C-399-2008

3 de noviembre de  2008

 

 

Licenciado

Gerardo Porras Sanabria

Gerente General Corporativo

Banco Popular y de Desarrollo Comunal

 

 

Estimado señor:

 

            Con la aprobación de la señora Procuradora General, me refiero a su atento oficio N° GGC-1845-2008 de 7 de octubre último, por medio del cual consulta respecto de una declaración jurada que se exige como parte de la “Política Conozca a su Cliente”.

 

Adjunta Ud. el criterio de la Asesoría Jurídica, oficio CJ-1881-2008 de 3 de octubre anterior. En dicho oficio se indica que es responsabilidad ineludible del Banco Popular conocer a sus clientes como también es claro que la ley no le obliga a solicitarles una declaración jurada sobre aspectos que puede acreditar en una base de datos, que son ciertos porque ya los tiene o los puede obtener para lo que no necesita que el cliente firme la citada política. Agrega que el Banco conoce la firma del cliente por la firma de los contratos bancarios y el cumplimiento de los requisitos de apertura de la cuenta. Además, el número de cédula del nacional, de cédula del residente o pasaporte para extranjeros y el número de la persona jurídica para empresas  es el medio de identificación  que permite identificar certeramente al cliente. La Ley 8204 no exige la declaración jurada. El Acuerdo SUGEF 12-04 tampoco lo exige. No tiene sentido amparar la obligación de declaración jurada a la jurisprudencia sobre bases de datos electrónicas porque lo que se pretende es tener documentado en papel con la firma del cliente la declaración jurada. Agrega que no existe fundamento legal que permita a la SUGEF exigir la declaración jurada. Por lo que la propia asesoría legal de la SUGEF en oficio DAJ-232-2007 de 7 de noviembre del 2007 había sido del criterio de que en ausencia de norma de rango legal que autorice actuaciones, estas son improcedentes. El Reglamento a la Ley 8204, artículo 18, señala que los registros relacionados con el cliente pueden ser electrónicos, pero si se requiere una firma no existiría posibilidad de un expediente digital salvo que se trate de la firma digital. En su criterio, la firma de una declaración jurada para efectos de la Política conozca a su cliente carece de relevancia jurídica porque ese documento no puede ser la base para una persecución judicial, porque si ha mentido bajo juramento correspondería perseguirlo por perjurio. Delito que no se aplica porque no hay ley que lo obligue a declarar sobre hechos propios. Concluye señalando que la obligación del Banco de conocer a sus clientes debe hacerse en el marco de legalidad que impera sobre la actuación administrativa. En ausencia de especificación normativa sobre la obligación de presentar la declaración, la “obligatoriedad de firmar el citado documento siempre será facultativa, salvo que la Ley expresamente diga lo contrario, en una futura reforma a la legislación actual”.

 

            Adjunta Ud., además, el oficio PCJ-1080-2008 de 16 de junio de 2008 sobre el fundamento legal para exigir la presentación de una declaración jurada para actualizar los datos o abrir cuentas. Allí se expresa que el artículo 16 de la Ley 8204 establece la responsabilidad de las instituciones supervisadas de contar con información que detalle la identidad de sus clientes, pero no señala la forma o modalidad que debe aplicar la entidad en tales casos, limitándose a establecer la obligación de contar con la información pero no así el mecanismo para obtenerla. La eficacia de la declaración jurada está en relación con la posibilidad jurídica de que en caso de que se demuestre que lo que declaró la persona es falso, se pueda perseguir a instancia penal, ya que no existe una ley que lo obligue a ello. La Ley 8204 solo menciona la declaración jurada en el artículo 2 respecto de los datos que consignen los profesionales autorizados a prescribir estupefacientes y psicotrópicos y en el artículo 35 respecto de la cantidad de dinero efectivo o títulos valores que porte una persona al ingresar o salir del país, según los montos establecidos. Es con fundamento en la ley que se puede imponer la obligatoriedad de una declaración jurada a efecto de que tenga eficacia jurídica y pueda ser sancionada en vía penal. Añade que el artículo 17 del Reglamento General a la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de uso no autorizado establece la obligación de las instituciones supervisadas de establecer en sus archivos un perfil del cliente, tendente a determinar el tipo, número, volumen y frecuencia de las operaciones, productos o servicios, que posteriormente se reflejarán en la cuenta. La norma reglamentaria establece que el procedimiento que se adopte para cumplir con lo exigido debe permitir la recopilación de información suficiente para completar el perfil de cada cliente al momento de iniciar la relación y durante el tiempo que esta dure y para dar seguimiento a sus operaciones. Corresponde a cada institución implementar los métodos y mecanismos pertinentes para contar con la información suficiente y adecuada que se requiere. La “Normativa para el Cumplimiento de la Ley 8204”, emitida por el CONASSIF, en su artículo 4 impone a las entidades contar con un instrumento que permita identificar y administrar los riesgos relacionados con la legitimación de capitales, tipificados en la Ley N° 8204, tendiendo a minimizar la presencia de clientes que podrían utilizarlas para propósitos ilícitos. La Normativa define qué se entiende por cliente y cuál es la información mínima requerida y que debe ser consignada en cada expediente del cliente, pero no el procedimiento o mecanismo para obtenerla, el que queda  a la discreción de la entidad, lo que permite al Banco utilizar expedientes electrónicas que permitan prevenir cualquier situación de legitimación de capitales. En caso de dudas sobre el origen de los fondos del cliente, la entidad está obligada a verificar visualmente y constatar materialmente el negocio planteado, lo cual deberá ser asentado en el expediente que se haya definido, electrónico o no.

 

            Con la consulta, remite Ud. los oficios SUGEF 3787-20085346 de 25 de septiembre de 2008 y SUGEF 1016-200800444 de 11 de marzo anterior.

