CONTENIDO RECONOCIDO POR EL TRIBUNAL CONSTITUCIONAL SALVADOREÑO
"IV. 1. En la citada
Sentencia de fecha 4-III-2011, pronunciada en el Amp. 934-2007, se sostuvo que
el derecho a la autodeterminación informativa tiene por objeto preservar la
información de las personas que se encuentra contenida en registros públicos o
privados frente a su utilización arbitraria —especialmente la almacenada a
través de medios informáticos—, sin que necesariamente se deba tratar de datos
íntimos.
Desde esa perspectiva, el
ámbito de protección del aludido derecho no puede entenderse limitado
exclusivamente a determinado tipo de datos —es decir, los sensibles o íntimos—,
pues lo decisivo para fijar el objeto que con este se busca conservar es la
utilidad y el tipo de procesamiento que de la información personal se
haga.
De ahí que, a efecto de poder
establecer si existe una vulneración al derecho a la autodeterminación
informativa, se deberá analizar, por una parte, la finalidad que se persiga con
la recepción, el procesamiento, el almacenamiento, la transmisión y/o la
presentación de la información personal de que se trate —con independencia de
sus características y de su naturaleza—; y, por otra parte, los mecanismos de
control que con relación a dichas actividades de tratamiento de datos se
prevean.
Para fijar el significado o el
valor que posee un dato respecto al derecho en cuestión se requiere conocer el
contexto en que se utiliza o se pretenda hacerlo, de lo cual se deduce que el
grado de sensibilidad de las informaciones no depende únicamente de si se
afecta o no la esfera íntima de una persona, sino que, más bien, de conocer la
relación de utilización de un dato para poder determinar sus implicaciones en
la esfera particular de esta, pues solo cuando se tiene claridad sobre la
finalidad con la cual se reclaman los datos, así como de qué posibilidades de
interconexión y de uso existen en cuanto a estos, se podrá contestar la interrogante
sobre la licitud de las restricciones al derecho a la autodeterminación
informativa."
FACETAS MATERIAL E INSTRUMENTAL
"2. La autodeterminación
informativa posee dos facetas: (i) una material —preventiva—, relacionada con
la libertad y la autonomía del individuo con relación a sus datos personales; y
(ii) otra instrumental —de protección y reparación—, referida al control que la
resguarda y restablece ante restricciones arbitrarias.
A. a. En cuanto a su dimensión
material, el derecho en análisis pretende satisfacer la necesidad de las
personas de preservar su identidad ante la revelación y el uso de los datos que
les conciernen y los protege frente a la ilimitada capacidad de archivarlos,
relacionarlos y transmitirlos. En virtud de dicha faceta la persona adquiere
una situación que le permite: (i) definir la intensidad con que desea que se
conozcan y circulen tanto su identidad como otras circunstancias y datos
personales; (ii) combatir las inexactitudes o falsedades que las alteren; y
(iii) defenderse de cualquier utilización abusiva, arbitraria, desleal o ilegal
que pretenda hacerse de esos datos.
Tales objetivos se consiguen
por medio de la técnica de la protección de datos, la cual se encuentra
integrada por un conjunto de derechos subjetivos, deberes, principios,
procedimientos, instituciones y reglas objetivas. Entre algunos de los derechos
o modos de ejercicio de esta faceta material se pueden mencionar:
i. La facultad de conocer, en
el momento específico de la recolección de los datos, el tipo de información
personal que se va a almacenar, cuál es la finalidad que se persigue con su
obtención y procesamiento, a quién se le hace entrega de esos datos y,
finalmente, quién es el responsable del fichero donde se resguardan para poder
realizar cualquier oposición, modificación y alteración de aquellos.
ii. La potestad de conocer la
existencia de bancos de datos automatizados, en virtud de la cual toda persona
tiene derecho a conocer si los datos que le conciernen son objeto de uso o
tratamiento por terceros.
iii. La libertad de acceso a la
información, es decir, la posibilidad de comprobar si se dispone de información
sobre uno mismo y de conocer el origen del que procede, así como la finalidad
que se persigue con su almacenamiento.
