X Área Derecho de la Competencia y Propiedad Intelectual X Contenido Funcionamiento de las centrales de riesgo informe especial GLOSARIO X-1 X-4 Ficha Técnica Autor:Dr. Cristhian Northcote Sandoval Título:Funcionamiento de las centrales de riesgo • Fuente: Actualidad Empresarial, Nº 229 - Segunda Quincena de Abril 2011 1.Introducción En la actualidad, la gran mayoría de empresas del sector financiero y muchas empresas industriales, de servicios y comerciales utilizan como mecanismo de evaluación de sus clientes la información de riesgo crediticio que tienen a su disposición a través de las centrales de riesgo. Así, antes de que una empresa bancaria o financiera otorgue un crédito a favor de una persona es casi seguro que evaluará el récord crediticio y de pagos que tiene dicha persona en una central de riesgo. Y éste es un mecanismo que vienen adoptando cada vez más empresas que no pertenecen al sistema financiero. Debido a su relevancia para la evaluación del riesgo que puede presentarse al celebrar una operación comercial, consideramos conveniente desarrollar los principales aspectos sobre el funcionamiento de las centrales de riesgo en nuestro país. • • • 2. Marco legal En el Perú las centrales de riesgo están reguladas por la Ley N° 27489 - Ley que regula las centrales privadas de información de riesgos y de protección al titular de la información, en adelante, la Ley. 3. Definiciones Para una mejor aplicación y comprensión de la Ley, se deben tener en cuenta las siguientes definiciones: • Información de riesgos. Información relacionada a obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar N° 229 Segunda Quincena - Abril 2011 • • su solvencia económica vinculada principalmente a su capacidad y trayectoria de endeudamiento y pago. Información sensible. Información referida a las características físicas, morales o emocionales de una persona natural, o a hechos o circunstancias de su vida afectiva o familiar, tales como los hábitos personales, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual u otras análogas que afecten su intimidad y todo lo referido en la Constitución Política del Perú en su artículo 2º inciso 6). Titular de la información. La persona natural o jurídica a la que se refiere la información de riesgos. Reporte de crédito. Toda comunicación escrita o contenida en algún medio proporcionada por una CEPIR con información de riesgos referida a una persona natural o jurídica, identificada. Banco de datos. Conjunto de información de riesgos administrados por las CEPIRS, cualquiera sea la forma o modalidad de su creación, organización, almacenamiento, sistematización y acceso, que permita relacionar la información entre sí, así como procesarla con el propósito de transmitirla a terceros. Recolección de información. Toda operación o conjunto de operaciones o procedimiento técnico que permita a las CEPIRS obtener información. Fuentes de acceso público. Información que se encuentra a disposición del público en general o de acceso no restringido, no impedida por cualquier norma limitativa, que está recogida en medios tales como censos, anuarios, bases de datos o registros públicos, repertorios de jurisprudencia, archivos de prensa, guías telefónicas u otros medios análogos; así como las listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo. • Tratamiento de información. Toda operación o conjunto de operaciones o procedimiento técnico, de carácter automatizado o no, que permita a las CEPIRS acopiar, almacenar, actualizar, grabar, organizar, sistematizar, elaborar, seleccionar, confrontar, interconectar, disociar, cancelar y, en general, utilizar información de riesgos para ser difundida en un reporte de crédito. • Difusión de información. Toda operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan a las CEPIRS comunicar, ceder, transmitir, dar acceso o poner en conocimiento de terceros la información de riesgos contenida en sus bancos de datos. La información de fuente Registros Públicos deberá indicar obligatoriamente la fecha y hora de la obtención de la información y si ésta es sólo informativa. Informe Especial Funcionamiento de las centrales de riesgo 4. Concepto de central de riesgo Para analizar su regulación y funcionamiento, primero debemos definir qué es una central de riesgo. El artículo 2º de la Ley define a las centrales de riesgo como “las empresas que