La protección de datos personales de los clientes bancarios
Antecedentes
La Constitución Política de Panamá reconoce como una garantía fundamental de toda persona el derecho a acceder a la información personal contenida en base de datos o registros públicos y privados, así como requerir su rectificación, supresión y protección. A su vez, dispone que la información personal solo podrá ser recogida con fines específicos, mediante consentimiento de su titular o por disposición de autoridad competente con fundamento legal.
En desarrollo de dicho precepto constitucional, se promulgó la Ley n°. 81 de 26 de marzo de 2019, sobre protección de datos personales, que establece los principios generales del régimen de protección de datos, los derechos irrenunciables de los titulares de los datos personales, las infracciones y sanciones por violaciones a sus disposiciones.
Posteriormente se dicto el Decreto Ejecutivo n°. 296 de 28 de mayo de 2021, reglamentando la Ley n°. 81 de 2019. Mediante este decreto se instauró el procedimiento aplicable en los casos de vulneraciones a las normas de protección de datos personales, determinando la publicidad de las sanciones impuestas, precisando los criterios para la graduación de las sanciones y fijando los plazos para la prescripción de las acciones por infracciones y la prescripción para las sanciones.
Acuerdo aplicable a las entidades bancarias
Transcurrido casi un año de la vigencia de la Ley n°. 81 de 2019, la Superintendencia de Bancos promulgo el Acuerdo n°. 01-2022, del 24 de febrero de 2022, que establece lineamientos especiales para la protección de datos personales tratados por las entidades bancarias. El objetivo de dicho acuerdo es fijar los protocolos, procesos, procedimientos, mecanismos y reglas relativas al tratamiento, transferencia y custodia de las bases de datos personales y los lineamientos para el ejercicio de los derechos de protección de datos personales aplicable a los bancos en Panamá.
Principios de protección
Los bancos en la prestación de los servicios o productos bancarios y en general en las operaciones bancarias deberán aplicar los principios generales de protección de datos personales que comprende: el principio de lealtad, de finalidad, de proporcionalidad, de veracidad, de exactitud, de seguridad de los datos, de transparencia, de confiabilidad y de licitud.
Al respecto del principio de licitud del consentimiento se indica que es indispensable la obtención por parte del banco del consentimiento libre, expreso, preciso, previo informado e inequívoca del titular de los datos personales para el tratamiento y custodia de datos personales.
Las entidades bancarias deberán tomar en consideración respecto al consentimiento por parte del cliente los siguientes aspectos:
Libre: No debe mediar error, mala fe, violencia, intimidación, dolo o cualquier condición que pueda afectar o viciar la voluntad del titular de los datos.
Especifico: El consentimiento se debe referir a una o varias finalidades determinadas y definidas que justifiquen el tratamiento de los datos.
Informado: Se debe mantener al cliente bancario informado por cualquier medio, previo al tratamiento de los datos personales. Si los datos no fueran obtenidos directamente del cliente, titular de los datos, se deberá informar al mismo, en la primera comunicación.
Inequívoco: El consentimiento del cliente debe otorgarse por cualquier medio o mediante conductas inequívocas del cliente de forma que pueda demostrarse sin dudas su otorgamiento y que permita su consulta posterior.
Derechos de protección
Los bancos deberán desarrollar y ofrecer a los clientes procedimientos y mecanismos sencillos, accesibles y gratuitos que permitan el pleno ejercicio de los derechos de protección de sus datos. Igualmente, tendrán que asegurarse de atender las solicitudes de los clientes en el plazo correspondiente.
Se reconocen como derechos “ARCO” como básicos e irrenunciables de los titulares de los datos personales, estos derechos comprenden:
Derecho de acceso: el cliente tiene derecho a obtener del banco la confirmación de si están o no tratando datos personales que le conciernen y conocer, así como verificar su correcto tratamiento.
Derecho de rectificación: el cliente tiene derecho a solicitar y obtener del banco responsable del tratamiento de sus datos personales la corrección de los datos que se encuentren incluidos en sus bases de datos, cuando los datos sean incorrectos, irrelevantes, incompletos, desfasados, inexactos o falsos.
Derecho de cancelación: el cliente tiene derecho a solicitar y obtener del banco responsable del tratamiento de sus datos personales la supresión o eliminación de los datos que se encuentren incluidos en sus bases de datos, cuando los datos sean incorrectos, irrelevantes, incompletos, desfasados, inexactos o falsos.
Derecho de oposición: el cliente tendrá derecho a oponerse o negarse a proporcionar sus datos personales o a que ciertos datos sean objeto de tratamiento, conforme a las disposiciones del régimen de protección de datos personales.
Derecho de portabilidad: el cliente tendrá derecho a obtener una copia de sus datos personales que hubiere proporcionado al banco o que sean objeto de tratamiento, en un formato estructurado, genérico, de uso común y lectura mecánica, para ser utilizado para el mismo o para que el banco los trasmita a otros responsables del tratamiento de los datos.
Es oportuno destacar que el principio de protección de licitud del consentimiento y los derechos ARCO tienen excepciones en su aplicabilidad determinadas por la Ley n°. 81 de 2019, el Decreto n°. 285 de 2021 y el Acuerdo n°. 01-2022 de la Superintendencia de Bancos.
Reclamaciones
El titular de datos personales que considere vulnerado el ejercicio de los derechos ARCO podrá presentar ante el banco responsable del tratamiento de los datos la solicitud, reclamación o queja, que serán atendidas a través del Oficial de Protección de datos o el ejecutivo designado por el banco.
Si el banco no atiende la solicitud o el cliente se encuentra disconforme con la respuesta dada por el banco, el cliente puede interponer un reclamo ante la Superintendencia de Bancos, en el plazo de 30 días.
Sanciones
La Superintendencia de Bancos en los casos de incumplimiento de las normas de protección de datos personales por parte de los bancos aplicara las sanciones establecidas en la Ley n°. 81 de 2019, las cuales oscilan entre los mil (B/.1,000.00) y diez mil (B/ 10,000.00) balboas, según la gravedad de la falta.
Conclusiones
Según las estadísticas publicadas por la Autoridad Nacional de Transparencia y Acceso a la Información, durante el año 2021, esa entidad atendió 31 quejas por motivo de incumplimientos a los derechos de protección de datos personales, y en los dos primeros meses del año 2022 han recibido 6.
A un año de la vigencia del régimen legal de protección de datos personales en Panamá se empiezan a realizar reglamentaciones especificas por sectores económicos lo que fortaleza las garantías a los titulares de datos personales.
Lyda Angélica Rodríguez Baso.
Abogada, Socia Fundadora.
Solís & Rodríguez Abogados.
www.solisrodriguez.com.pa
La entrada La protección de datos personales de los clientes bancarios se publicó primero en ElCapitalFinanciero.com – Noticias Financieras de Panamá.