Ante el escándalo que ha generado el uso de biometría facial para la aprobación de instrucciones bancarias, con el fin de garantizar la seguridad patrimonial de los cuentahabientes en Panamá, diversos especialistas en derecho han expresado su opinión, mientras que otros han presentado demandas ante la Corte Suprema de Justicia de Panamá, con el objetivo de que se dirima esta situación.
Entre estos especialistas en materia de políticas públicas y protección de datos personales, se encuentra el abogado Juan Carlos Reynardus, socio de la firma Panamá Legal Group, quien según su criterio jurídico, indica que
el uso de biometría facial para la aprobación de instrucciones bancarias, más que ilegal, es el resultado de un manejo inadecuado del procedimiento de implementación, toda vez que se ha visto afectado el consentimiento del cuentahabiente.
Considera que
debió brindarse mayor claridad del propósito y no condicionar el acceso al servicio, sino brindar una alternativa de uso. La regulación bancaria en su Acuerdo N° 6 de 2011 contempla los factores de autenticación, incluyendo el factor de categoría 3 que es, a través de información biométrica. Por lo cual, no es una medida arbitraria de algunos bancos, si no un parámetro de seguridad existente incluso previo a la Ley 81 de Protección de Datos Personales.
Con base en su criterio jurídico, el consentimiento del usuario no debe ser condicionado, ni sujeto a una obligación, sino que se debe expresar de manera clara el propósito de la decisión y cómo será utilizado y administrado el dato personal para garantizar que el usuario esté consciente del adecuado manejo de este.
No obstante, en esta misma línea, el especialista se refiere a un artículo de otro Acuerdo Bancario, en esta ocasión, el Acuerdo 001-2022 el cual, en su artículo 12, se identifica una posible violación de la ley 81 de protección de datos personales, toda vez que según esta, se establece cuál es la "fuente accesible", mientras que el decreto 285 de 2021 establece cuáles son las "fuentes de acceso público". Por su parte, el Acuerdo mencionado superaría el límite de lo que establece la ley, al referirse a las Redes Sociales como Medios de Comunicación.
Ante esta situación, veamos qué dice el acuerdo.
Nombre del acuerdo:
Que establece lineamientos especiales para la protección de datos personales tratados por las entidades bancarias.
Artículo que violaría la ley de protección de datos personales:
ARTÍCULO 12. DATOS PERSONALES OBTENIDOS DE OTRAS FUENTES. Los datos personales deberán recabarse sin engaño o falsedad y sin utilizar medios fraudulentos, desleales o ilícitos. En aquellos casos que la fuente de obtención de los datos personales provenga de otro responsable del tratamiento de datos domiciliado en la República de Panamá, el banco receptor de los datos deberá asegurarse que el cliente haya dado su consentimiento previo para tales fines. En el caso que la información provenga o se recolecte de fuentes públicas o accesibles en medios públicos, no se requerirá la autorización o el consentimiento por parte del cliente, para el tratamiento de sus datos.
Para los efectos de lo dispuesto en el presente artículo, se incluirá dentro de la consideración de fuentes de acceso público, la información de datos personales obtenida por el Banco a través de medios de comunicación, ya sean los medios tradicionales o medios digitales como redes sociales (Ejemplo: twitter, facebook, instagram, entre otras).
Al hacer la referencia al artículo 12 del acuerdo mencionado, ¿por qué considera que viola la ley de Protección de Datos Personales?
Reynardus indicó que
Esto no es compatible con lo señalado por el Decreto Ejecutivo N° 285, que cita como fuentes de Acceso Público, las siguientes:
Art. 20. Fuentes de acceso público. A los efectos de la Ley 81 de 2019, sólo podrán ser consideradas fuentes de acceso público:
1. Las publicaciones estatales de carácter oficial publicadas en Gaceta Oficial.
2. Los medios de comunicación.
3. Los directorios telefónicos en los términos previstos por su normativa específica.
4. Las listas oficiales de profesionales mantenidas por las entidades que los agrupen en lo referente a nombre, título o profesión, actividad, dirección laboral o comercial y pertenencia a la entidad. Los colegios profesionales y demás entidades a las que corresponda elaborar estos listados estarán obligados a atender los derechos de los interesados en dejar constancia de su oposición al uso de sus datos con fines distintos al que responde la elaboración del citado listado.
Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique. En el caso de que se obtenga telemáticamente una copia de la
lista de profesionales en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su expedición.
Los interesados tendrán derecho a que la entidad responsable del mantenimiento de estos listados indique gratuitamente que se oponen a que sus datos personales puedan utilizarse para fines de mercadeo.
Ante este planteamiento, una de las dudas que surge es si las redes sociales son medios de comunicación o plataformas de información digital, las cuales no necesariamente son o deben ser consideradas como medios de comunicación digital. No obstante, hasta el momento no se encuentra una norma que defina qué son las Redes Sociales o Medios de Comunicación per sé y si dentro de la categoría de medios de comunicación, se incluyen las Redes Sociales.
Para el especialista
las redes sociales pueden ser canales de difusión de medios de comunicación ya sea tradicionales o nativos de las redes mismas, pero una persona natural por tener una red social no se convierte en un medio de comunicación y lo que publica ahí no puede ser utilizado por una entidad comercial para fines no autorizados.
Y cierra con la siguiente pregunta:
¿Tu cuenta de Insta es un medio de comunicación?
Por otro lado, surge el punto sobre el tratamiento de los datos, es decir, la forma en cómo se utilizarán estos, por lo que es obligatorio señalar que para que exista tratamiento de datos, debe darse el consentimiento informado por parte del titular de estos.
En ese sentido, si una persona publica algún dato o información en sus redes sociales, aunque la cuenta sea pública, los datos publicados no pueden ser utilizados por terceros para fines con los cuales el titular de los datos no lo autorizó.
En este espectro del análisis, el abogado se refiere a la sentencia C748 de 2011 en Colombia
que declaró la exequibilidad de la Ley 1581 de 2012, determinó que aun cuando un dato sensible se hubiese hecho público por su titular, su naturaleza no cambia y por tanto las restricciones para su tratamiento se mantienen.
"(...) el hecho de que un dato sensible se haga público, no lo convierte en un dato de naturaleza pública que cualquier persona pueda someter a tratamiento. Por tanto, pese a la divulgación de un dato por su titular, la posibilidad de someterlo a tratamiento debe sujetarse a su consentimiento expreso, previo e informado -principio de libertad- y a las demás exigencias que imponen los principios consagrados en el artículo 4 y demás garantías del habeas data.
Ante esta situación jurídica en materia de Protección de Datos Personales y en la que la mayoría de las personas, aún no son 100% conscientes del tratamiento de sus datos, vemos la necesidad de educar masivamente, con el fin de evitar que los datos sean utilizados para fines con los cuales su titular no ha dado su consentimiento.
No obstante, dado que este acuerdo 001-2022 está vigente, ¿qué es lo que debe hacerse para subsanar esta situación? ¿Esperar la voluntad del regulador bancario para modificar el acuerdo o solicitar la nulidad del acuerdo vía Corte Suprema de Justicia?
Sería solicitar una adecuación a la SBP y si se oponen, habría que recurrir ante la ANTAI y si en ninguno de estos casos se logra, se puede pedir la nulidad.
Respondió.