 

            En el primero de dichos oficios, la Superintendencia se refiere a una “Estrategia para el cumplimiento de la política Conozca a su Cliente” elaborada por el Banco y al criterio en relación con la declaración jurada por parte de los clientes. Señala la SUGEF que el artículo 4 del Acuerdo SUGEF 12-04 define claramente la obligación de la entidad sujeta a control de la SUGEF pero no establece los detalles de la forma en que debe materializarlo. Con la interpretación exegética de la norma  se deriva que el Acuerdo otorga a las entidades discrecionalidad para la aplicación de la Política Conozca a su Cliente, ya que no se establece que exista un formulario específico para la aplicación de esa política. Sin embargo, el mandato sobre el conocimiento del cliente obliga a las entidades a requerir de sus usuarios información personal, la cual tiene un carácter especial en el cumplimiento de los principios básicos de la protección de datos personales. El Acuerdo exige información de carácter personal que no es del dominio público, como la ocupación, la dirección electrónica, la naturaleza de los negocios, el monto de ingresos, fuente u origen de los fondos, datos personales que deben ser protegidos según la resolución 8996 de la Sala Constitucional. En aplicación de la jurisprudencia constitucional, los intermediarios financieros y las entidades que recopilan datos personales deben garantizar que los mismos sean íntegros, veraces y exactos, de modo que no induzca a error en su interpretación, se garantice el principio de buena fe y de que de la identificación resulte indubitable la titularidad. Se pregunta si eso puede garantizarse sin el consentimiento expreso y la firma del titular de los datos. En su criterio, “decir que si, podría ser una afirmación obtusa o laxa, pues no toma en consideración que quien acopie los datos debe garantizar que ha obtenido el consentimiento del titular de la información”. Considera la Superintendencia que el Acuerdo SUGEF 12-04 debe ser interpretado en función de sus fines y en el contexto del bloque de legalidad. Por lo que una financiera que “conoce” a sus clientes puede requerirles la declaración jurada como condición que garantiza el cumplimiento de los principios de orden constitucional en el manejo de datos personales. Lo que prueba que la información es íntegra, veraz y exacta y que el titular de la información ha dado su consentimiento, el cual no puede presumirse. La firma sirve para acreditar que la información procede de quien lo escribe, para autorizar lo manifestado. Por lo que no importa si la forma de recopilar la información es o no mediante un formulario, importa que la entidad pueda demostrar que el titular de la información consiente el haberla otorgado y acepta que es íntegra, veraz y exacta. La firma demuestra que el titular de la información autoriza lo manifestado. Para la SUGEF, la firma en la declaración jurada es la forma “en que se adecua a la constitución, las normas legales y reglamentarias que son aplicables al caso concreto, para lograr la licitud del acopio de datos personales. Por lo que se considera que el Banco debe solicitar a sus clientes firmar los formularios correspondientes para cumplir con la política “Conozca a su Cliente”.

 

            En el oficio SUGEF 1016-2008 la Superintendencia señala que el formulario “Conozca a su Cliente” tiene la connotación de declaración jurada, por lo que debe ser firmada por el cliente para que tenga validez.

 

            Se deriva de los antecedentes remitidos que el Banco consultante y la Superintendencia General de Entidades Financieras discrepan sobre la obligación de los clientes del Banco de firmar un formulario, con carácter de declaración jurada, como parte de la política “Conozca a su Cliente”, que  debe seguir el Banco en tanto entidad financiera.  El deber de las entidades financieras de recabar de sus clientes la información que precisa la Ley sobre Estupefacientes, sustancias psicotrópicas, drogas de uso no autorizado, legitimación de capitales y actividades conexas responde a fines públicos. Dicha recolección y registro se realiza por mandato de ley, por lo que debe ser realizada independientemente del consentimiento del cliente. El fin legal  presente en ese registro no conlleva, empero, la libertad de la Administración para determinar por sí y ante la obligación del cliente de presentar declaraciones juradas.

 

 

A.-       DERECHO FUNDAMENTAL A LA AUTODETERMINACION INFORMATIVA

 

La autodeterminación informativa es el derecho, personalísimo, de conocer y controlar las informaciones personales susceptibles de recibir tratamiento automatizado. Un derecho que se construye sobre la protección de los datos personales y que se orienta a garantizar el ejercicio de los derechos de los habitantes frente el tratamiento automatizado de su información personal.

 

1.-        Una protección de los datos personales

 

La autodeterminación informativa permite a las personas controlar las informaciones que les conciernen en tanto están referidas a sus “datos personales”. Estos son los datos que corresponden a una persona identificada o identificable: datos relativos al nacimiento, fallecimiento, estado civil, número de identificación, domicilio, enfermedades, profesión, patrimonio, afiliación política, sexo, raza, creencias políticas o religiosas. Como indicamos en el dictamen N° C-199-2008 de 12 de junio de 2008, los datos personales comprenden desde el número de identificación, sexo, domicilio, profesión, teléfonos, edad, hasta datos sobre la situación económica y financiera de la persona, particularmente situación crediticia y patrimonio. Asimismo, comprenden los llamados datos sensibles como raza, enfermedades,  afiliación política, creencias políticas o religiosas. Datos personales que se consideran sensibles porque su conocimiento y divulgación puede llevar a una estigmatización del titular de los datos y, por ende, a discriminaciones. Por lo que se les debe dar un protección especial, que conlleva que su recolección y cesión a terceros requiere el consentimiento del derecho habiente, salvo un interés público claramente identificado por el legislador.

 

            Datos personales no es, entonces, datos sensibles. Cabría decir, desde ya, que la recolección y tratamiento de datos sensibles por una entidad financiera no puede sino ser excepcional. En todo caso, dado el objeto de la actividad financiera, en el supuesto –que no se da en la realidad- de una autorización legal para recopilar esos datos sensibles, cabría reputarla como dudosamente constitucional. Simplemente, los datos sensibles no tienen relevancia en el ejercicio de la actividad financiera.