iv. La facultad de
rectificación, integración o cancelación de los datos para asegurar su calidad
y el acceso a ellos, la cual exige, por un lado, la modificación de aquella
información que parece erróneamente consignada y obtener así la integración de
la que sea incompleta; y, por otro lado, la facultad de cancelación o anulación
de los datos por la falta de relevancia y actualidad de la información para los
fines del banco de datos o, simplemente, por el propósito de permitir al
titular que recupere la disponibilidad sobre cualquier faceta de su
personalidad y de sus datos íntimos o estrictamente privados, que figuran en la
memoria informática o en el fichero respectivo.
v. La potestad de conocer la
transmisión de los datos personales hacia terceros, la cual no trata
simplemente de conocer —de forma anticipada— la finalidad perseguida por la
base de datos y que esta implique la posibilidad de poner en circulación la
información personal, sino que, sobre todo, consiste en obtener de los
responsables del banco de datos noticia completa de a quién se le ha facilitado
aquella y con qué extensión, uso y finalidad.
b. A partir de lo anterior,
queda en evidencia que el derecho a la autodeterminación informativa implica
diferentes facultades que se reconocen al individuo para controlar el uso de la
información personal que le atañe, tanto en su recolección como en el
tratamiento, conservación y transmisión de sus propios datos.
B. Con relación a su dimensión
instrumental, la autodeterminación informativa constituye un derecho al control
de la información personal sistematizada o contenida en bancos de datos
informáticos o ficheros. De ahí que, ante esa necesidad de vigilancia, este
derecho posea un contenido múltiple e incluya algunas facultades relacionadas con
esa finalidad controladora, las cuales se manifiestan, básicamente, en aquellas
medidas estatales de tipo organizativo y procedimental indispensables para la
protección del ámbito material del derecho asegurado constitucionalmente.
Si la autodeterminación
informativa es un conjunto heterogéneo de herramientas —pues abarca tanto
procedimientos de distinta índole, como requisitos sustantivos—, la fuerza
obligatoria de ese derecho se manifiesta, en primer lugar, en la prohibición de
emanar normas contrarias a la Constitución. Tal precisión resulta necesaria
debido a que, no obstante tratarse de un derecho con ciertos aspectos
prestacionales —los cuales precisan de configuración legal para su completa
efectividad—, este desempeña una función reaccional en caso de no contar con un
entramado de normas secundarias que especifiquen el quién, el cómo y las
circunstancias de los sujetos llamados a realizar la protección objeto del
derecho.
Pese a ello, este derecho
también implica un modo de ejercicio que se desarrolla, primordialmente, como
una exigencia de que existan instituciones y procedimientos para la protección
y control de los datos frente al Estado y los particulares.
En ese orden de ideas, la
faceta instrumental del derecho a la autodeterminación informativa no supone
solo una barrera al legislador; por el contrario, su plena eficacia requiere de
la colaboración legislativa, en virtud de que tal derecho no puede quedar
suficientemente protegido con la mera abstención por parle de los poderes
públicos, sino que el logro de ese objetivo implica, principalmente, el
desarrollo de pretensiones de control y seguridad en el manejo de los datos
personales.
A partir de la naturaleza dual
del mencionado derecho —tanto de su significación como de sus finalidades—, se
desprende que su garantía no puede limitarse a la posibilidad del ejercicio de
pretensiones por parte de los individuos, sino que ha de ser asumida por el
Estado mediante la creación de un ámbito de protección mucho más operativo en
las medidas legislativas que lo desarrollan. En efecto, es el legislador quien
se encuentra obligado a llevar a cabo las delimitaciones de las esferas
individuales requeridas por la faceta instrumental —de protección y reparación—
y, de tal manera, configurar una parte sustancial del derecho a la
autodeterminación informativa.
Cuando la Constitución ordena a
los poderes públicos la operatividad normativa de un derecho —tal como el
contenido del derecho a la autodeterminación informativa lo requiere—, ese
poder está obligado a establecer las condiciones para llevarla a cabo y, en
aquellos supuestos en los que su abstención implica o involucra un daño o
menoscabo para dicho derecho, la jurisdicción constitucional puede constatar la
existencia de una protección deficiente y, por tanto, establecer su
vulneración."
