El Deber de Custodia de Datos: Negligencia Bancaria y Financiera
La sorprendente revelación: los bancos deben cuidar tus datos
Parece una obviedad digna de un manual de primer grado, pero en la práctica jurídica, las obviedades suelen ser las primeras víctimas del pragmatismo corporativo. La idea de que una entidad financiera, depositaria de nuestra confianza y, lo que es más tangible, de nuestro dinero, tiene la obligación de custodiar celosamente la información personal que le confiamos, no es una cortesía. Es un mandato legal. Este deber de custodia no emana de un vago principio de buena voluntad, sino de una arquitectura jurídica robusta que a menudo se ignora hasta que el daño es un hecho consumado. El contrato bancario, ya sea explícito en un documento de doscientas páginas o implícito en la simple apertura de una cuenta, es un contrato de confianza. El Código Civil y Comercial de la Nación, en su infinita sabiduría, nos recuerda los principios de buena fe y el ejercicio regular de los derechos, que no son meras sugerencias poéticas. Son la base sobre la cual se construye toda relación contractual. La Ley de Defensa del Consumidor (N° 24.240) eleva la vara, estableciendo un deber de seguridad sobre los servicios prestados. Este deber no se limita a evitar que el techo de la sucursal se desplome sobre el cliente; se extiende, y con mucha fuerza, a la protección de su patrimonio informativo. Sumemos a este cóctel la Ley de Protección de Datos Personales (N° 25.326), que impone a los responsables de bases de datos la adopción de medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de la información. No hablamos de magia negra, sino de conceptos tan pedestres como encriptación, control de acceso, protocolos de destrucción segura de documentos y auditorías periódicas. La ‘custodia’, por tanto, trasciende el viejo archivador metálico con llave. En el siglo XXI, la negligencia más común es digital: bases de datos sin parches de seguridad, correos electrónicos con resúmenes de cuenta enviados a destinatarios equivocados, credenciales de acceso almacenadas en texto plano, o la pérdida de un pendrive con una pila de información sensible. El escenario es casi siempre el mismo: el cliente descubre una irregularidad, un crédito solicitado a su nombre, una compra que no realizó. Tras el estupor inicial, llega el llamado al banco, la música de espera, la transferencia entre diez departamentos distintos para culminar en una respuesta prefabricada que ofrece disculpas por las ‘molestias ocasionadas’. Esas ‘molestias’ son, en realidad, la manifestación de un ilícito: la violación del deber de seguridad por negligencia. La entidad no ha sido víctima de un ataque hacker de película; en la mayoría de los casos, ha sido la arquitecta de su propia vulnerabilidad por desidia, por abaratar costos en seguridad, por una falta de capacitación que resulta pasmosa. Y es en ese punto donde la ‘molestia’ del cliente se convierte en un caso con fundamento legal sólido.
El mapa del tesoro legal: cómo se prueba y reclama un daño
Aquí es donde el derecho procesal despliega su lógica, a menudo contraintuitiva para el profano. Uno podría pensar que el cliente, la víctima, debe demostrar con lujo de detalles cómo la entidad falló en sus protocolos de seguridad. Afortunadamente, los tribunales han adoptado una perspectiva más realista, conocida como la teoría de las ‘cargas probatorias dinámicas’. Este principio, plasmado en el Código Civil y Comercial, establece que la carga de la prueba recae sobre quien está en mejores condiciones de hacerlo. ¿Quién está en mejor posición para demostrar que sus sistemas eran seguros, que sus empleados estaban capacitados y que sus protocolos se cumplieron? Evidentemente, la entidad financiera. Al cliente le basta con acreditar la existencia del daño (la deuda inexistente, el fraude) y el nexo causal verosímil con la entidad donde depositó sus datos. La filtración o el uso indebido de su información es un indicio poderoso de que la custodia falló. El banco, para eximirse de responsabilidad, deberá demostrar que actuó con la diligencia debida, que el hecho se debió a una causa ajena, como la culpa exclusiva de la víctima o de un tercero por quien no debe responder (una hazaña probatoria considerable). Los mecanismos para canalizar el reclamo siguen un camino gradual. Primero, la intimación extrajudicial. La carta documento no es un simple papel con un sello. Es un acto jurídico formal que fija la posición del reclamante, constituye en mora al deudor, interrumpe la prescripción y sirve como prueba fundamental en un futuro juicio. Es el disparo de advertencia que indica que el asunto ha escalado de ‘molestia’ a ‘conflicto legal’. En paralelo o posteriormente, se puede recurrir a las vías administrativas. Una denuncia ante la Agencia de Acceso a la Información Pública (órgano de aplicación de la Ley 25.326) puede derivar en multas para la entidad, aunque no en una compensación directa para el afectado. Más efectiva para el consumidor suele ser la instancia de mediación obligatoria en el ámbito de consumo (COPREC a nivel nacional o sus equivalentes provinciales), que busca una solución conciliatoria antes de abrir la puerta a la justicia. Si todo esto falla, queda la vía judicial: la demanda por daños y perjuicios. Es aquí donde se despliega todo el arsenal jurídico para cuantificar la negligencia del banco en términos monetarios. El ‘auto’ judicial se convierte en el escenario donde se ventilan las pruebas, se citan peritos informáticos para que expliquen, con una paciencia infinita, por qué un sistema sin doble factor de autenticación en pleno 2024 es una invitación al desastre, y se debate la magnitud del daño sufrido.