 

Puesto que dato personal y dato íntimo no son sinónimos, se sigue que el derecho de autodeterminación informativa puede abarcar esferas no protegidas por el derecho a la intimidad o a la vida privada. El requisito es que se trate de datos personales.

 

El concepto de dato personal está referido a la posibilidad de identificación del titular de esos datos, por lo que bien cubre datos que sean de fácil conocimiento público, como son el sexo o el color de la piel, los cuales incluso son susceptibles de una protección mayor, en tanto como datos sensibles pueden dar lugar a discriminaciones según se dijo. Lo importante, entonces, es que la protección se brinda al dato personal, sea éste público o privado. De allí que:

 

"... cuando el titular de la misma sea identificado o identificable la información tendrá carácter personal porque el dato será personal desde la simple referencia a la persona, en tanto que a ella se refiere". A. I, HERRAN ORTIZ: La violación de la intimidad en la protección de datos personales, Dykinson S.L., 1998, p. 211.

 

Se sigue de ello que el término puede referirse a datos que constan en registros públicos, aún cuando la ley no los haya calificado de confidenciales. Cabría preguntarse por qué una protección a datos que constan en un archivo público. El derecho de autodeterminación informativa no implica sólo un derecho de exclusión a que el dato sea conocido; por el contrario es fundamental el derecho de control sobre la información que tengan terceros sobre una persona. Entonces, el reconocimiento de ese derecho sobre los datos constantes en los registros públicos tiene como objeto asegurar el control del derecho habiente sobre el uso y tratamiento que se dé a esos datos. Ello significa que la persona tiene el derecho de controlar el respeto de los terceros (incluido el titular del registro) al fin legal que justifica el registro de sus datos personales.

 

El diferente contenido de los datos personales ha llevado a la Sala Constitucional en algunas resoluciones a diferenciar en orden al régimen jurídico de los datos personales e incluso a negar el carácter de tales a determinados datos. Así, en resolución N° 754- 2002, de las 13:00 del 25 de enero de 2002, reiterada entre otras en la N° 10268-2008 de 19 de junio de 2008, la Sala se pronunció en concreto respecto de los diversos grados de protección propios de cada forma de tratamiento de datos:

 

“En la actualidad, debido a la facilidad y fluidez con que las informaciones son obtenidas, almacenadas, transportadas e intercambiadas, fenómeno en apariencia irreversible y que por el contrario tiende a acentuarse a cada momento, se hace necesario ampliar la protección estatal a límites ubicados mucho más allá de lo tradicional, en diferentes niveles de tutela. Así, debe el Estado procurar que los datos íntimos (también llamados “sensibles”) de las personas no sean siquiera accedidos sin su expreso consentimiento. Trátase de informaciones que no conciernen más que a su titular y a quienes éste quiera participar de ellos, tales como su orientación ideológica, fe religiosa, preferencias sexuales, etc., es decir, aquellos aspectos propios de su personalidad, y que como tales escapan del dominio público, integrando parte de su intimidad del mismo modo que su domicilio y sus comunicaciones escritas, electrónicas, etc. En un segundo nivel de restricción se encuentran las informaciones que, aun formando parte de registros públicos o privados no ostentan el carácter de “públicas”, ya que –salvo unas pocas excepciones- interesan solo a su titular, pero no a la generalidad de los usuarios del registro. Ejemplo de este último tipo son los archivos médicos de los individuos, así como los datos estrictamente personales que deban ser aportados a los diversos tipos de expedientes administrativos. En estos casos, si bien el acceso a los datos no está prohibido, sí se encuentra restringido a la Administración y a quienes ostenten un interés directo en dicha información. En un grado menos restrictivo de protección se encuentran los datos que, aun siendo privados, no forman parte del fuero íntimo de la persona, sino que revelan datos de eventual interés para determinados sectores, en especial el comercio. Tal es el caso de los hábitos de consumo de las personas (al menos de aquellos que no quepan dentro del concepto de “datos sensibles”). En estos supuestos, el simple acceso a tales datos no necesariamente requiere la aprobación del titular de los mismos ni constituye una violación a su intimidad, como tampoco su almacenamiento y difusión. No obstante, la forma cómo tales informaciones sean acopiadas y empleadas sí reviste interés para el Derecho, pues la misma deberá ser realizada de forma tal que se garantice la integridad, veracidad, exactitud y empleo adecuado de los datos. …Finalmente, se encuentran los datos que, aun siendo personales, revisten un marcado interés público, tales como los que se refieren al comportamiento crediticio de las personas; no son de dominio público los montos y fuentes del endeudamiento de cada individuo, pero sí lo son sus acciones como deudor, la probidad con que haya honrado sus obligaciones y la existencia de antecedentes de incumplimiento crediticio, datos de gran relevancia para asegurar la normalidad del mercado de capitales y evitar el aumento desmedido en los intereses por riesgo. Con respecto a estos datos, también caben las mismas reglas de recolección, almacenamiento y empleo referidos a los anteriores, es decir, la veracidad, integridad, exactitud y uso conforme. El respeto de las anteriores reglas limita, pero no impide a las agencias –públicas y privadas- de recolección y almacenamiento de datos, cumplir con sus funciones, pero sí asegura que el individuo, sujeto más vulnerable del proceso informático, no sea desprotegido ante el poder inmenso que la media adquiere día con día….”

 

            Puesto que no todos los datos personales reciben el mismo tratamiento jurídico, no todos se sujetan en igual forma al principio de legitimidad que rige el registro y tratamiento de los datos personales.

