Desde la Fundación InternetBolivia.org venimos trabajando desde diferentes aristas la protección de datos personales y la economía digital no queda afuera. Aquí presentamos un análisis del marco legal de la protección de datos en el sector financiero realizado por Natalia Dalenz.
En Bolivia, la protección de datos es una temática relegada que precisa ser atendida urgentemente frente al peligro que supone el empleo indiscriminado de datos personales en medios digitales.
La falta de una norma específica, ha incentivado la creación de regímenes especiales en diferentes sectores como ser el financiero, que se caracteriza por componerse principalmente de datos sensibles.
Según Charles Horngren, un erudito contable estadounidense y profesor de contabilidad en la Universidad de Stanford, los datos financieros se asocian a una expresión de transacciones económicas, debidamente sistematizadas por la contabilidad y comunicada conforme a las expresiones cuánticas (numéricas) que caracterizan la técnica contable.
Dicho esto, las medidas para el tratamiento de los datos financieros, que se adopten en las entidades financieras bolivianas deben cumplir con lo establecido en el Reglamento de Gestión de la Seguridad de la Información de la Autoridad de Supervisión del Sistema Financiero (ASFI), y la Política de Seguridad de la Información de la entidad financiera.
Para garantizar la efectiva protección de datos bancarios y el derecho a la intimidad, las entidades financieras supervisadas en Bolivia deben cumplir con las obligaciones que establece la normativa del sector financiero, pero además otras disposiciones normativas dispersas que serán objeto de desarrollo del presente trabajo.
- NORMATIVA GENERAL
- Ley General de Telecomunicaciones y Transportes No.164 de 8 de agosto de 2011.
- Ley de Servicios Financieros No.393 de 21 de agosto, 2013.
- Reglamento para el Desarrollo de las Tecnologías de la Información y la Comunicación de 13 de noviembre de 2013.
- Reglamento para la Gestión de la Seguridad de la Información de la Autoridad de Supervisión del Sistema Financiero (ASFI) de 18 de diciembre de 2017.
- Instructivo de Cumplimiento para Entidades de Intermediación Financiera de la Unidad de Investigación Financiera (UIF) de 22 de agosto de 2019.
- Resolución de Directorio No.079/2022 del Banco Central de Bolivia de 26 de Septiembre de 2022.
- AUTORIDADES DE SUPERVISIÓN EN LA MATERIA
- Autoridad de Supervisión del Sistema Financiero (ASFI).
- Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes (ATT).
- Banco Central de Bolivia (BCB).
- GESTIÓN DE DATOS PERSONALES Y FINANCIEROS
2.1. LINEAMIENTOS JURÌDICOS PARA EL PROCESAMIENTO DE DATOS
La Ley de Servicios Financieros establece que las instituciones financieras deben mantener la reserva y la confidencialidad de la información de sus clientes en todo momento. La transferencia de datos podrá ser realizada únicamente cuando el usuario financiero haya dado su consentimiento y bajo las excepciones legales establecidas.
En relación a las medidas de seguridad que deben ser tomadas, el Reglamento para el Desarrollo de las Tecnologías de la Información y la Comunicación establece que el responsable del tratamiento de los datos personales debe adoptar las medidas de índole técnica y organizativa necesarias, de acuerdo con el estado de la tecnología, para garantizar la seguridad de los datos personales y evitar su alteración, pérdida o tratamiento no autorizado.
En la misma materia, el Reglamento para la Gestión de la Seguridad de la Información establece de forma más específica, los lineamientos para la aplicación de medidas de seguridad en el tratamiento de la información financiera y la conservación de los datos financieros.
En materia de normativa sobre gestión de cumplimiento la UIF, ha determinado las normas de cumplimiento aplicables a las Entidades de Intermediación Financiera con un enfoque de gestión de riesgos sobre legitimación de ganancias ilícitas, financiación del terrorismo y delitos precedentes.