en locales abiertos al público y en forma habitual recolecten y traten información de riesgos relacionada con personas naturales o jurídicas, con el propósito de difundir por cualquier medio mecánico o electrónico, de manera gratuita u onerosa, reportes de crédito acerca de éstas. No se consideran CEPIRS, para efectos de la presente Ley, a las entidades de la Administración Pública que tengan a su cargo registros o bancos de datos que almacenen información con el propósito de darle publicidad con carácter general, sin importar la forma como se haga pública dicha información. Actualidad Empresarial X-1 X Informe Especial Tenemos entonces en primer lugar, que, contrariamente a lo que muchas personas creen, las centrales de riesgo no son entidades públicas. Son empresas que tienen por actividad la recolección y tratamiento de información de riesgo sobre personas naturales y jurídicas. La norma expresamente señala que no se consideran centrales de riesgo a las entidades de la Administración Pública que tengan por función el tratamiento de información pública. Pero ¿qué debe entenderse por información de riesgo? La información de riesgo es la información relacionada a las obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica, mediante la cual se puede evaluar su solvencia económica y su capacidad y trayectoria de endeudamiento y pago. De esta manera, las centrales de riesgo son empresas cuya actividad es la recolección y difusión, gratuita u onerosa, de la información de riesgo de personas naturales y jurídicas. 5.Organización Las centrales de riesgo pueden ser constituidas bajo cualquiera de las formas de personas jurídicas permitidas en nuestro país, de conformidad con el artículo 4º de la Ley Nº 27489. Asimismo, existen impedimentos aplicables a las personas que ocupen los cargos de director, gerentes o funcionarios con capacidad de decisión en las centrales de riesgo, según se detalla a continuación: a) Los impedidos para ser directores y gerentes de conformidad con la Ley General de Sociedades; b) Los condenados por delitos dolosos; c) Los declarados en proceso de insolvencia, mientras dure éste; d) Los que registren protestos de documentos en los últimos cinco años; e) Los que, directa o indirectamente, tengan créditos vencidos por más de 120 (ciento veinte) días, o que hayan ingresado a cobranza judicial; y, f) Los que sean titulares, socios o accionistas de empresas vinculadas, a las que se refiere el literal b) del artículo 54º de la Ley del Impuesto General a las Ventas e Impuesto Selectivo al Consumo, que tengan créditos vencidos por más de 120 (ciento veinte) días, o que hayan ingresado a cobranza judicial. 6. Fuentes de información Ahora bien, las centrales de riesgo obtienen la información para sus bases de datos de fuentes públicas y privadas. La recolección de la información y su difusión no requiere de la autorización de la persona sobre la que trata dicha información. X-2 Instituto Pacífico Para la obtención de la información, las centrales de riesgo celebran contratos privados con las fuentes privadas o públicas, como son por ejemplo las personas naturales o jurídicas que hayan tenido relaciones civiles, comerciales, administrativas, bancarias, laborales o de índole análoga con la persona sobre la que trata la información. Estos contratos también pueden celebrarse con las entidades de la Administración Pública que recolecten o utilicen información de riesgos en el ejercicio de sus funciones, salvo que tal información haya sido declarada o constituya un secreto comercial o industrial. Aunque es inusual, también es posible que las centrales de riesgo obtengan la información de las propias personas sobre las que trata, en cuyo caso la central de riesgo debe informarles en forma expresa: a) La existencia del banco de datos, la finalidad de la recolección de la información y los potenciales destinatarios de ésta. b) La identidad y dirección de la central de riesgo que recolecta la información. c) El carácter facultativo de sus respuestas a las preguntas que le sean planteadas. d) Las posibles consecuencias de la obtención de la información. e) El alcance de sus derechos como titulares de la información que se recolecta. Asimismo, es derecho de los titulares de la información que se les entregue una copia del cuestionario o formulario que se utilice para la recolección de la información. 