Ilustración original de Nayelly Tenorio.

El buró de crédito estuvo exento del cumplimiento de la ley de protección de datos personales hasta el 1 de diciembre de 2021, cuando la Segunda Sala de la Suprema Corte resolvió un amparo a favor de un ciudadano que reclamó el acceso a sus datos personales de un buró de crédito y le fue rechazado. Ahora ese ciudadano puede ir por la vida sabiendo que la ley de protección de datos personales lo ampara en el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición (ARCO) sobre información personal.

Nunca hubo justificación para que los burós de crédito —llamados sociedades de información crediticia en el marco regulatorio de México— estuvieran fuera del cumplimiento de la ley de datos personales. La única razón fue el poder de presión de la industria financiera. Cuando se diseñó el régimen de protección en México, a finales del primer decenio de este siglo, la industria financiera logró imponer la consideración de secreto fiduciario o bancario a los datos recabados por los burós de crédito y colocarlos una esfera regulatoria aparte, a pesar de que recaban y dan tratamiento a datos muy sensibles de los usuarios de los servicios financieros.

Los burós de crédito tienen un enorme poder sobre el tratamiento de datos personales, la autodeterminación informativa y el disfrute de derechos de los ciudadanos. A pesar de esto, el Inai, responsable de la protección de datos personales, no tiene autoridad sobre ellos: el control y regulación de los burós de crédito recae en la Secretaría de Hacienda, a través de la Comisión Nacional Bancaria y de Valores (CNBV), del Banco de México, la Profeco y la Condusef.

La Segunda Sala determinó que eso está mal: “No es posible que las instituciones de crédito sean excluidas del régimen de protección de datos personales. (…) (Su excepción crea) una violación también a los principios de legalidad y seguridad jurídica del quejoso, al no encontrar ninguna justificación o supuesto legal válido que permita excluir válidamente a las ‘instituciones de crédito’ o incluso que impida al Inai conocer del procedimiento de habeas data para el efectivo ejercicio de los derechos ARCO de los usuarios del servicio de banca y crédito”, se lee en la sentencia del ministro Alberto Pérez Dayán aprobada por la Sala.

La resolución obliga al Inai a que garantice el disfrute de derechos al ciudadano quejoso, quien había acudido en 2017 a ese instituto ante la negativa del buró de crédito. El Inai había resuelto, conforme a la ley, que el quejoso no podía ejercer derechos ARCO. La resolución es una victoria para el Inai, que perdiendo consigue un criterio jurídico para avanzar en la apertura de los burós de crédito.

La función de un buró de crédito es conocer y dar a conocer el comportamiento de pagos de personas físicas y morales, identificar a los morosos y ayudar a reducir riesgos para las instituciones financieras. Una función legítima. La idea es crear un “historial crediticio” para detectar si tienen adeudos o se encuentran en una situación económica que les impide contraer nuevas deudas. La información es recopilada por lo menos durante 6 años.

Pero los burós de crédito también pueden servir como herramientas para invadir la privacidad y la intimidad y para discriminar sin posibilidad de defensa de las personas afectadas. Todos los usuarios de servicios financieros, lo mismo quien abrió una cuenta en el banco más popular que quien sacó a meses una lavadora en una tienda departamental, tienen un registro en las bases de datos de las sociedades de información crediticia.

Escribí hace unos años: “Puede entenderse la necesidad de medir el riesgo crediticio, sobre todo en situaciones donde el sistema judicial es incapaz de ayudar a recuperar deudas, pero nada justifica que el tratamiento de datos personales se realice sin cumplir los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad”.

A la vulneración de los principios de audiencia, legalidad y seguridad señalada por Pérez Dayán hay que poner atención a la violación del principio de información, que debe entenderse como transparencia y acceso a los datos. Quienes integramos las bases de datos de los burós de crédito (los “clientes”, como somos llamados en la ley) apenas podemos conocer los registros que se tienen de nosotros. La Ley para Regular las Sociedades de Información Crediticia nos da derecho a solicitar cada año un “reporte de crédito especial”, una copia de nuestro historial o una parte de nuestro historial crediticio. Tenemos la prerrogativa de presentar una reclamación si consideramos que algo está mal en el informe, pero siempre bajo el marco normativo financiero y nunca sobre el ejercicio de derechos humanos.

El buró de crédito existe en México desde 1995, un año después de iniciada la crisis financiera conocida como “el error de diciembre” en el gobierno de Ernesto Zedillo. Se creó con capital de Banamex (hoy Citi), Bancomer (hoy BBVA) y Serfin (hoy Santander) en sociedad con la empresa Transunion de México. Hoy las empresas más grandes y reconocidas por la autoridad son Buró de Crédito y Círculo de Crédito. La ley de protección de datos para particulares se publicó en 2010.

El buró de crédito se nutre con información que le proporcionan los bancos comerciales y la banca de desarrollo, organismos públicos con actividad crediticia (como Fovissste), las tiendas departamentales que ofrecen créditos, las empresas de financiamiento hipotecario y automotriz, las compañías de teléfonos, las arrendadoras, las fintech o las sociedades cooperativas de ahorro y préstamo.

La decisión de la Segunda Sala sólo tiene efectos para la persona que pidió el amparo de la justicia contra la negativa de Círculo de Crédito de darle acceso a sus datos personales (Amparo en Revisión 179/2021). Esto quiere decir que si hoy usted quiere ejercer sus derechos de protección de datos personales con algún buró de crédito muy probablemente se verá impedido por medio de la ley de datos.

Para que el acceso a la información personal en los burós de créditos con los criterios de la ley de protección de datos personales sea universal se necesitan dos cosas: que exista jurisprudencia o que haya cambios en la ley.

Nadie sabe qué pasará primero, pero la resolución de la Segunda Sala es un aliciente para que los legisladores metan el acelerador y corrijan una arbitrariedad vigente desde hace años.

Una versión reducida de este artículo se publicó en El Economista el 26 de diciembre de 2021.

Comentarios

economicon

Newsletter

TwitterFacebook / Youtube