 

2.-        Los principios en orden al registro y tratamiento de datos personales

 

La Sala Constitucional se ha referido en diversas resoluciones a los principios que integran la protección de los datos personales. Se trata de los principios de:

 

·                    Transparencia: Los habitantes deben tener la posibilidad de conocer los datos personales que consten en los archivos, así como el tratamiento que recibirán esos datos, a fin de determinar si las referidas informaciones personales serán compartidas con otras instituciones. En ese sentido, debe imperar el derecho a obtener amplia información sobre la recolección y registro de los datos, información comprensiva del carácter obligatorio o facultativo de las respuestas que se formulen; de las consecuencias sobre la obtención de los datos o la negativa a suministrarlos y de la identidad y dirección del responsable del registro.

·                    El consentimiento del interesado, salvo norma en contrario.

·                    Especificación de los fines del banco de datos, así como de los contenidos, usuarios y plazos de caducidad de los datos.

·                    La recolección de los datos debe limitarse a los necesarios para el cumplimiento del fin.  La utilización de los datos debe limitarse a la finalidad para la que fueron recogidos. El titular de los datos tiene el derecho de controlar el respeto de los terceros (incluido el titular del registro) al fin legal que justifica el registro de sus datos personales.

·                    La información debe ser eliminada cuando desaparezca el fin para el cual se recabó. Caso contrario, deberá especificarse el fin por el cual se conserva.

·                    Se debe crear una obligación jurídica sobre el tratamiento confidencial de la información.

·                    Debe reconocerse el derecho de acceso, rectificación y bloqueo de la información. Este último procede mientras se determina la exactitud o la caducidad de la información.

·                    Calidad de los datos. Exactitud e integridad de la información.

·                    Seguridad de los datos. El responsable del fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

 

En principio, la legitimidad del fin del tratamiento automatizado de datos personales depende, en primer lugar, del consentimiento del afectado, que debe abarcar tanto recopilación como el tratamiento de los datos personales. El consentimiento es también requisito indispensable para la cesión de los datos, tanto si se trata de Administraciones Públicas como si la cesión se produce en favor de una base de datos privada.

 

            Empero, el principio del consentimiento no es absoluto. Se exceptúa ante la existencia de una autorización legal que faculte o permita la recopilación de datos personales en atención a un fin determinado. El fin definido por la ley permite el registro de los datos y sustituye al consentimiento. Ello significa que si la ley faculta o impone la recopilación de datos personales, no es necesario el consentimiento del derecho habiente. Lo que se justifica porque el consentimiento cede ante el fin específico definido por el legislador, que se entiende de interés general. Empero, ese consentimiento sería necesario si se pretendiera destinar los datos recopilados a un fin distinto de aquél por el cual la ley autorizó la recopilación y tratamiento. La ley no autoriza otro fin, por lo que la  Administración no puede pretende dar un nuevo destino a los datos recopilados sin el consentimiento del derecho habiente.

 

En el caso de la información que se pide por las entidades financieras, el fin está marcado por el objeto de la ley, sea la prevención de actividades legitimadoras de capitales indebidos, respecto de lo cual se imponen una serie de obligaciones a la entidad financiera.

 

De ese hecho, la recolección y tratamiento de datos personales debe responder a un fin legal o bien, ser consecuencia del consentimiento del derecho habiente. Este tiene el derecho de controlar el respeto de los terceros (incluido el titular del registro) al fin legal que justifica el registro de sus datos personales.

 

            Ligado al principio de legítima finalidad está el de la recolección de manera lícita. Existe ilicitud cuando los datos personales son recabados sin el consentimiento del interesado o sin contar con una autorización legal que lo faculte o bien, cuando una vez recabados son cedidos para otro fin, sin el consentimiento del interesado o, en su defecto, de una ley que la autorice. Es por ello que los datos personales no deben ser vendidos a terceros sin el consentimiento previo de la persona afectada. Simplemente, los datos protegidos solo pueden ser dados a conocer a terceros con el consentimiento del derecho habiente, o bien para satisfacer un interés público definido por el legislador. El legislador puede, entonces, autorizar la cesión de los datos aún contra el consentimiento del derecho habiente.

 

            Se deriva de lo expuesto que el legislador puede no solo facultar sino imponer la recopilación de datos personales cuando existe una necesidad de evidente interés público que lo justifica y en el entendido, entonces, de que el registro y tratamiento responde a fines públicos. Es este el caso de la información que las entidades financieras deben recabar de sus clientes con base en la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de Capitales y Actividades Conexas.

 

 

B.-       LA “POLÍTICA CONOZCA A SU CLIENTE”

 

La Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de Capitales y Actividades Conexas, Ley 7786 de 30 de abril de 1998, reformada por la Ley N° 8204 del 11 de enero del 2002, regula las actividades financieras con el fin de evitar la legitimación de capitales provenientes de delitos graves y de todos los procedimientos que puedan servir como medios para legitimar dichos capitales. Actividad de prevención y represión en la cual debe colaborar “toda persona” dentro del país (artículo 4 de la Ley). Dentro de ese objetivo se regulan las entidades financieras, así como los órganos encargados de la regulación y fiscalización de esas entidades, artículo 14, y las actividades realizadas por los particulares en las entidades financieras. Se impone a las entidades financieras un deber de identificación de los titulares de cuentas o de quienes realizan transacciones financieras. Deber que pesa sobre la entidad financiera, no sobre el cliente quien debe, sin embargo, respetar esa recopilación.