PRINCIPIOS APLICABLES
A LA RECOLECCIÓN Y RESGUARDO DE INFORMACIÓN
"3. En esta delimitación
del derecho a la autodeterminación informativa, deben tomarse en cuenta los
principios que informan su recolección y resguardo, de los cuales se
resaltan:
A. El Principio de finalidad en
la recolección de la información, en virtud del cual se requiere que los datos
de carácter personal deben ser recogidos para alcanzar un objetivo lícito, es
decir, deben ser utilizados para un fin específico y legítimo; por lo que una
vez que este ha sido alcanzado la información deba cancelarse para impedir que
sea utilizada en una finalidad distinta para la que se ha obtenido
B. El Principio de pertinencia
de la información, en razón del cual, cuando se requiera la aportación de unos
determinados datos personales, estos deben ser adecuados para la finalidad ue
se quiera utilizar; ello exige que solo se recojan los datos que sean
pertinentes y adecuados a la finalidad que se persiga —siempre que esta no sea
excesiva o indeterminable bajo pautas objetivas—.
C. El principio de
transparencia sobre el tipo, dimensión, uso y fines del procesamiento de datos,
en virtud del cual el sujeto que recopila o mantiene datos de otros debe dar a
conocer hacia quiénes y con qué fines se realizará la transmisión o tratamiento
de ellos.
D. El principio de sujeción al
fin del procesamiento para el cual el individuo ha dado su consentimiento y
respecto del cual la autoridad o particular que realiza el uso y tratamiento no
puede desviarse o ignorar.
E. El principio de prohibición
del procesamiento de datos para almacenarlos con el fin de facilitar la
verificación de un tratamiento de datos no autorizado posterior y la
prohibición de la construcción de perfiles a partir del procesamiento de datos
personales.
F. El principio de olvido —o de
temporalidad—, que opera mediante la implementación de reglas de destrucción de
los datos personales cuando se ha cumplido el fin para el cual fueron
recopilados.
En adición a los referidos
principios funcionan, además, otras reglas que tienen como sentido potenciar
los efectos preventivos que se desprenden de ellos; como, por ejemplo, las
reglas de anonimidad de los datos, las cuales, por una parte, funcionan para
facilitar el procesamiento de datos personales y, a su vez, para proteger al
individuo de un seguimiento de sus datos mediante la asignación automática de
características que permitan individualizarlo y, por otra parte, son
determinantes para el manejo de datos estadísticos."
PERSONAS
JURÍDICAS TAMBIÉN PUEDEN SER TITULARES
"4. Finalmente, la
titularidad del derecho a la autodeterminación informativa no solo es
predicable de las personas físicas, sino también de las personas jurídicas, ya
que, si el objetivo y función de los derechos fundamentales es la protección
integral de la persona humana —ya sea a título individual o como parte de la
colectividad—, es posible que las organizaciones que las personas naturales
crean para la protección de sus intereses sean titulares de derechos
fundamentales, en tanto y en cuanto estos protejan su propia existencia e
identidad, a fin de asegurar el libre desarrollo de su personalidad y
autonomía.
De ahí que las personas
jurídicas pueden actuar como titulares del derecho a la autodeterminación
informativa respecto de aquellos datos que por su naturaleza le sean aplicables
como "personales", es decir, datos propios de la entidad."
CRITERIOS
PARA LA RESTRICCIÓN DEL DERECHO A LA AUTODETERMINACIÓN INFORMATIVA
"2. A. En la Sentencia de
fecha 8-III-2013, emitida en el proceso de Inc. 58-2007, se reafirmó que el
ámbito de protección del derecho a la autodeterminación informativa implica
diferentes facultades que se reconocen al individuo para controlar el uso de la
información personal que le atañe, tanto en su recolección como en su
tratamiento, conservación y transmisión. Sin embargo, esa protección no es
ilimitada, pues las personas carecen de derechos constitucionales absolutos
sobre sus datos. De ahí que el individuo haya de tolerar ciertos límites a su
derecho de autodeterminación informativa, por razón de un interés
general.
