archivo

Archivos Mensuales: junio 2013

El Vaticano es un Estado en si mismo, y como tal también tiene una institución financiera propia: el Istituto per le Opere di Religione, también conocido como “Banco Vaticano”, fundado por Pío XII durante la Segunda Guerra Mundial. No obstante ello, no está libre de pecado.

A principios del año se dio cuenta de la suspensión de pagos con tarjetas de crédito en el Vaticano, lo cual fue un problema para los turistas, ya que el Banco de Italia no autorizó a Deutsche Bank Italia para continuar fungiendo como adquirente de tales transacciones realizadas con el “Banco Vaticano”, puesto que la institución no observaba debidos controles anti-lavado (AML). 

De hecho mirando entre los materiales del Grupo de Acción Financiera (GAFI) se encuentra el reporte de la más reciente evaluación recíproca de Italia, en que se apunta que apunta (página 6) que “Confirmado Lineamientos previos sobre el tema, tales Lineamientos requieren la implementación de medidas elevadas en Debida Diligencia con el Cliente (Customer Due Diligence), ya que la Ciudad del Vaticano no es una jurisdicción equivalente; medidas elevadas en CDD también se justifican por el  particular status y actividades del Instituto para Obras de Religión (IOR)”

El día de ayer se llevó a cabo el arresto de un Nunzio Scarano, otrora empleado del Deutsche Bank y ahora contador en la inmobiliaria vaticana, junto con un agente de la policía militar adscrito al servicio secreto y un corredor financiero, cuando pretendían ingresar a Italia, procedentes de Locarno, Suiza, con €20 Millones en efectivo. Los $25 Millones incautados y devueltos al gobierno de Veracruz en 2012 son “Pecatta Minuta” en comparación (más aun porque luego de investigarlos, la PGR los devolvió a ese gobierno estatal).

Esto sin duda abona a las sospechas que pesan sobre el “Banco Vaticano”, en lo cual el Papa Francisco ya ha puesto manos a la obra, y motiva cuestionamientos sobre cómo y cuándo esa institución se sujetará al cumplimiento de los controles anti-lavado internacionalmente aceptados. Pero una pregunta no menos importante es ¿qué fue de los “Pecados Sociales”? En 2008 la Santa Sede dio a conocer 7 conductas pecaminosas como ajustadas a la nueva realidad social, para la cual los 7 pecados capitales clásicos ya no bastaban.

Los nuevos “pecados sociales” presentados por el plenipotenciario apostólico del Vaticano son estos:

1. Las violaciones bioéticas, como la anticoncepción.

2. Los experimentos moralmente dudosos, como la investigación en células madre.

3. La drogadicción.

4. Contaminar el medio ambiente.

5. Contribuir a ampliar la brecha entre los ricos y los pobres.

6. La riqueza excesiva.

7. Generar pobreza.

¿Cuáles le imputarían a Nunzio Scarano?

La Ley Federal de Protección de Datos personales representa un gran avance, pero todo avance tiene un costo. En una entrada anterior (Conciliaciones ante el IFAI) cité la Primera Versión de la Manifestación de Impacto Regulatorio (con antecedente de rechazo) en la etapa de comentarios públicos al proyecto del Reglamento de la Ley Federal de Protección de Datos Personales, donde la COFEMER citó las perspectivas divergentes del IFAI y la American Chamber sobre los costos en que los Responsables podrían incurrir con motivo de la implementación de su cumplimiento normativo en la materia (vid. pp. 17-18 del documento).

En vista de lo anterior, ¿sería legítimo que los Responsables cobraran por la atención de solicitudes para el ejercicio de Derechos ARCO? Es decir, ¿podría ello volverse incluso un mecanismo recaudatorio, tal que lo que aparentmente sería un costo pudiera rendir ingresos?

Consideren, por ejemplo, el comunicado conjunto de COFETEL, PROFECO y el propio IFAI respecto del cobro mensual que TELMEX imponía a sus usuarios con motivo del servicio de número privado, a fin de que su número y nombre no aparecieran en directorios telefónicos ni fueran revelados a terceros por los servicios de operadora (nótese además la importante expresión del criterio sobre el hecho que un número telefónico es un dato personal protegido por la Ley), aun cuando ello constituiría una instancia de ejercico de oposición al tratamiento de los datos personales del titular de la línea.