 

1.-        Autorización para recolectar información

 

Dispone el artículo 16:

 

“Artículo 16.—Con el objeto de prevenir las operaciones de ocultación y movilización de capitales de procedencia dudosa y otras transacciones encaminadas a legitimar capitales provenientes de delitos graves, las instituciones sometidas a lo regulado en este capítulo deberán sujetarse a las siguientes disposiciones:

a)    Obtener y conservar información acerca de la verdadera identidad de las personas en cuyo beneficio se abra una cuenta o se efectúe una transacción, cuando existan dudas acerca de que tales clientes puedan no estar actuando en su propio beneficio, especialmente en el caso de personas jurídicas que no desarrollen operaciones comerciales, financieras ni industriales en el país en el cual tengan su sede o domicilio.

b)    Mantener cuentas nominativas; no podrán mantener cuentas anónimas, cuentas cifradas ni cuentas bajo nombres ficticios o inexactos.

c)    Registrar y verificar, por medios fehacientes, la identidad, la representación, el domicilio, la capacidad legal, la ocupación o el objeto social de las personas, así como otros datos de su identidad, ya sean clientes ocasionales o habituales. Esta verificación se realizará por medio de documentos de identidad, pasaportes, partidas de nacimiento, licencias de conducir, contratos sociales y estatutos, o mediante cualesquiera otros documentos oficiales o privados; se efectuará especialmente cuando establezcan relaciones comerciales, en particular la apertura de nuevas cuentas, el otorgamiento de libretas de depósito, la existencia de transacciones fiduciarias, el arriendo de cajas de seguridad o la ejecución de transacciones en efectivo superiores a la suma de diez mil dólares estadounidenses (US $10.000,00) o su equivalente en otras monedas extranjeras.

d)    Mantener, durante la vigencia de una operación y al menos por cinco años a partir de la fecha en que finalice la transacción, registros de la información y documentación requeridas en este artículo.

e)    Conservar, por un plazo mínimo de cinco años, los registros de la identidad de sus clientes, los archivos de cuentas, la correspondencia comercial y las operaciones financieras que permitan reconstruir o concluir la transacción.”

 

Es decir, se autoriza un registro de datos personales, sea de datos que corresponden a una persona identificada o identificable, como son su nombre, número de identificación, domicilio, ocupación. Datos personales que están cubiertos por el derecho fundamental a la autodeterminación informativa a que hemos hecho referencia. La autorización de registro conlleva una obligación de identificar correctamente a sus clientes, identidad que debe registrar no solo con los datos que se precisan sino también mediante otros datos.

 

El registro de los datos personales es un registro realizado por la entidad financiera en cumplimiento de un mandato legal. Disposición que tiende a satisfacer un fin público como lo es la prevención de la legitimación de capitales. Ese fin público hace innecesario el consentimiento del interesado en la recolección de los datos. Notamos, al efecto, que el cliente no podría oponerse al suministro de la información que es requerida conforme el artículo 16. En efecto, su negativa al suministro de la información que prescribe la ley, implicaría un desconocimiento del mandato legal y por ende, de la obligatoriedad de sus disposiciones. Por consiguiente, para recabar y registrar la información, la entidad financiera no requiere solicitar el consentimiento del interesado. Requerir el consentimiento del cliente para el suministro de la información como única forma de mantener el respeto a la Constitución implica un juicio sobre la constitucionalidad del artículo 16 de la referida Ley. Interpretar que el respeto de la Constitución requiere el consentimiento del cliente, implica interpretar que la Constitución prohíbe recabar información protegida por el artículo 24 constitucional. No obstante, los derechos que se derivan de ese artículo, incluido el de autodeterminación informativa no son absolutos. La ley puede establecer restricciones para satisfacer fines públicos. En ese sentido, puede imponer la recolección, registro y tratamiento de datos personales con base en un fin público, como lo es la lucha contra la legitimación de capitales.

 

Lo anterior es también válido para la cesión de información, pero con un cierto matiz. En los supuestos en que el legislador expresamente ha autorizado o impuesto la cesión de la información, artículo 17 de la Ley por ejemplo, no es necesario recabar el consentimiento del cliente. Existe el deber de la entidad financiera y en su caso, del órgano supervisor de suministrar la información a las autoridades que expresamente la ley ha fijado. Incluso, cabría señalar que el cliente no debe conocer, en principio, que se ha solicitado y se ha cedido información sobre él. En efecto, conforme el artículo 18 de la Ley existe un deber de no divulgar a qué entidades o autoridades se suministra información para investigar operaciones financieras sospechosas. Es el caso de la información sobre los archivos de operaciones inusuales o sospechosas. Empero, si la entidad financiera o el órgano supervisor tuvieren interés en ceder dicha información a un tercero no comprendido en la lista de entidades a quienes se les puede comunicar la información, en ese supuesto sí sería necesario el consentimiento del cliente. Como ya se indicó, dichos registros contienen datos personales cubiertos por el derecho de autodeterminación informativa. Por consiguiente, el suministro de esos datos debe responder a un fin legal y si la cesión no responde a ese fin definido por el legislador, sí se requiere el consentimiento del derecho habiente.

 

Entiende la Procuraduría, sin embargo, que la cesión no es el supuesto que nos ocupa. Por el contrario, se está en una fase anterior que no es otra que el cumplimiento de la obligación que tiene la entidad financiera de recabar la información que el artículo 16 prescribe, para lo cual no se requiere el consentimiento del cliente. Y como este no se requiere tampoco se presume. Nótese que en ninguna parte del artículo, el legislador ha mencionado y menos establecido que la entidad financiera pedirá la autorización del cliente para recabar la información. Por consiguiente, el banco debe recabar la información allí enumerada. Requerir el consentimiento del cliente para recabar la información que se precisa implicaría sujetar la eficacia y eficiencia de la política de legitimación de capitales al consentimiento de cada uno de los clientes del banco. Por consiguiente, la entidad no tiene que  demostrar que el titular de la información consiente el haberla otorgado y acepta que es íntegra, veraz y exacta. Nótese, al respecto, que ninguna entidad financiera podría justificar su incumplimiento a lo dispuesto en el artículo 16, inciso c) en el hecho de que el cliente no dio su consentimiento en la recolección de los datos. Simplemente, dicho consentimiento no es necesario porque existe una norma que autoriza a crear el registro y obliga a identificar a los clientes.

