Agencia de Protección de Datos falla contra Scotiabank Costa Rica por envío de publicidad no deseada

Prodhab valora testimoniar piezas por perjurio contra representante legal del banco.

La Agencia de Protección de Datos de los Habitantes (Prodhab) falló en contra de Scotiabank Costa Rica en un caso presentado por un ciudadano que se quejó por el insiste envío de publicidad no deseada ni autorizada a su correo electrónico, por parte de la entidad bancaria.

Así consta en la resolución 280-2022 del 28 de junio de 2022 emitida por la Prodhab y por el voto 471-2023 de ayer, 1 de junio de 2023, en el cual se rechazó un recurso de reconsideración formulado por la representación legal de Scotiabank.

El caso se remonta al 25 de enero de 2019 cuando un ciudadano identificado como 'Jose Rodríguez' denunció a Scotiabank Costa Rica S.A. alegando que desde el 2017 ha recibido correos no solicitados sobre promociones de ese banco, sin haber sido cliente previamente, ni haber autorizado el envío de correos comerciales a su dirección; y que pese a que había contactado con la entidad en múltiples ocasiones externando su disconformidad y que en Servicio al Cliente le indicaban que darían de baja sus datos, esto no había sucedido y continuaba recibiendo correos de ese tipo.

Luis Enrique Gómez Portuguez, apoderado y subgerente y director regional legal de Scotiabank de Costa Rica S.A. respondió a la Prodhab que no fue sino hasta julio de 2018 que Scotiabank Transformándose (antiguo Citibank) y Scotiabank de Costa Rica S.A. se integraron, de modo que la información sobre el denunciante se obtuvo de la segunda sociedad; que el único correo que el denunciante recibió por parte de Scotiabank de Costa Rica S.A. fue en diciembre del 2018 y que desde abril de 2019 el denunciante no se encontraba registrado en sus bases de datos, y a la vez se aseguraron de marcar su nombre e información para que no fuera contactado por ningún ejecutivo del banco para fines comerciales.

Tras revisar la contestación de Scotiabank y las pruebas aportadas, la Prodhab determinó que en julio de 2017 y mayo de 2018, la entidad envió correos al denunciante ofreciendo sus productos; que en marzo de 2018, Rodríguez pidió que no se le enviara más información; pero pese a ello volvió a recibir correos con ofertas en diciembre de 2018 y mayo de 2019.

Ante ello, la Agencia de Protección de Datos determinó que existió un mal uso de los datos personales de denunciante, pues Scotiabank infringió el principio del consentimiento informado reconocido en el artículo 5 del Reglamento de la Ley 8968 que explícitamente dice:

Articulo 5. Principio de consentimiento informado.
(...)
2.Otorgamiento del consentimiento. (...) Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo. (...).

Para la Prodhab, no cabía duda de que el denunciante no había dado su consentimiento informado para recibir información por parte de Scotiabank de Costa Rica, y que pese a haber solicitado expresamente no recibir más información, y ser del conocimiento de la denunciada, posteriormente se envió información comercial sobre sus productos y servicios.

Para la Agencia, tal actuación se contrapone a lo dispuesto en el inciso 2 del artículo 7 de la Ley 8968, que dispone:

Artículo 7.- Derechos que le asisten a la persona
(...)
2.- Derecho de rectificación. Se garantiza el derecho de obtener, llegado el caso, la rectificación de los datos personales y su actualización o la eliminación de estos cuando se hayan tratado con infracción a las disposiciones de la presente lev. en particular a causa del carácter incompleto o inexacto de los datos. o havan sido recopilados sin autorización del titular. Todo titular puede solicitar y obtener de la persona responsable de la base de datos, la rectificación, la actualización, la cancelación o la eliminación y el cumplimiento de la garantía de confidencialidad respecto de sus datos personales. (...)

La Prodhab tomó en cuenta principalmente que Scotiabank le envió nuevamente oferta de servicios por correo al denunciante en mayo del 2019, de modo que el informe que había rendido el apoderado y subgerente y director regional legal de Scotiabank de Costa Rica S.A. faltaba a la verdad.

Se logra demostrar que ha sido contactado una vez más en mayo de 2019, tal como se mencionó supra, por lo que, el informe presentado por la parte denunciada falta a la verdad, ya que en el mismo se indica que no se cuenta con los datos personales del denunciante dentro de sus bases de datos y que se han asegurado de marcar su nombre e información personal para que no fuera contactado por ningún ejecutivo del banco para fines comerciales, sin embargo, esto no es cierto, ya que la prueba para mejor resolver aportada por el denunciante desvirtúa este hecho.

La Agencia dispuso que dado que la contestación de la parte denunciada era una declaración jurada, se testimoniarían piezas al Ministerio Público para que se investigara el eventual delito de perjurio, tipificado en el artículo 318 del Código Penal, que lo sanciona con cárcel de 3 meses a 2 años.

Asimismo, declaró con lugar la denuncia interpuesta y ordenó a la entidad denunciada realizar la eliminación definitiva de los datos personales de Rodríguez en sus bases de datos, y en lo sucesivo, abstenerse de incurrir en este tipo de acciones.

También la Prodhab ordenó que en adelante Scotiabank se asegure de que dentro de sus bases de datos se cuente con el consentimiento informado de los titulares de los datos personales, para toda gestión que se realice por parte de sus colaboradores, así como que se apliquen las mejores prácticas en el tratamiento de datos personales de sus clientes, para garantizar los derechos y garantías de éstos, y de los ciudadanos en general.