- POLÍTICAS Y AVISO DE PRIVACIDAD
No existe legislación al respecto. Sin embargo, el Reglamento de Tecnologías de la Información y la Comunicación establece que el tratamiento técnico de los datos personales en el sector público y privado en todas sus modalidades, incluyendo entre éstas las actividades de recolección, conservación, tratamiento, cancelación, cesiones, consultas e interconexiones, requerirá el conocimiento previo expreso del interesado.
Por su parte, las instituciones financieras bolivianas supervisadas deben tener por escrito, actualizadas e implementadas, Políticas de Seguridad de la Información aprobadas por sus respectivos Consejos Directivos.
2.3. CONSERVACIÓN DE LA INFORMACIÓN
El Reglamento para el Manejo de Seguridad de la Información establece que los documentos, microfilmados o grabados en medios magnéticos y/o electrónicos, relacionados con las operaciones de la Entidad Financiera, deben ser conservados y permanecer en custodia de la Entidad Financiera, por un período no menor a diez (10) años.
- RESERVA Y CONFIDENCIALIDAD DE LA INFORMACIÓN
Con el desarrollo de la regulación en materia de lavado de activos, la reserva y la confidencialidad de la información en materia financiera han desplazado al secreto bancario.
La Ley de Servicios Financieros específicamente establece que las operaciones financieras realizadas por personas naturales o jurídicas, bolivianas o extranjeras, con Entidades Financieras gozarán del derecho de reserva y confidencialidad. Sólo los titulares de las cuentas, autorizados por la ley o sus representantes legales, podrán recibir información sobre las operaciones.
La reserva y confidencialidad, no se aplica cuando es solicitada por:
- Autoridades judiciales o fiscales competentes, mediante orden judicial o requerimiento fiscal.
- Autoridades públicas encargadas de realizar investigaciones en casos de delitos financieros, actos de corrupción, origen de fortunas y delitos que den lugar a la legitimación de ganancias ilícitas.
- Las autoridades fiscales, en el marco de una verificación fiscal en curso.
- Los directores y ejecutivos de las entidades de intermediación financiera dentro de la información que estas entidades intercambian entre sí, de acuerdo con la reciprocidad, las prácticas bancarias y financieras.
- La Unidad de Investigaciones Financieras.
- El Director Ejecutivo o directora ejecutiva de la ASFI, en el ejercicio de sus funciones de supervisión.
- TECNOLOGÍAS EN FINANZAS (FINTECHS)
El Reglamento para empresas de servicios de pago por móvil emitido por la ASFI regula los proveedores de servicios de pago.
La recién emitida Resolución de Directorio No.079/2022 del Banco Central de Bolivia de 26 de septiembre de 2022 incluye nuevos requisitos para el funcionamiento de las pasarelas de pago.
La regulación de estas Fintech se realizará a través de las entidades financieras con las que tengan una relación comercial. Por lo tanto, la entidad financiera supervisada es responsable de que las pasarelas de pago cumplan con los requisitos normativos establecidos para este tipo de entidades.
- SEGUROS
Es obligación de las entidades de seguros presentar a la Autoridad de Pensiones y Seguros (APS), a requerimiento fundamentado de la misma, toda información que sea solicitada por esta institución, sin restricción de ninguna naturaleza en Bolivia y en el extranjero.
Por su parte, todo asegurado, tomador o beneficiario de seguros, tiene derecho a una información clara, veraz y suficiente sobre los productos y servicios ofertados por las entidades aseguradoras.
- NOTIFICACIÓN EN CASO DE VULNERACIÓN A LA PRIVACIDAD DE LOS DATOS
No hay obligación de notificar las vulneraciones a la privacidad de los datos. Sin embargo, las entidades que tratan datos personales deben adoptar las medidas correctoras adecuadas tras una violación de la seguridad y a solicitud del interesado deberán otorgar información sobre dicha vulneraciòn.