 

El deber de la entidad financiera como titular responsable del registro y tratamiento de los datos personales del cliente no deriva del consentimiento de éste; por el contrario, es consecuencia misma del derecho de autodeterminación informativa. El respeto a este derecho, como vimos, le impone a la entidad financiera recopilar datos veraces, exactos, íntegros. Por consiguiente, independientemente del consentimiento del cliente, la entidad debe responder por la integridad, exactitud y precisión de la información. Este deber está presente en la jurisprudencia constitucional. En efecto, luego de que la Sala Constitucional enlista los principios y reglas que forman parte del derecho de autodeterminación informativa, expresamente agrega que deben ser cumplidas por la entidad responsable del registro:

 

“En el caso de todas las reglas antes mencionadas, es claro que el deber de cumplimiento de tales exigencias lo ostenta quien acopie y manipule los datos, siendo deber suyo –y no de la persona dueña de los datos- la estricta y oficiosa observancia de las mismas”. Resolución 754-2002 antes transcrita, reproducida en la N° 10268-2008 de 19 de junio de 2008. La negrita no es del original.

 

Y es que dichas reglas y principios se instituyen en protección y garantía de los derechos del titular de los datos, por lo que constituyen un límite para el titular del registro. Precisamente cuando el responsable no respeta esos principios y reglas, se otorga el amparo, permitiéndole al derecho habiente el control sobre la información que de él se tiene, así sentencias 754-2002 antes citada, 8996-2002 de 10:38 hrs. de 13 de septiembre de 2002 y 10019-2008 17:43 hrs. de 17 de junio de 2008.

 

2.-        La declaración jurada debe ser impuesta por ley

 

            El Banco Popular consulta si el formulario de “Política Conozca a su Cliente” tiene la connotación de una declaración jurada, que debe ser firmada por el cliente para que tenga validez.

 

            La autodeterminación informativa es un derecho fundamental, por lo que está protegido por el principio de reserva de ley en materia de Derechos Fundamentales. Esto implica que el régimen jurídico de este derecho debe ser establecido por la ley. Se deriva de dicho principio que cualquier restricción o limitación para el ejercicio del derecho debe provenir de una norma de rango legal. Lo anterior es importante porque la consulta se refiere a la facultad de exigir la presentación de información personal protegida mediante un formulario con valor de declaración jurada.

 

            El artículo 16 obliga a las entidades financieras a obtener y conservar información acerca de la verdadera identidad de las personas beneficiarias de una abertura de cuenta o de una transacción. Este es el supuesto en que se duda si el cliente no está actuando en su propio beneficio. Se impone el deber de obtener la información pero no se indica cómo se obtiene la información. En igual forma, la obligación de registrar y verificar la identidad y los datos personales de los clientes, que allí se precisan, no específica cuáles son los medios que empleará la entidad para tal fin,  salvo lo dispuesto para la identidad. En ese sentido, para la identidad el legislador recurre a los documentos de identificación normales, según se trate de una persona física o jurídica y en el caso de la primera, si es nacional o extranjero. Pero, además, se le faculta a recurrir a otros documentos públicos o privados para verificar los datos que recaba. La información que recaba debe ser conservada por un plazo mínimo de cinco años.

 

            La Ley de Estupefacientes no dispone que la información relativa a los datos personales de los clientes deba ser suministrada por medio de una declaración jurada de los clientes. Por consiguiente, tampoco modifica el contenido de la autodeterminación informativa, haciendo recaer en el cliente la responsabilidad por la integridad, exactitud y precisión de los datos que se registran.

 

El Reglamento General a la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de Capitales y Actividades Conexas, Decreto Ejecutivo N° 31684 de 8 de marzo de 2004, tampoco dispone sobre este punto.

 

            Dicho Reglamento prevé la creación de un “perfil” del cliente por parte de la entidad financiera. Un perfil que tiende a establecer el tipo, número, volumen, frecuencia de las operaciones, productos o servicios que se reflejarán en las cuentas del cliente. Empero, el modo y procedimiento para tal efecto no es establecido por el Reglamento. Dispone el artículo 17 del Reglamento:

 

“Artículo 17.— Diligencia debida en el establecimiento de la relación con los clientes. Al momento de establecerse una relación contractual de negocios con un cliente, sea persona física o jurídica, las instituciones supervisadas deberán establecer en sus archivos un perfil de dicho cliente, para determinar el tipo, número, volumen y frecuencia de las operaciones, productos o servicios que posteriormente se reflejarán en la cuenta del cliente. Los procedimientos que adopte cada institución supervisada para cumplir con este artículo, deberán permitir la recopilación de información suficiente para completar adecuadamente el perfil de cada cliente, al momento de iniciar la relación y durante el tiempo que ésta dure, y dar seguimiento a sus operaciones.

Las instituciones financieras cuando abran o mantengan cuentas de personas físicas o jurídicas, deberán requerir y mantener en los expedientes respectivos, que podrán ser electrónicos, la información mínima que establezca el CONASSIF al efecto”.

 

            La entidad financiera es libre para escoger los procedimientos que deben permitirle recabar la información suficiente y adecuada según el perfil del cliente, así como registrar la información mínima que establezca el CONASSIF. Esas obligaciones son reafirmadas por lo dispuesto en el numeral 18 del Reglamento:

 

“Artículo 18.— Identificación y conocimiento de los clientes. Las políticas y procedimientos sobre aspectos relacionados con la identificación y conocimiento de los clientes, y la información que toda entidad sujeta al cumplimiento de la Ley Nº 8204 deberá obtener, registrar, verificar y conservar relacionada con la identidad de todos sus clientes, será definida mediante normativa y lineamientos aprobados por el CONASSIF. Estos registros podrán ser electrónicos”.