7. Tratamiento de la información La Ley establece algunas condiciones que deben cumplirse para el tratamiento de la información de riesgo: a) La recolección de información no podrá efectuarse por medios fraudulentos o ilícitos. b) La información recolectada sólo podrá ser utilizada para los fines señalados en la Ley. c) La información que deberá constar en los reportes informativos será lícita, exacta y veraz, de forma tal que responda a la situación real del titular de la información en determinado momento. Si la información resulta ser ilícita, inexacta o errónea, en todo o en parte, deberán adoptarse las medidas correctivas, según sea el caso, por parte de las CEPIRS, sin perjuicio de los derechos que corresponden a los titulares de dicha información. En cada reporte que emitan las centrales de riesgo se deberá señalar la fecha del informe. Si las centrales de riesgo reciben de sus fuentes información conteniendo la fecha de extinción de la obligación, la naturaleza de la misma, la tasa de interés efectiva, los otros conceptos cobrados y la entidad acreedora, deberán incluir expresamente dicha información en sus reportes. d) La información será conservada durante los plazos establecidos en la Ley o en su defecto, hasta que se produzca su cancelación. 8. Información excluida Las centrales de riesgo no podrán consignar en sus bases de datos ni difundir en sus reportes de crédito la siguiente información: a) Información sensible. Se entiende por información sensible a la información referida a las características físicas, morales o emocionales de una persona natural, o a hechos o circunstancias de su vida afectiva o familiar, tales como los hábitos personales, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual u otras análogas que afecten su intimidad y todo lo referido en la Constitución Política del Perú en su artículo 2º inciso 6). b) Información que viole el secreto bancario o la reserva tributaria. c) Información ilegal, inexacta o errónea. d) Información referida al incumplimiento de obligaciones de naturaleza civil, comercial o tributaria, cuando (i) la obligación se haya extinguido y hayan transcurrido 2 (dos) años desde su extinción; o (ii) 5 (cinco) años desde el vencimiento de la obligación. El caso de los protestos se regirá por la Ley de Títulos Valores. e) Información referida a sanciones exigibles de naturaleza tributaria, administrativa u otras análogas de contenido económico, cuando (i) hayan transcurrido 2 (dos) años desde que se ejecutó la sanción impuesta al infractor o se extinguió por cualquier otro medio legal, y (ii) 5 (cinco) años desde que se impuso la sanción. f) Informaciones referidas al incumplimiento de otras obligaciones que no sean comerciales, civiles, tributarias, laborales o de seguros. Excepcionalmente, las centrales de riesgo sólo podrán contener en su banco de datos obligaciones referidas a servicios públicos cuando se haya dejado de pagar dichos servicios por el titular de la información durante seis meses continuos. g) Información referida a la insolvencia o quiebra del titular de la información, cuando hayan transcurrido 2 (dos) años desde que se levantó el estado de insolvencia o 5 (cinco) años desde que se declaró la quiebra. N° 229 Segunda Quincena - Abril 2011 Área Derecho de la Competencia y Propiedad Intelectual 9. Difusión de la información de riesgo Las centrales de riesgo podrán difundir a terceras personas, de manera onerosa o gratuita, la información de riesgos que contengan en sus bases de datos. Para estos efectos, las centrales de riesgo tienen la obligación de implementar sistemas de seguridad técnica y administrativa que garanticen la seguridad de la información que manejan. 10.Derechos de los titulares de la información Los titulares de la información que consta en las bases de datos de las centrales de riesgo tienen los siguientes derechos: a) El derecho de acceso a la información referida a uno mismo registrada en tales bancos. b) El derecho de modificación y el derecho de cancelación de la información referida a uno mismo, registrada en tales bancos y que fuese ilegal, inexacta, errónea o caduca. c) El derecho de rectificación de la información referida a uno mismo que haya sido difundida por las centrales de riesgo y que resulte ser ilegal, inexacta, errónea o caduca. d) El derecho de actualización de la información