La Constitución no indica
expresamente cuáles son los criterios legítimos que el legislador tiene para
restringir o limitar los derechos fundamentales. Él puede tomar en cuenta el
sustrato ético-ideológico que le da unidad y sentido al ordenamiento jurídico
(los valores constitucionales), pero no puede exigírsele que lo haga, ya que su
margen de acción (en la elección de fines, medios y ponderaciones) le permite
perseguir cualquier fin que no esté proscrito constitucionalmente o que no sea
manifiestamente incongruente con su trasfondo axiológico (Sentencia de fecha
20-I-2009, emitida en el proceso de Inc. 84-2006).
Con base en lo anterior, el
derecho a la autodeterminación informativa puede ser restringido o limitado por
la finalidad que persigue la recolección y administración de los datos
personales, la cual debe ser legítima (constitucional o legal), explícita y
determinada. Para tal efecto, el legislador debe tener en cuenta no solo el
principio de proporcionalidad, sino también el derecho general del ciudadano a
la libertad frente al Estado, que solo puede ser restringida por el poder
público cuando sea indispensable para la protección del interés general.
B. Los datos de solvencia
patrimonial de las personas pueden incidir en el buen funcionamiento del
tráfico económico, ya que influyen sobre la confianza de los operadores del
mercado. Desde esta perspectiva, existe un interés legítimo en el conocimiento de
datos que afectan la solvencia y situación económica de los particulares cuando
se establece o se pretende establecer una relación económica con una empresa,
especialmente si el interesado en tal información ha de asumir, como
consecuencia de la relación, un riesgo derivado de la concesión de crédito o de
la realización de una inversión.
Podríamos concretar este
interés legítimo en aspectos como: (i) evaluar el riesgo; (ii) prevenir el
fraude; y (iii) evitar la morosidad. Al mismo tiempo, el interés en la
existencia de tales ficheros es un interés general, en tanto sirven como
instrumento al servicio de la agilidad y seguridad de las transacciones
comerciales, por ejemplo: facilitando el acceso rápido al crédito sobre la base
de la existencia de ciertas garantías básicas para el prestamista.
De este modo, los datos sobre
solvencia y crédito susceptibles de ser incluidos en estos ficheros tienen una
importancia de carácter socio económico, ya que la actividad económica y el
comercio actual exigen, por parte de las empresas, lo que podríamos denominar
un "control de riesgos". Así, para contratar con determinada persona
se ha impuesto una exigencia de saber cuál es la situación económica y
patrimonial del contratante, especialmente si la operación económica supone
algún tipo de financiación. A esta finalidad responden los ficheros de
solvencia patrimonial y crédito.
Por ende, en aras de la
seguridad y la agilidad del tráfico mercantil se justifica la actividad que
desarrollan las empresas que prestan el servicio de información sobre el
crédito de las personas, entendiendo que la disposición de información relativa
a su morosidad contribuye eficazmente a la adopción de decisiones respecto de
la operación de que se trate."
NECESARIA AUTORIZACIÓN DEL AFECTADO PARA EL TRATAMIENTO DE SUS DATOS
"C. En el caso de los ficheros de solvencia patrimonial o de morosos, el derecho a la autodeterminación informativa implica que nadie, en principio, podría investigar ni informar sobre la situación económica de otro, salvo autorización del propio sujeto afectado o que existiera un valor igual o superior a la intimidad o privacidad de la persona. En ese sentido, el tratamiento de datos de terceros tiene que regirse por el principio de autodeterminación, pues si el afectado no diere su consentimiento, nadie debería tratar sus datos.
Además, dicho tratamiento debe
sujetarse al principio de veracidad, lo que supone que en los ficheros no deben
aparecer como insolventes personas que no están en esa situación. La carga de
la exactitud debe recaer sobre los que obtienen el beneficio y no sobre el
afectado, pues este, además de soportar una actividad que le es perjudicial, no
debe estar obligado a sufrir informaciones erróneas o falsas o incompletas
sobre su persona. La veracidad se mide en relación con el tiempo y el espacio,
por lo que la información debe ser actual y completa.
