la ley indicada.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
1°. Indicar que la comunicación de datos de la Central de Riesgos Crediticios se encuentra habilitada, y tanto ella como el tratamiento posterior deberá ajustarse a la Ley N° 18.331, de 11 de agosto de 2008, lo que implica el cumplimiento por parte del emisor y destinatario de la información de todas las obligaciones impuestas por la citada Ley
2° La consultante en función de su actividad (incluida en el artículo 22 de la Ley N° 18.331), podrá emplear la información obtenida para la provisión de informes de solvencia comercial y crediticia, cumpliendo con todas las disposiciones de la Ley citada, garantizando en forma especial –pero no excluyente- lo dispuesto por los artículos 13 y 16.
3° Sugerir al BANCO CENTRAL DEL URUGUAY la actualización de la Resolución de Directorio N° D-333-2018, exigiendo el cumplimiento de los requisitos de la Ley N° 18.331 a todos los sujetos regulados por éste, incluyendo las nuevas medidas en materia de responsabilidad proactiva y designación de delegado de protección de datos (artículos 38 a 40 Ley N° 19.670, de 15 de octubre de 2018, y decreto N° 64/020, de 17 de febrero de 2020).
4° NOTIFÍQUESE Y PUBLÍQUESE.
Fdo; Mag. Federico Monteverde
Consejo Ejecutivo
Unidad Reguladora y de Control de Datos Personales.
Expediente: 2019-2-10-0000213