El Reglamento para el Desarrollo de las Tecnologías de la Información y la Comunicación establece que el responsable del tratamiento de datos personales debe adoptar las medidas de índole técnica y organizativa necesarias, de acuerdo con el estado de la tecnología, para garantizar la seguridad de los datos personales y evitar su alteración, pérdida o tratamiento no autorizado.
Las medidas de seguridad a las que están obligadas las entidades responsables del tratamiento de datos personales podrían servir para determinar si las entidades podrían ser responsables penal o civilmente de los daños que la vulneración a la privacidad de los datos pudiera causar al afectado.
Por lo tanto, es aconsejable adoptar las medidas de seguridad recomendadas, o bien adoptar medidas con el mismo o mayor estándar de seguridad, teniendo en cuenta la responsabilidad civil y penal, y la protección constitucional que la legislación boliviana otorga a los usuarios de los datos en caso de una vulneración a su privacidad.
- OBLIGACIÓN DE REPORTAR TRANSACCIONES FINANCIERAS Y PREVENCIÓN DE LAVADO DE ACTIVOS
– Conozca a su cliente (“KYC”): Antes de iniciar relaciones comerciales o realizar transacciones para cualquier cliente o usuario, las Entidades Financieras Supervisadas deben ejecutar un protocolo para conocer al cliente, usuarios o beneficiarios finales de la operación. La normativa boliviana establece que la Entidad Financiera debe conocer a su cliente a través de la documentación disponible, datos recopilados, entre otros.
– Diligencia debida del cliente: En Bolivia la Debida Diligencia del Cliente se divide en 3 etapas: i) la etapa de identificación que permite a la Entidad Financiera implementar criterios para conocer la identidad del cliente, ya sea persona natural o jurídica; ii) la etapa de verificación en la que la Entidad Financiera debe aplicar procedimientos de verificación respecto a la información proporcionada por los clientes para asegurar que dicha información sea confiable. La verificación debe realizarse al inicio y durante la relación comercial; iii) la etapa de seguimiento en la que la Entidad Financiera debe realizar actividades permanentes de seguimiento y evaluación de las transacciones de sus clientes.
– Reporte de transacciones: Las Entidades Financieras deben establecer una Unidad de Cumplimiento como parte de su estructura organizacional, para monitorear el volumen de transacciones de sus clientes y la complejidad de dichas operaciones. Esta unidad también supervisará las transacciones electrónicas a nivel nacional y transfronterizo realizadas por sus clientes, con el fin de verificar la legitimidad de la información proporcionada por ellos, en relación con la cuenta de destino del beneficiario.
- TRANSFERENCIAS INTERNACIONALES DE DATOS
Cualquier transferencia internacional de datos deberá ser realizada con el consentimiento previo y expreso del usuario de los datos personales.
- APLICACIÓN Y EJECUCIÓN DE LA NORMA
Las sanciones y/o represalias que se pueden tomar en caso de incumplimiento de la legislación revisada en el presente artículo son las siguientes:
- Acción penal por alteración y uso indebido de correspondencia y papeles privados basado en el Código Penal boliviano, que prevé una posible pena de prisión de tres meses a un año o una multa.
- Los montos de responsabilidad administrativa no están especificados en la ley, sino que son determinados por la Autoridad de Telecomunicaciones y Transportes de Bolivia caso por caso.
Las medidas administrativas que puede adoptar la Autoridad de Telecomunicaciones y Transportes son las siguientes:
- advertencia;
- incautación de equipos y material; y
- multas e inhabilitación temporal para realizar actividades de telecomunicaciones y/o tecnologías de la información y la comunicación.
- El usuario de los datos puede presentar demandas civiles ante los tribunales civiles por daños y perjuicios relacionados con violaciones administrativas o penales de las normas de privacidad de datos. Los daños y perjuicios serán determinados por el juez en función de cada caso.
Autora: Natalia Dalenz