 

Puede decirse que el parámetro que se establece está referido al carácter electrónico del registro. En consecuencia, el registro relativo a la identificación y conocimiento del cliente puede ser electrónico. Carácter que reafirma el artículo 20 al disponer:

 

“Artículo 20.— Custodia de información. Con el objeto de prevenir las operaciones de ocultación y movilización de capitales de procedencia dudosa y otras transacciones encaminadas a legitimar capitales provenientes de delitos graves, las instituciones sometidas a lo regulado en la Ley N° 8204 deberán establecer los siguientes tipos de registros:

a)    Registros de transacciones, que incluirán las operaciones financieras por un período de cinco años anteriores a la fecha en que finalice la transacción, y

b)    Registros de identificación de los clientes, archivos de las cuentas y correspondencia comercial durante todos los años en que el cliente se mantenga activo dentro de la institución y cinco años posteriores a la finalización de la relación entre el cliente y la institución, todo con el objetivo de mantener actualizada la documentación.

 Los registros indicados en los incisos a) y b) anteriores podrán ser electrónicos.

Cuando una entidad financiera haya reportado alguna operación sospechosa a las autoridades competentes y en virtud de una posible acción penal, dicha entidad deberá archivar y custodiar la documentación respectiva, atendiendo los plazos de prescripción estipulados en el Código Penal, relativo a los delitos tipificados en la Ley Nº 8204”.

 

            Puesto que el Reglamento remite a la Normativa emitida por el CONASSIF, interesa determinar qué dispone el Órgano Regulador.

 

Pues bien, la “Política Conozca a su Cliente” es regulada a partir del artículo 4 de esa Normativa. Ese numeral define qué se entiende por cliente y el mínimo de información que debe ser recopilada. Los datos requeridos para la persona física son, entre otros, nombre completo, fecha lugar de nacimiento, estado civil y profesión, nacionalidad, sexo, dirección exacta de la residencia permanente, indicada con puntos cardinales, dirección electrónica si aplica, ocupación y nombre del patrono o naturaleza de los negocios si trabaja en una actividad propia, monto de ingresos que percibe. Se establece que esa información debe estar respaldada documentalmente. Además, se agrega que:

 

“La entidad deberá definir las políticas y los procedimientos para conocer a sus clientes, los cuales deben comunicarse a la Superintendencia respectiva y estar disponibles para efectos de supervisión. Para cumplir con esta obligación, las entidades pueden solicitar al cliente documentación tal como: orden patronal, certificación de ingresos de Contador Público Autorizado, constancia de salarios, o recurrir al listado de patronos para aquellas personas cuyos salarios se depositan en cuentas de ahorro o cuenta corriente del producto del pago de planilla en la misma entidad o empresa de su grupo o conglomerado financiero, entre otros. En todo caso, es responsabilidad de la entidad el utilizar toda aquella información que considere confiable y válida, dependiendo del tipo de servicio ofrecido”.

 

            Tanto para personas físicas como para las jurídicas, se dispone que la entidad verificará los datos del domicilio del cliente, mediante recibo de servicios públicos, visitas al domicilio, constancia de alguna entidad oficial gubernamental o cualquier otro método que permita verificar el requisito, debiendo dejarse constancia en el expediente del cliente mediante copia de los documentos o a través de memorandos o bitácoras de visitas.

 

            Puede decirse que la Normativa respeta los principios definidos por la Ley y el Reglamento, sin que innove en orden a las obligaciones de las entidades financieras o imponga una obligación no prevista legalmente a los clientes. En ese sentido, no existe en la Normativa una disposición que permita afirmar que el cliente está obligado a firmar una declaración jurada como parte de la “Política Conozca a su Cliente”.

 

            Consecuentemente, puesto que ni el Reglamento Ejecutivo ni la Normativa del CONASSIF establecen el deber del cliente de demostrar la veracidad, exactitud y precisión de la información que sobre él se recaba, así como tampoco le exigen su consentimiento para el registro de su identidad, puede decirse que esta normativa secundaria respeta el contenido esencial del derecho fundamental a la autodeterminación informativa y el principio de reserva de ley en materia de Derechos Fundamentales.

 

            Sobre el tema de la declaración jurada como parte de las políticas para prevenir la legitimación de capitales por medio de entidades financieras, manifestamos en el dictamen N° C -199-2008 de 12 de junio 2008:

 

“De acuerdo con la consulta, el BANHVI considera que para garantizar la integridad de su personal y evaluar su condición socioeconómica requiere la presentación de  una declaración jurada relativa, precisamente, a la exactitud y certeza de los datos que se suministran. De esa forma, el empleado tendría que declarar a la entidad financiera qué bienes inmuebles, muebles (incluidos valores) posee, el ingreso mensual familiar, actividades extra y a qué destina el ingreso familiar. Una declaración que de resultar inexacta o falsa podría dar pie para la imposición de sanciones.

La entidad puede y debe establecer procedimientos que permitan evaluar las condiciones patrimoniales y financieras de sus empleados, pero ello no puede conducir a imponerles la obligación de presentar anualmente una declaración jurada de bienes. Esa obligación, en tanto implica una limitación a la esfera jurídica del interesado, debería ser impuesta por la Ley. Notamos, sin embargo, que la Ley 8204 no la contempla, así como tampoco lo hace su Reglamento General. Del Acuerdo N° 12-04 de la Superintendencia General de Entidades Financieras tampoco se deriva la facultad de imponer dicha declaración, lo que puede explicarse por la reserva de ley en materia de regulación de los Derechos Fundamentales y por la propia ausencia de norma de rango legal.

