Las Instituciones Bancarias y el Cruzamiento de Nuestros Datos

Fragmento de próxima publicación en Revista “Doctrina & Jurisprudencia” de CADE.

Realidad hipotética: Nos llaman al teléfono de nuestro hogar, y cuando atendemos nos dicen: “Buenos días ¿el señor Mario Xxxx?“ “Sí“, contesto. Y a continuación me explican: “Mi nombre es Lorena. Lo llamo del DDDDTTT Bank para comunicarle que tiene aprobada una tarjeta VAAA Internacional gratis con un crédito de 1500 dólares mensuales a su nombre. Solo debe indicarnos sus horarios de disponibilidad, así le haremos llegar la misma junto con el contrato a firmar y la fecha que prefiere para el cierre. Solamente deberá usted entregar la copia firmada en nuestras oficinas de Atención Al Cliente, en Benito Blanco xxxx de lunes a viernes, de 13 a 17 horas. Que tenga un buen día señor Xxxx“. Conversación telefónica terminada. 

Lo cierto es que en la práctica, la empresa devenida call-center o data-center encargada de procesar y comunicarse con los ciudadanos, ha recibido una base de datos, de parte de una institución bancaria o de otra empresa, cuyos perfiles de los integrantes de ese fichero de datos les hace asequibles para generar nuevos clientes, tanto de los bancos como de las prestadoras de tarjetas de crédito y débito. ¿Cómo obtuvieron mis datos personales? Esa pregunta tiene varias respuestas: debido a que la propia institución bancaria ya contaba con ellos y los derivó a una empresa tercerizada para que se contactara con nosotros; o porque esa base de datos fue vendida o entregada por otra institución bancaria o de otro rubro a este último banco para que contratara a una empresa tercerizada; o quizá, porque esa empresa compró esa base de datos a una institución, y ahora ofrece los servicios de fidelización de futuros clientes para otras empresas o instituciones bancarias, sin importar la legalidad o la violación de un derecho fundamental como el de la privacidad, la intimidad o la autodeterminación informativa. En otras palabras, se manipula nuestra información sin tener en cuenta que se viole la protección de nuestros datos personales recogidos en la Constitución y respaldados por la Ley 18331, la Unidad Reguladora y de Control de Datos Personales (URCDP) y el Convenio 108 de Europa sobre la protección de las personas frente al tratamiento de los datos personales, del cual Uruguay es miembro ratificante.

El responsable de una base de datos con nuestra información, no podrá bajo ningún concepto, tratar o ceder los mismos en las siguientes situaciones:

Cuando el titular de los datos personales no haya otorgado su consentimiento para que los mismos sean utilizados con una finalidad distinta, siendo ésta la de ceder la información a una institución bancaria o call-center o tercero o para cualquier fin comercial o diferente del original.

Cuando el titular de los datos personales, haya otorgado su consentimiento, pero posteriormente lo haya revocado mediante presentación de escrito de supresión ante el responsable del tratamiento de los datos u obtenga sentencia favorable judicial en acción de habeas data.

Cuando se haya otorgado el previo consentimiento informado por parte del titular, para que sus datos sean tratados con fines comerciales solamente por quién los recopiló, pero no se otorgó el mismo para que sea tratado o cedido por otro tercero u otra institución, incluidos otros bancos o call-centers.

Cuando alguno o algunos de los destinatarios para el tratamiento de los datos personales ha recibido los mismos mediante transferencia internacional y no cumple con las prohibiciones establecidas en la Ley 18331, artículo 23 así como con la Ley 19030 de 07 de enero de 2013 sobre el Convenio N° 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal y el Protocolo Adicional al Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos Transfronterizos de Datos.

En definitiva, cuando no se cuenta con el previo consentimiento informado para dichas finalidades, sin importar si quién los ha recogido sea una institución bancaria, un call-center o un tercero.