Ley No. 6534/20 de Protección de Datos Personales Crediticios

Ley No. 6534/20 de Protección de Datos Personales Crediticios

La Ley No. 6534/20 de Protección de Datos Personales Crediticios de Paraguay, conocida como Ley de Datos Crediticios, es una normativa de protección de datos que entró en vigor en octubre de 2020. A diferencia de muchas otras leyes sudamericanas de protección de datos como la Ley No. 18.331 de Uruguay y la Ley General de Protección de Datos de Brasil (LGPD), la Ley No. 6534/20 protege tanto los datos personales como los crediticios de los individuos. Para ello, la Ley No. 6534/20 establece el marco jurídico al que deben atenerse los agentes del tratamiento de datos en Paraguay cuando recojan, procesen o divulguen información personal.

¿Cuál es el alcance y la aplicación de la Ley de Datos Crediticios?

En cuanto al ámbito de aplicación personal de la Ley de Datos Crediticios, esta se refiere a “toda persona física o entidad jurídica que tenga domicilio legal u oficinas o sucursales locales en Paraguay”. Por otro lado, la Ley de Datos Crediticios no tiene jurisdicción ni aplicación extraterritorial, ya que el ámbito de aplicación de la ley se limita a Paraguay. En cuanto al ámbito de aplicación material de la ley, esta garantiza la protección de “los datos crediticios de todas las personas, independientemente de su nacionalidad, residencia o domicilio”. Además, el artículo 2 de dicha normativa refiere que “Esta Ley es de aplicación obligatoria al tratamiento de datos personales en registros públicos o privados recopilados o almacenados en el territorio nacional en sistemas de información, archivos, registros o bases de datos físicos, electrónicos o digitales a través de mecanismos manuales, automatizados o parcialmente automatizados de recolección de datos.”.

¿Cuáles son las obligaciones de los responsables y encargados del tratamiento de datos según la ley?
En virtud de la Ley de Datos Crediticios, los responsables y encargados del tratamiento de datos crediticios que operan en Paraguay están obligados a cumplir con los siguientes principios en lo que se refiere a la protección de información personal:

  • La intimidad personal y familiar, así como el respeto a la vida privada son inviolables ante la ley.
  • La conducta de una persona, siempre que no afecte al orden público establecido por la ley o a los derechos de terceros, está exenta ante toda autoridad pública en virtud de la ley.
  • La ley garantiza el derecho a la protección de la intimidad de la persona, así como su dignidad e imagen privada.
  • La ley garantiza el derecho a la información y regula el derecho constitucional conocido como habeas data, como medio de protección de datos.
  • El derecho a saber cómo se va a utilizar la información personal y con qué finalidad, al tiempo que se permite la actualización, rectificación o destrucción de dicha información si es incorrecta o afecta ilegítimamente los derechos del interesado bajo la ley.

Además de estos principios de protección de datos, los responsables y encargados del tratamiento deben cumplir otras obligaciones relacionadas con los datos crediticios. Por ejemplo, en lo que respecta a la conservación de datos, la ley de datos crediticios establece que los datos personales o crediticios de un individuo pueden conservarse en la base de datos de un responsable o encargado de datos determinado durante no más de cinco años. Además, los responsables y encargados del tratamiento de datos deben obtener el consentimiento de los interesados antes de transferir sus datos personales o crediticios a un tercero. Asimismo, se prohíbe la transferencia de los datos personales o crediticios de un individuo a otro país que no cuente con una adecuada ley de protección de datos.

Sin embargo, la Ley de Datos Crediticios no exige a los responsables y encargados del tratamiento de datos que cumplan con ciertas obligaciones que suelen encontrarse en otras políticas de privacidad de todo el mundo. Por ejemplo, la ley no exige a los responsables y encargados del tratamiento de datos que emitan notificaciones o mantengan registros sobre el procesamiento de datos, ni que realicen Evaluaciones de Impacto de la Protección de Datos (DPIA). Además, la Ley de Datos Crediticios no obliga a los responsables y encargados de datos a firmar contratos entre sí, ni les exige que realicen distinciones en el procesamiento de categorías especiales de datos personales, como es el caso de los datos relativos a condenas penales.

¿Cuáles son los derechos de los interesados en virtud de la Ley de Datos Crediticios?

La Ley de Datos Crediticios otorga a los ciudadanos paraguayos los siguientes derechos en relación con la protección de sus datos crediticios y personales y, a la vez, de su privacidad:

  • Derecho a ser informado: según la ley, los titulares de los datos mantienen el derecho a ser informados “expresa y claramente” sobre los fines para los que se utilizarán sus datos personales y crediticios.
  • Derecho de acceso: la ley establece que los interesados tienen derecho a acceder a cualquier información persona a ellos referida y que se encuentre en poder de una agencia de crédito o un responsable o encargado del tratamiento de datos.
  • Derecho de rectificación: la ley otorga a los interesados el derecho a solicitar a una agencia de crédito o a un responsable o encargado del tratamiento de datos que rectifique los datos personales o crediticios que a ellos conciernen y que resulten ser inexactos, incompletos u obtenidos ilegalmente.
  • Derecho a la supresión: de acuerdo con la ley, los interesados tienen derecho a solicitar que una agencia de crédito o un responsable o encargado del tratamiento de datos borre la información relativa a ellos y que resulte ser inexacta, incompleta u obtenida ilegalmente.
  • Derecho a la portabilidad de los datos: según la ley, los interesados tienen derecho a solicitar una copia de sus datos personales o crediticios en un formato común.
  • Derecho a no ser sometido a decisiones automatizadas: bajo la ley, los interesados mantienen el derecho a no ser sometidos a decisiones de tratamiento de datos tomadas únicamente sobre la base de un tratamiento automatizado.

La Ley de Datos Crediticios se hace cumplir por el Banco Central del Paraguay (BCP) y la Secretaría de Defensa del Consumidor y del Usuario (SEDECO). Las siguientes multas administrativas y sanciones penales pueden ser impuestas a las personas y entidades que incumplan con dicha normativa:

  • una advertencia
  • una multa de hasta 15000 salarios mínimos (174993 dólares), que puede duplicarse en caso de reincidencia
  • la suspensión de las actividades relacionadas con el tratamiento de datos por hasta seis meses, así como la indicación de las medidas correctas de tratamiento de datos que deben adoptarse para lograr el cumplimiento
  • el cierre inmediato y definitivo de una operación que implique el tratamiento de datos personales o crediticios

La Ley de Datos Crediticios es interesante porque, en muchos aspectos, contiene disposiciones de mayor alcance que otras leyes de privacidad de datos aprobadas recientemente y al mismo tiempo otorga a los interesados menos derechos que dichas leyes de privacidad. Por ello, la eficacia de la ley deberá ser monitoreada en los próximos años, mientras el resto de los países del mundo continúa aprobando leyes con el objetivo de proteger los datos personales y la privacidad de sus ciudadanos. No obstante, la Ley de Datos Crediticios proporciona a los ciudadanos paraguayos un medio para defender sus datos personales y crediticios contra posibles violaciones e intrusiones.