referida a uno mismo, registrada en los bancos de datos, que no haya incluido pagos parciales o totales. El derecho de acceso que tienen los titulares de la información comprende la posibilidad de acceder, una vez al año o cuando la información contenida en los bancos de datos haya sido objeto de rectificación, a la información crediticia que les concierne que estuviese registrada en las bases de datos de las centrales. La información podrá ser obtenida por el titular de la información: a) De forma gratuita, mediante la visualización en pantalla de los datos o; b) Mediante el pago de una suma de dinero, que no excederá de los costos necesarios para la emisión del documento correspondiente, mediante un escrito, copia o fotocopia, en forma legible e inteligible, sin utilizar claves o códigos que requieran de dispositivos mecánicos para su adecuada comprensión. 11.Derecho de modificación y derecho de cancelación Los titulares de la información registrada en las bases de datos de las centrales de riesgo podrán solicitar la revisión de la información por cuenta y costo de las centrales y, de ser el caso, que se proceda a su modificación o cancelación, cuando se trate de información ilegal, inexacta, errónea o caduca, el titular de dicha información. N° 229 Segunda Quincena - Abril 2011 La solicitud debe presentarse por escrito, acompañando los medios probatorios que acrediten que el solicitante es el titular de la información, los datos concretos que se desea revisar y la documentación que justifique la solicitud. Las centrales están obligadas a brindar una respuesta dentro de los siete días naturales desde la presentación de la solicitud. También podrán prorrogar, hasta por cinco días naturales adicionales, el plazo para emitir una decisión definitiva, en cuyo caso, deberán difundir que dicha información es materia de revisión. En los casos en que la información se encuentre desactualizada como consecuencia de la falta de inclusión de datos sobre pagos parciales o totales, la fuente que generó dicha información, una vez detectado el error o la inexactitud, deberá actualizarla en un plazo de dos días hábiles, sin necesidad de solicitud del titular. A efectos de que las fuentes de información remitan los datos sobre pagos parciales o totales a las centrales de riesgo deberá aplicarse un plazo no mayor al utilizado para remitir información referida a obligaciones vencidas o pendientes de pago. Asimismo, las centrales de riesgo tendrán un plazo no mayor de dos días hábiles para actualizar los reportes de crédito referidos a pagos parciales o totales por parte de las fuentes de información. Los plazos antes señalados no son de aplicación para los casos de protestos de títulos valores, pues éstos se regulan por las disposiciones contenidas en la Ley N° 27287 - Ley de Títulos Valores. 12.Derecho de rectificación Cuando se verifique que la información consignada en las bases de datos de las centrales de riesgo es ilegal, inexacta, errónea o caduca, las centrales de riesgo deberán enviar, a su cuenta y costo, comunicaciones rectificatorias a quienes les hubiera proporcionado dicha información en los doce meses anteriores a la fecha en que se verifique el problema. 13.Protección en el ámbito judicial Los derechos de los titulares de la información contenidas en las bases de datos de las centrales de riesgo, que no sean considerados consumidores a efectos del Decreto Legislativo Nº 716 - Ley de Protección al Consumidor, podrán cautelarse en la vía judicial a través de un proceso sumarísimo que tendrá por objetivo que se modifique, cancele o rectifique una información que se considere ilegal, inexacta, errónea o caduca. La demanda para el inicio del referido proceso sólo podrá interponerse cuando el titular de la información hubiera obtenido un pronunciamiento, expreso o tácito, por parte de la central de riesgos X denegando una solicitud de revisión o de rectificación, tramitada conforme a lo dispuesto en los artículos 15º y 16º de la presente Ley N° 27489. 