Como se deduce de lo antes dicho, la imposibilidad de exigir esa declaración no deriva de que la Ley contra la Corrupción y  el Enriquecimiento Ilícito en la Función Pública haya otorgado una competencia exclusiva y excluyente a la Contraloría General de la República para exigir del funcionario público que administre o custodie fondos públicos presentar una  declaración jurada sobre su situación patrimonial. Dicha Ley tiene un ámbito jurídico propio, distinto del regulado por la Ley N° 8204. Es claro, por demás, que la  exigencia a los funcionarios que administran fondos públicos de presentar la declaración de sus bienes responde a fines sustancialmente diferentes a los que informan la Ley N° 8204. Por el contrario, la razón por la cual no puede exigirse esa declaración radica en la reserva de ley en materia de Derechos Fundamentales a que ya hemos hecho referencia. Conforme ese principio, sólo la Ley puede exigir la declaración jurada que se cuestiona. Y lo cierto es que la Ley no dispone en los términos indicados. Es de advertir, sin embargo, que no obstante que la Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública no es la norma que resuelve el punto consultado, sí es lo cierto que revela la forma de regulación del punto: es decir, que la obligación de una persona de declarar bajo juramento sobre su situación socioeconómica y la de su núcleo familiar debe ser impuesta por la ley. Tómese en cuenta que es el artículo 21 de la Ley la norma que precisa cuáles son los funcionarios que deben presentar la declaración; en su mayoría se trata de funcionarios con poderes de decisión o en su caso, de manejo y administración de fondos públicos. En igual forma, la inclusión por disposición administrativa de otros funcionarios no expresamente mencionados por la ley tiene como límite el que ejerzan funciones relacionadas con los fondos públicos”.

 

La importancia que el legislador atribuye al registro de la información que señala y en particular de la relativa a la identificación del cliente no se discute. Basta recordar que la ausencia de esa identificación puede constituir una infracción, sancionada con una multa de cero coma cero cinco por ciento (0,05%) de su patrimonio, según lo dispone el artículo 81 de la Ley. Pero ese interés debe ser interpretado en el marco de los derechos constitucionales y legales tanto de los clientes como de las entidades financieras. Por consiguiente, no podría considerarse que se infringe ese deber de identificación cuando la entidad decide respetar los derechos fundamentales de los clientes, no obligándolos a firmar declaraciones juradas no exigidas por la ley.

 

            Adicionalmente debe considerarse que lleva razón el Banco Popular cuando afirma que la firma de una declaración jurada para efectos de la Política conozca a su cliente carece de relevancia jurídica. En efecto, el delito de perjurio requiere que la ley imponga bajo juramento o declaración jurada la obligación de decir la verdad respecto de hechos propios. Pero la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado y Actividades Conexas no establece esa obligación, según lo visto. Obligación que tampoco deriva del derecho de autodeterminación informativa.

 

 

CONCLUSION:

 

Por lo antes expuesto, es criterio de la Procuraduría General de la República, que:

 

1.         La legitimación de capitales por medio de las entidades financieras es una actividad delictiva susceptible de afectar la estabilidad política, social y económica del país. Las acciones tendientes a impedir que el sistema financiero sea utilizado para legitimar capitales de origen dudoso, particularmente del narcotráfico, responden a un fin público.

 

2.         La “Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de Capitales y Actividades Conexas”, N° 7786 de 30 de abril de 2001, reformada por la 8204 de 26 de diciembre de 2001, impone a las entidades financieras recabar información sobre sus clientes, a quienes debe identificar plenamente, así como a sus operaciones financieras. Consecuentemente, la entidad financiera no sólo está autorizada sino que está obligada a recabar  información sobre su cliente y a identificarlo fehacientemente.

 

3.         Parte de la información que debe ser recabada por la entidad financiera está protegida por el derecho de autodeterminación informativa. Un derecho que tiene como contenido el principio de legitimidad del fin. El fin definido por la ley permite el registro de los datos y sustituye al consentimiento del derecho habiente.

 

4.         En el caso que nos ocupa, la autorización legal es el fundamento legítimo del registro de los datos de carácter personal de los clientes de la entidad financiera. Por lo que ese registro no necesita el consentimiento del cliente.

 

5.         Dada la disposición legal, la ausencia de consentimiento no genera un problema de constitucionalidad y, en particular, no violenta los principios del derecho a la autodeterminación informativa.

 

6.         El respeto al derecho de autodeterminación informativa impone a la entidad financiera recopilar datos veraces, exactos, íntegros. Por consiguiente, independientemente del consentimiento del cliente, la entidad debe responder por la integridad, exactitud y precisión de la información.

 

7.         La Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de Capitales y Actividades Conexas no dispone que la información relativa a los datos personales de los clientes deba ser suministrada por medio de una declaración jurada firmada por los clientes. Por consiguiente, tampoco modifica el contenido de la autodeterminación informativa, haciendo recaer en el cliente la responsabilidad por la integridad, exactitud y precisión de los datos que se registran.

 

8.         El Reglamento General a la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de Capitales y Actividades Conexas, Decreto Ejecutivo N° 31684 de 8 de marzo de 2004, tampoco obliga al cliente a presentar una declaración jurada.

 

9.         La “Normativa para el Cumplimiento de la Ley 8204” emitida por el CONASSIF respeta los principios definidos por la Ley y el Reglamento, sin que innove en orden a las obligaciones de las entidades financieras o imponga una obligación no prevista legalmente a los clientes. En ese sentido, no existe en la Normativa una disposición que permita afirmar que el cliente está obligado a firmar una declaración jurada como parte de la “Política Conozca a su Cliente”.

 

10.       Puede afirmarse, entonces, que esta normativa secundaria (Reglamento Ejecutivo y reglamento del CONASSIF) respetan el contenido esencial del derecho fundamental a la autodeterminación informativa y el principio de reserva de ley en materia de Derechos Fundamentales.

 

11.       Consecuentemente, no existe fundamento normativo para que el Banco Popular y de Desarrollo Comunal exija a sus clientes firmar una declaración jurada como parte de la “Política Conozca a su Cliente”.

 

 

          Atentamente,

 

 

        Dra. Magda Inés Rojas Chaves

        Procuradora Asesora

 

 

MIRCH/mvc

 

Copia:      Oscar Rodríguez

Superintendente General de Entidades Financieras