Liz Cramer, representante de la Asociación de Bancos del Paraguay (Asoban) expresó la preocupación del sector con respecto a algunos artículos del proyecto de ley de protección de datos personales que cuenta con aprobación de la Cámara Baja.
Indicó que la primera preocupación radica en la forma en que el proyecto de ley, una vez promulgado, interactuará con la ley 6534 “De Protección de Datos Personales Crediticios”.
Afirmó que el proyecto de ley propone una constitución de una autoridad de control específica en una Agencia de Protección de Datos cuyas atribuciones, según dijo Cramer “puede eventualmente superponerse con las actividades reguladoras naturales de la actividad bancaria, entiéndase el Banco Central del Paraguay (BCP) en la Seprelad”, dijo.
Lea más: Diputados aprueba proyecto de protección de datos personales para que Senado arregle
“Entendemos la necesidad que la Cámara revisora aclare la forma en que se darán estas interacciones e involucrar a las actividades de control para que acompañen y asuman una posición acerca de la forma en la que se espera que los sujetos que integran el sector bancario y financiero cumplirán con las obligaciones típicas respetando los requerimientos propuestos en este proyecto de ley”, afirmó.
En cuento a su ámbito de aplicación, Cramer dijo que no les queda claro si en caso de que el responsable cumpla con los requisitos, pero el encargado no lo haga las leyes serán de igual aplicación al encargado y viceversa.
Sin embargo, con relación al artículo 4° de los datos personales menciona que el punto más crítico para el sector bancario es la conciliación de los principios de finalidad y proporcionalidad para la necesaria obtención, uso y conservación de datos para el perfil crediticio y determinación de riesgos asociados con los productos y servicios financieros.
Lea más: Cartismo rechaza emergencia por ciberataques, pero no logra salvar a Villate
Afirman que la práctica bancaria es indispensable para la conservación de datos por periodos de tiempo que no están estrictamente limitados al periodo exacto de su uso, para la determinación del riesgo asumido en la contratación de productos y servicios de los clientes.
“Consideramos que la descripción de los principios de finalidad y proporcionalidad se debe hacer una excepción expresa a los fines de evaluación de riesgos crediticios conforme a la reglamentación del BCP”, indicó Cramer.
Entienden que la ley de datos personales es bastante amplia, y que la ley de datos crediticios tiene un enfoque.
“Creemos que es importante que en la ley se resguarde o se vea la manera en que declare la necesaria articulación entre la autoridad de control de esta gran ley y la ley de datos financieros porque ahí es donde podemos tener algunos grises o algunos huecos que podrían no ser favorables sea para el usuario o para todo el sistema”, indicó.
Afirman que existiendo la voluntad entre el MITIC con el resto de las instituciones del Poder Ejecutivo estas preocupaciones podrían superarse, y que dicha observación sea tenida en cuenta a la hora de su redacción.
Un impedimento a las declaraciones juradas de los funcionarios
Sobre el artículo referente al Acceso a la Información Pública y protección de datos, mencionan que “la normativa podría resultar un impedimento para el acceso a la información relevantes sobre las declaraciones juradas de bienes y rentas de funcionarios públicos entre otras cuestiones que están relacionadas con datos personales de servidores públicos".
Por su parte, Miguel Ángel Gaspar, experto en ciberseguridad dijo que espera que la normativa una vez promulgada tenga un blindaje en la reglamentación. Mencionó que el último pedido al Mitic es que dicha institución pueda hacer un registro nacional de malas prácticas en el tratamiento de datos personales.
“Durante muchos años, muchas empresas han lucrado con nuestros datos personales sin pagar un solo guaraní y encima tenemos que ser nosotros las víctimas cuando nos llaman 800 veces al día para ofrecernos productos servicios o meternos en cualquier parte por mora o suplantación”, afirmó.
Lea más: Del hackeo a la estrategia de ciberseguridad sin ley
Asimismo, el especialista pidió que la autoridad de control sea independiente, que tenga sus propios recursos para que la protección sea autónoma y que la gente pueda sentir que de verdad puede ejercer un derecho. “La protección de datos personales es un derecho humano de cuarta generación”, dijo.
Espera que el régimen sancionatorio sea proporcional, que las multas sean disuasorias pero no destruyan a las empresas locales, pero que las empresas locales tampoco ganen un montón de dinero a costa de los datos sin que nosotros nos enteremos", dijo.