14.Responsabilidad civil y penal Las centrales de riesgo son objetivamente responsables por los daños que generen a los titulares de la información como consecuencia del tratamiento o difusión de información ilegal, inexacta, errónea o caduca. En los casos en que se determine que las centrales de riesgo son responsables por los daños causados a los titulares de la información, podrán repetir contra las fuentes proveedoras de la información cuando el daño sea ocasionado como consecuencia del tratamiento de información realizada por éstas. De la misma manera, los usuarios o receptores de la información de riesgo proporcionada por las centrales de riesgo, serán responsables por los daños que cause la utilización indebida, fraudulenta o que de otro modo perjudique a los titulares de la información. En estos casos, si las centrales de riesgo hubieran respondido por los daños causados a los titulares de la información, podrán repetir contra los usuarios o receptores de la información que causaron los daños. 15.Defensa de los titulares de información de riesgo Corresponde a la Comisión de Protección al Consumidor del INDECOPI resolver las controversias que se generen entre las centrales de riesgo y los titulares de la información de riesgo, vinculadas al cumplimiento de las disposiciones de la Ley N° 27489. A efectos de las denuncias que pueden interponer los titulares de información de riesgo contra las centrales de riesgo, la Ley N° 27489 tipifica las siguientes infracciones: a) Negarse a facilitar el acceso de un consumidor a la información de riesgos de la que es titular. b) Denegar una solicitud de revisión o una solicitud de rectificación de la información de riesgos de la que es titular un consumidor. c) Negarse a modificar o a cancelar la información de un titular luego de que éste haya tenido un pronunciamiento favorable en un procedimiento seguido de conformidad con lo establecido en el artículo 15º de la Ley N° 27489. d) No actualizar la información por la no inclusión de registros de pagos totales o parciales a que se refiere el numeral 15.6 del artículo 15 de la Ley N° 27489; no haberse remitido la información a las centrales de riesgo en el plazo estipulado en el numeral 15.7 del artículo 15º de la referida ley; y, Actualidad Empresarial X-3 X Informe Especial no actualizar los reportes de crédito en el plazo señalado en el numeral 15.8 del artículo 15º de la mencionada Ley. La responsabilidad que corresponde a las centrales de riesgo por las infracciones antes señaladas es de carácter objetiva, por lo que no podrán alegar la ausencia de intencionalidad o la negligencia de su conducta para evitar las sanciones correspondientes. Como se ha mencionado, la entidad competente para conocer las denuncias de los titulares de la información de riesgo e imponer las sanciones administrativas y las medidas correctivas a las que hubiere lugar, es la Comisión de Protección al Consumidor del INDECOPI. Para tal efecto, se aplicará el procedimiento único contemplado en el Título V del Decreto Legislativo Nº 807, Facultades, Normas y Organización del INDECOPI. Como requisito previo para la interposición de la denuncia, el titular de la información de riesgo deberá obtener un pronunciamiento expreso o tácito, denegando una solicitud de revisión o rectificación, tramitada conforme a lo dispuesto en los artículos 15º y 16º de la presente Ley N° 27489. 16.Sanciones y medidas correctivas La Comisión de Protección al Consumidor del INDECOPI puede sancionar a las centrales de riesgo que incurran en las infracciones previstas en la Ley N° 27489, con las siguientes sanciones: • Amonestación. • Multa ascendente hasta la suma de 100 UITs. Para este efecto, se han tipificado como infracciones las siguientes: a) Negarse a facilitar el acceso de un consumidor a la información de riesgos de la que es titular; b) Denegar una solicitud de revisión o una solicitud de rectificación de la información de riesgos de la que es titular un consumidor; c) Negarse a modificar o a cancelar la información de un titular luego de que éste haya tenido un pronunciamiento favorable en un procedimiento seguido de conformidad con lo establecido en el artículo 15º de la presente Ley; o, d) No actualizar la información por la no inclusión de registros de pagos totales o parciales a que se refiere el numeral 15.6 del artículo 15º de la Ley; no haberse remitido la información a las CEPIRS en el plazo estipulado en el numeral 15.7 del artículo 15º; y, no actualizar los reportes de crédito en el plazo señalado en el numeral 15.8 del artículo 15º de la Ley. La determinación y graduación de la sanción se efectuará atendiendo a la gravedad de la falta, el daño resultante de la infracción, los