Desglosando el daño: más allá del disgusto momentáneo
El concepto de ‘daño’ en derecho es mucho más sofisticado que el simple agujero en la cuenta bancaria. La negligencia en la custodia de datos genera una cascada de perjuicios que deben ser identificados y valorados. El más evidente es el daño emergente: el dinero directamente sustraído o las deudas generadas fraudulentamente. Es el costo de ‘reparar’ la situación, incluyendo gastos de abogados, peritos, envío de cartas documento, etc. Luego está el lucro cesante, más difícil de probar pero igualmente real. ¿El cliente perdió una oportunidad de negocio porque su línea de crédito fue afectada? ¿Su reputación comercial se vio manchada, impidiéndole cerrar un trato? Si se puede demostrar una probabilidad cierta de esa ganancia frustrada, es resarcible. Íntimamente ligado está la pérdida de chance, que no indemniza la ganancia perdida, sino la desaparición de una oportunidad probable de obtenerla. Pero el corazón de muchos de estos reclamos reside en el daño moral. Este no es un invento de abogados sensibleros. Es la compensación por la angustia, la zozobra, el estrés, la violación a la intimidad y la paz personal. Es el precio que el derecho le pone al tiempo perdido en reclamos inútiles, a la noche sin dormir pensando en una deuda ajena, a la humillación de ver el propio nombre manchado en un registro de deudores. Los jueces entienden que la tranquilidad es un bien jurídico protegido. Y luego, la joya de la corona del derecho del consumidor: el daño punitivo. Introducido por el artículo 52 bis de la Ley 24.240, este instituto no busca compensar a la víctima, sino castigar al proveedor por una conducta particularmente grave, una indiferencia dolosa o culposa hacia los derechos del consumidor, y disuadirlo de repetir esa conducta en el futuro. No es una multa para el Estado; es una suma de dinero para el bolsillo del consumidor afectado. Su procedencia se justifica cuando la negligencia no es un simple error, sino el resultado de una política empresarial que prioriza el ahorro en seguridad por sobre la protección de sus clientes. Es un mensaje claro del poder judicial: la negligencia sistemática no puede ser un cálculo de negocio rentable. Si el costo de indemnizar a los pocos clientes que reclaman es menor que el de invertir en sistemas seguros para todos, el daño punitivo viene a desequilibrar esa ecuación perversa a favor del consumidor.
Consejos no solicitados: una guía para las dos trincheras
En este campo de batalla legal, las estrategias difieren radicalmente dependiendo del lado de la trinchera en que uno se encuentre. Para el acusador, el cliente cuya confianza ha sido vulnerada, la disciplina es clave. Primero: documentar absolutamente todo. Anotar fecha, hora y nombre de cada interlocutor. Guardar correos, capturas de pantalla, resúmenes de cuenta. Crear una cronología del desastre. El tiempo borra los detalles, pero los registros permanecen. Segundo: escalar la formalidad. Una vez detectado el problema, las llamadas telefónicas pierden su valor. La comunicación debe ser fehaciente. La carta documento es el estándar de oro. Demuestra seriedad y preserva derechos. Tercero: desconfiar de las soluciones rápidas. La primera oferta del banco suele ser un intento de minimizar daños, una cifra calculada para comprar la paz a bajo costo. Aceptar sin un análisis completo del daño real (incluyendo el moral y la posibilidad del punitivo) es, a menudo, un mal negocio. Cuarto: entender que el objetivo no es solo recuperar el dinero. Es sentar un precedente. Es forzar a una organización de inmenso poder a tomarse en serio sus obligaciones más básicas. Para el acusado, la entidad financiera que enfrenta el reclamo, la soberbia es la peor consejera. Primer consejo: no agravar el error. Desde el momento en que se conoce la brecha, la prioridad es preservar la evidencia, no ocultarla. La tentación de ‘limpiar’ registros o negar lo evidente solo conduce a un castigo mayor en tribunales, donde la mala fe procesal se paga caro. Segundo: realizar una autopsia honesta. Una investigación interna rigurosa para entender qué falló, no para buscar un chivo expiatorio, es fundamental. Determinar si fue un error humano aislado, una falla de procedimiento o una vulnerabilidad sistémica. Tercero: negociar con inteligencia. Negar la realidad hasta el final suele ser una estrategia perdedora. Un acuerdo extrajudicial bien negociado, aunque costoso, puede ser infinitamente preferible a una sentencia condenatoria que incluya daño moral, daño punitivo y la publicación del fallo, con el consiguiente daño reputacional. Cuarto y fundamental: aprender la lección. Cada reclamo es una consultoría gratuita, aunque dolorosa, sobre las propias debilidades. Usar el incidente para reforzar la seguridad, capacitar al personal y revisar los protocolos no solo previene futuras demandas, sino que puede ser presentado ante un juez como una muestra de buena fe. Al final del día, todo este entramado legal, con sus tecnicismos y sus laberintos procesales, se reduce a una verdad incómoda para algunos: el derecho exige que las partes cumplan lo que prometen. Y un banco, al aceptar un cliente, promete implícitamente seguridad y confidencialidad. La ley no hace más que recordarle, a veces de forma muy onerosa, el valor de una promesa rota.