Reconsideración

Tras ser notificados de la resolución, Scotiabank planteó un recurso de reconsideración acusando que la ejecutiva de ventas que envió el correo al denunciante en mayo de 2019 "mantenía, sin nuestro consentimiento ni autorización, la información del señor Rodríguez Sánchez de manera personal, y sin autorización procedió a enviarle el correo electrónico, en contra del procedimiento establecido, violentando las políticas vigentes del banco para búsqueda de prospectos".

Scotiabank alegó que esa ejecutiva ya no laboraba en la entidad y que nunca había habido autorización del banco para tener bases de datos personales.

Lo indicado en la nota firmada por el Lic. Luis Enrique Gómez era correcto, pues la información personal del señor Rodríguez Sánchez no se encontraba en nuestras bases de datos digitales y lo ocurrido fue producto de una negligencia por parte de una persona que fue empleada del banco. (....) (...) Lo ocurrido en mayo del 2019, fue a un lamentable comportamiento, no autorizado coma de una exfuncionaria que se había saltado los protocolos establecidos. (...)

Por tal motivo, Scotiabank aseguró que el banco cumplió con lo requerido por el denunciante realizando la supresión de sus datos personales desde el año 2019, y que esa entidad cuenta con políticas y procedimientos internos referentes a la protección de datos personales, por lo que además pedían reconsiderar la disposición de ordenar testimoniar piezas ante el Ministerio Público en contra de Gómez Portuguez.

Al pronunciarse sobre la solicitud la Prodhab reiteró que Scotiabank debía ser conocedora de la Ley 8968 y su reglamento, y de la obligación de toda persona física o jurídica de respetar el derecho constitucional a la autodeterminación informativa, lo cual fue requerido por el denunciante en su momento y no se cumplió por parte de Scotiabank.

Al ser así, de manera proactiva y como co-responsables, tienen el deber legal y la obligación de verificar el actuar de cada uno de los involucrados en el uso, manejo, y/o tratamiento de los datos personales (...) cuya regulación debe ser conocida y aplicada por esa empresa y sus colaboradores, en observancia y cumplimiento del principio constitucional de que "Nadie puede alegar ignorancia del ordenamiento jurídico", por tal motivo, cada una de las partes intervinientes, en este caso, tanto los empleados de esa entidad, como en sí todo el banco, deben observar y aplicar las medidas de seguridad y protocolos mínimos de actuación necesarios para salvaguardar y proteger los datos personales de sus clientes.

Para la Agencia era evidente que eso no sucedió en este caso y que la propia empresa lo confirmaba en su escrito recursivo, por lo que no era "de recibo" la justificación dada por Luis Enrique Gómez Portuguez, representante legal de Scotiabank, en la que manifestaba que la situación irregular presentada se debió a una negligencia en la actuación de una exfuncionaria de ese banco que se saltó los protocolos, "pues precisamente esta actuación, denota una falta de controles y una evidente vulneración a las políticas y procedimientos internos del banco, siendo esa entidad la responsable de velar y capacitar a su personal respecto a la protección de los datos personales de sus clientes, y de que cada uno de éstos cumpla con dicha labor".

Por otra parte, sorprende a esta instancia que se realicen tales manifestaciones, pues precisamente el mismo señor Gómez Portuguez, en su informe rendido en fecha 22 de abril de 2019, indicó que la situación presentada se debía a la integración entre Scotiabank Transformándose y Scotiabank de Costa Rica S.A., y que, el único correo que recibió el señor Rodríguez Sánchez, por parte de su representada, fue en diciembre de 2018, sin embargo, tal como se constata en el presente expediente administrativo, así como lo confirma el mismo señor Gómez Portuguez en su escrito recursivo de fecha 6 de febrero de 2023, posteriormente el 7 de mayo de 2019 se vuelve a enviar correo electrónico al denunciante, por parte de una excolaboradora de Scotiabank, que inobservó las políticas internas del banco, lo cual hace ver una clara contradicción entre los argumentos vertidos en ambos escritos.

La Prodhab insistió que en un escenario ideal no deberían presentarse usos no autorizados de datos personales, menos aún si no se tiene claridad de que se cuente con el debido consentimiento informado y previo del titular, ya que es al responsable de las bases de datos a quien le corresponde adecuar sus bases al cumplimiento de la normativa vigente.

Karla Quesada Rodríguez, funcionaria de la Prodhab que contestó el recurso, señaló que el respeto a los derechos se fundamenta en el consentimiento del individuo como regla general, para que determinada información sea recabada y se garantice que la información que conste en diferentes archivos o bases de datos, no se utilice con fines diferentes y que estos sean veraces, lícitos, exactos y legítimos.

Quesada ordenó a Scotiabank que en el plazo de 20 días hábiles entregue en formato físico los protocolos mínimos de actuación, medidas de seguridad, políticas internas, estándares de protección de información, manuales de privacidad, códigos de conducta, procedimientos de control interno, manual de capacitación, actualización y concientización del personal certificado anualmente por el Área de Recursos Humanos, un rol y responsabilidad de un Delegado de Privacidad por unidad de negocio y sucursales con las funciones y actividades de cada uno de estos responsables, así como evidencia de un programa de capacitación en materia de privacidad, confidencialidad y seguridad de la información, abordando los principales controles establecidos en las políticas y procedimientos.

La Prodhab le advirtió a la entidad bancaria que de incumplir con lo ordenado se hará acreedora de las sanciones que establece la Ley 8968, las cuales son de 5 salarios base para las faltas leves, de 5 a 20 salarios base para faltas graves y de 15 a 30 salarios base para las faltas gravísimas.

Respecto a la orden de trasladar el posible perjurio al Ministerio Público, Quesada dispuso que ello quedará supeditado a la presentación de toda la información solicitada, la cual será primero analizado por la Agencia.