beneficios obtenidos por la central de riesgo, la conducta de la central de riesgo a lo largo del procedimiento, los efectos que se pudiesen ocasionar en el titular de la información y otros criterios que, dependiendo del caso particular, considere adecuado adoptar la Comisión. Además de las sanciones que puede imponer la Comisión, también podrán dictarse medidas correctivas que tengan por finalidad eliminar o reducir los efectos nocivos de la infracción cometida por las centrales de riesgo. En tales casos, la Comisión podrá ordenar alguna de las siguientes medidas correctivas: a) La modificación o cancelación de la información de riesgos registrada en sus bancos de datos; y, b) La rectificación de la información comercial de riesgos difundida en el mercado, por cuenta y costo del infractor, en la forma que determine la Comisión. Ahora bien, además de las sanciones y medidas correctivas que pudieran corresponder a las centrales de riesgo, la Comisión de Protección al Consumidor podrá imponer sanciones a las fuentes proveedoras de la información que incurran en alguna infracción tipificada en la Ley N° 27489 y, en general, a terceras personas que hubieran proporcionado a las centrales de riesgo información que resulte ilegal, inexacta, errónea o caduca. 17.Conclusiones Como hemos podido observar, la información que administran las centrales de riesgo puede ser de mucha utilidad para el análisis del riesgo crediticio de un posible cliente con el que deseamos contratar. Pero, debido a los efectos nocivos que puede tener el indebido manejo de la información de riesgo, es necesario que exista un control y supervisión de las actividades de las centrales de riesgo, tanto por parte de las autoridades administrativas como por parte de los propios interesados, que serían los titulares de la información de riesgo. Probablemente, el mecanismo más adecuado para la protección de los derechos de los titulares de la información de riesgo sea el procedimiento de denuncia ante la Comisión de Protección al Consumidor. Se trata de un procedimiento administrativo bastante corto y a través del cual se puede obtener una resolución en poco tiempo. Si se determina la comisión de una infracción por parte de una central de riesgo, la Comisión tiene la facultad de imponerle una multa y ordenarle la rectificación de la información que hubiera perjudicado al denunciante. Sin embargo, como resultado del procedimiento administrativo no pueden obtenerse indemnizaciones, si es que el titular de la información ha sido afectado de manera tal que deba ser resarcido. Para obtener una indemnización, la vía aplicable sería la judicial, es decir, que el titular de la información afectado deberá iniciar un proceso judicial contra la central de riesgos a fin de que ésta lo indemnice por los daños causados. A pesar de los posibles riesgos que puede generar el manejo de la información de riesgo, consideramos que la labor de las centrales de riesgo es importante para la evaluación del otorgamiento de un crédito. Debe tenerse en cuenta que sin la información que administran las centrales de riesgo cada entidad que quisiera conceder un crédito tendría que efectuar por su cuenta la recopilación de la información crediticia del posible cliente, lo cual elevaría los costos de la transacción y generaría un mayor tiempo para determinar si se otorga o si se deniega el crédito. Glosario 1. ¿Es válida la publicidad en la que son comparados los productos de los competidores? X-4 Si, la publicidad comparativa, que es aquella en la cual un proveedor de bienes o servicios compara las cualidades de su producto o servicio con el de sus competidores, es válida. Pero deben respetarse algunos parámetros previstos por las disposiciones en materia de publicidad comercial, tales como que la publicidad no puede ser denigratoria y que la información vertida debe ser exacta, veraz y pertinente. Instituto Pacífico 2. ¿Los monopolios están prohibidos en el Perú? No, la sola existencia de un monopolio no está prohibida en el Perú. Lo que está prohibido es el abuso de la posición de dominio o posición monopólica, lo que quedará a decisión del INDECOPI para determinar la existencia de abuso. Las que considere conveniente, para que éstas utilicen la marca para distinguir los productos o servicios para los cuales ha sido registrada. N° 229 Segunda Quincena - Abril 2011