La verdad en el tiempo está
relacionada con el ya mencionado principio de olvido, ya que transcurrido un
determinado tiempo desde que sucedió el hecho objeto de la información, esta
debe decaer en beneficio de la seguridad jurídica del sujeto; el problema está
en fijar el tiempo que tiene que haber transcurrido para considerar que un dato
veraz no puede usarse. La veracidad en el espacio implica que la información
refleje la realidad de la situación en todas sus facetas, sin omisiones de
elementos pertinentes: por ejemplo, no bastaría consignar que un cliente no ha
pagado, sino que es necesario que se especifiquen las razones por las cuales no
se ha hecho (falsedad, extinción de la obligación, prescripción, etc.)."
INFORMACIÓN SOBRE
HISTORIAL CREDITICIO DEBE SER EXACTA Y ACTUALIZADA EN FORMA PERIÓDICA
"3. Por Decreto
Legislativo n° 695, de fecha 29-IV-2011, publicado en el Diario Oficial n° 141,
de fecha 27-VII-2011, se emitió la Ley de Regulación de los Servicios de
Información sobre el Historial de Crédito de las Personas con el objetivo de
garantizar los derechos al honor, a la intimidad personal y familiar y a la
propia imagen en lo concerniente a la confiabilidad, la veracidad, la
actualización y el buen manejo de los datos de consumidores o clientes,
relativos a su historial de crédito, incorporados o susceptibles de ser
incorporados a una agencia de información de datos (art. 1 de la LRSIHCP). Dentro
de este tipo de agencias podemos encontrar a cualquier persona jurídica,
pública o privada, exceptuando la SSF, que se dedica a recopilar, almacenar,
conservar, organizar, comunicar, transferir o transmitir los datos sobre el
historial de crédito de los consumidores o clientes, a través de procedimientos
técnicos, sean estos automatizados o no (art. 3 inc. 2° de la LRSIHCP).
De acuerdo con el citado cuerpo
normativo, la información sobre el historial de crédito de las personas que se
encuentre en las bases de datos de las agencias de información debe ser exacta
y actualizada de forma periódica por lo menos cada mes, para que responda con
veracidad a la situación real del consumidor o cliente. Las agencias de
información deben guardar reserva sobre dicha información y adoptar las medidas
o controles técnicos necesarios para evitar la alteración, pérdida, tratamiento
o acceso no autorizado de los datos que manejen o mantengan (art. 4 letras b, c
y d y 17 letra b de la LRSIHCP).
Por su parte, el consumidor o
cliente tiene derecho a saber si se está procesando información sobre su
historial crediticio, así como a obtener una copia y a que se realicen las
rectificaciones, modificaciones o supresiones cuando los registros sean
ilícitos, falsos, erróneos, injustificados, atrasados o inexactos. Para tal
efecto, las agencias de información de datos deben contar con centros de
atención, al menos por región, los cuales, previo requerimiento realizado de
forma verbal o escrita, tienen que proveer por escrito la información en el
momento en que se les solicita, sin que ello le cause costo alguno al
consumidor o cliente, así como darle a conocer qué entidades acreedoras
tuvieron acceso a su historial de crédito. Además, las agencias de información
deben expedir las copias certificadas del historial de crédito que les fueren
solicitadas en un plazo no mayor de tres días hábiles, previo pago de una
tarifa fijada por la SSF (arts. 4 letra a, 14 letra a y 17 letra a, d, e y h de
la LRSIHCP).
Asimismo, los datos sobre historial
de crédito brindados por los consumidores o clientes a los agentes económicos
—proveedores de bienes y servicios—, solo pueden ser recopilados y/o
transmitidos a las agencias de información de datos y suministrados por estas a
tales agentes económicos, con el consentimiento expreso y por escrito de los
referidos consumidores o clientes (arts. 14 letra d y 19 letra a de la LRSIHCP,
18 letra g de la Ley de Protección al Consumidor). De este modo, el agente
económico solo puede tener acceso a información del historial crediticio del
consumidor o cliente con la autorización de este, y únicamente en las
condiciones en que la misma haya sido conferida. Dicha autorización debe
constar en un documento especial extendido para tal efecto y no puede ser parte
de cláusulas generales de los contratos que el consumidor suscriba con el
agente económico (art. 15 de la LRSIHCP)."
AGENCIAS DE INFORMACIÓN DE DATOS DEBEN CONTAR CON AL MENOS UN CENTRO DE ATENCIÓN AL CLIENTE EN CADA ZONA DEL PAÍS
"b. Los centros de atención
de las agencias de información tienen por objeto facilitar el acceso a la
información de los consumidores o clientes sobre su historial crediticio, a
efecto de que soliciten las rectificaciones, modificaciones o supresiones
cuando los registros sean ilícitos, falsos, erróneos, injustificados, atrasados
o inexactos. Debe haber al menos uno por región y tienen la obligación de
proveer por escrito la información que se les solicita, extender
certificaciones, así como dar a conocer qué entidades acreedoras tuvieron
acceso al historial de crédito del consumidor o cliente. El art. 10 inc. 1° de
las Normas Técnicas para los Servicios de Información sobre el Historial de
Crédito de las Personas aclara que se entenderá por cada región del país a las
tres zonas en que se divide territorialmente El Salvador: occidente, centro y
oriente.
c. Al respecto, en la copia del
Manual de procedimiento para la atención del consumidor y rectificación de
datos de la sociedad Equifax Centroamérica, S.A. de C.V., consta que esta
cuenta con el Centro de Aclaraciones ubicado en Centro Comercial Loma Linda,
frente a Canal 2, segundo nivel, local 14-D, San Salvador. De lo anterior se
denota que la sociedad demandada no ha cumplido con la obligación de contar al
menos con un centro de atención al cliente en cada zona del país, situación que
incide negativamente de manera difusa en el acceso a la información de las
personas de las zonas occidental y oriental del país cuyos datos mantiene y
comercializa, ya que no les facilita que realicen directamente consultas o
gestiones relacionadas con su historial de crédito a efecto de solicitar copias
o certificaciones de los datos que manejan y, en su caso, requerir las
modificaciones, actualizaciones, rectificaciones o anulaciones correspondientes."
FALTA DE AUTORIZACIÓN PARA FUNCIONAR AFECTA GARANTÍAS SOBRE LA CALIDAD, RESERVA Y SEGURIDAD DE LA INFORMACIÓN
"C. a. Finalmente, se
observa que la sociedad Equifax Centroamérica, S.A. de C.V., inició el
20-III-2012 el trámite para ser autorizada para operar como agencia de
información de datos sobre el historial de crédito de las personas, con base en
el art. 33 de la LRSIHCP, y que el Superintendente del Sistema Financiero
informó el 12-V-2014 que todavía se encontraba pendiente de emitir su autorización. Además, de la documentación agregada a
este expediente se advierte que en dicho trámite la SSF ha realizado múltiples
observaciones a la sociedad Equifax Centroamérica, S.A. de C.V., mediante las
decisiones de fechas 16-V-2012, 5-VI-2012, 4-II-2013, 20-VI-2013, 9-VII-2013 y
8-III-2014.
b. A partir de lo anterior, se
advierte que la sociedad demandada ha realizado la recopilación, el
procesamiento y la transmisión de datos personales durante un amplio margen de
tiempo sin contar con la debida autorización de la institución legalmente
competente, situación que también perjudica el derecho a la autodeterminación
informativa de manera difusa respecto de las personas cuyos datos son
manejados, pues la aludida falta de autorización denota que aquella no ha
cumplido con las mínimas garantías sobre la calidad, reserva y seguridad de la
información.
En ese sentido, a pesar de que
la sociedad demandada solicitó su respectiva autorización dentro del plazo
establecido en el art. 33 de la LRSIHCP, se colige que esta todavía no ha
adecuado su actividad a las exigencias reguladas en dicho cuerpo normativo y,
por ende, recopila, almacena, transmite y comercializa datos sin contar con el
permiso correspondiente de la SSF, no obstante la prohibición establecida en el
art. 19 letra f de la LRSIHCP.
Y es que, si bien el no contar
con el permiso para funcionar como agencia de información no la coloca
automáticamente en una situación de ilegalidad, no debe obviarse que la Ley de
Regulación de los Servicios de Información sobre el Historial de Crédito de las
Personas constituye el marco normativo que garantiza el respeto al derecho a la
autodeterminación informativa de las personas."