Lo anterior es abiertamente contrario a lo previsto por el Reglamento de la Ley, conforme a cuyo Artículo 93 el ejercicio de los derechos ARCO deberá ser gratuito, y únicamente se podrá exigir al Titular el pago de los gastos de envío, reproducción o certificación, si hubiera sido solicitado, de documentos, excepto cuando el Titular formule una segunda o ulteriores solicitudes de Acceso a sus datos personales en menos de 12 meses y no hubiera habido modificaciones al Aviso de Privacidad que lo justificaran,en cuyo caso el Titular podría cobrarle hasta 3 días de Salario Mínimo General Vigente en el DF.

Léase que si el Titular solicita copia de su expediente laborar, por ejemplo, podría repercutírsele el costo del centro de copiado, o si pidiera una certificación de su nombre rectificado podría requerírsele el pago de la misma.

Lo anterior sin perjuicio de que el Responsable se valga de las estructuras con que ya contara para atención o servicio al cliente a fin de dar respuesta a las referidas solicitudes ARCO.

El día de ayer la prensa dio cuenta de la resolución de nuestro máximo tribunal por virtud de la cual la “Norma 29” de la pasada administración del Distrito Federal fue declarada inconstituticional

La norma “29 mejoramiento de las condiciones de equidad y competitividad para el abasto público”, fue aprobada por la V Legislatura de la Asamblea Legislativa y agregada hace 2 años a los Programas Delegacionales y Parciales de Desarrollo Urbano del D.F., Álvaro Obregón, Azcapotzalco, Benito Juárez, Coyoacán, Gustavo A. Madero, Cuauhtémoc, Iztacalco, Iztapalapa, Magdalena Contreras, Miguel Hidalgo, Milpa Alta, Tláhuac, Tlalpan, Venustiano Carranza y Xochimilco.

Tal estatuto previó que “Los establecimientos mercantiles en los que se pretenda preponderantemente la venta de artículos que conforman la canasta de productos básicos y, de manera complementaria, la de ropa y calzado, bajo el sistema de autoservicio, con el uso de tienda de autoservicio, supermercado, minisuper o tienda de conveniencia, sólo podrán situarse en predios cuya zonificación secundaria sea Habitacional Mixto (HM), así como en predios con frente a vías públicas en los que resulte aplicable alguna “norma de ordenación sobre vialidad” que otorgue la zonificación HM indicada en el plano del Programa Delegacional de Desarrollo Urbano correspondiente. 

Se exceptúa de la aplicación de esta norma a los establecimientos mercantiles que tengan el uso de suelo de tienda de abarrotes o miscelánea

Dicho de otra forma, autoservicios, supermercados, minisupers o tiendas de conveniencia no podrían establecerse en predios próximos a tiendas de abarrotes o misceláneas (¿no les faltó considerar las “recauderías”?).

Lejos de proveer a la “equidad y competitividad en el abasto público”, la Suprema Corte consideró que dicho ordenamiento es violatorio del artículo 28 de la Constitución Política de los Estados Unidos Mexicanos, por contravenir los principios de libre competencia y libre concurrencia, y atentar contra los intereses de los consumidores, coincidiendo con los criterios vertidos por la opinión de la Comisión Federal de Competencia Económica fechada el 8 de abril del 2011.

La Norma 29, impugnada por la Procuraduría General de la República, aguantó el año pasado el ataque a los vicios del procedimiento para su aprobación; sin embargo, esta disposición de corte populista claramente no resistió el análisis de su constitucionalidad, y su aplicación habrá de cesar en breve. 

Hoy día venció el úlitmo de los plazos concedidos por el marco jurídico que norma la protección de datos personales para el cumplimiento de las obligaciones previstas para los Responsables del Tratamiento de Datos Personales: la elaboración de su Relación de Medidas de Seguridad.

Recordemos que los Avisos de Privacidad y los nombramientos de los Funcionarios o Departamento a Cargo de Datos Personales por parte de los Responsables debieron haber sido publicados y hechos, respectivamente, para el 6 de julio del 2011 (a pesar de no haberse expedido para esa fecha el Reglamento de la Ley), y que los medios para el ejercicio de derechos ARCO tendrían que haber estado disponibles para los Titulares de Datos Personales el 6 de enero del 2012.

El artículo 19 de la LFPDPPP prevé que todo Responsable del Tratamiento de Datos Personales tiene obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales a los que dé tratamiento contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado (eventos que, de acuerdo conal artículo 63 del Reglamento aplicable constituyen vulneraciones generalmente notificables a los Titulares de los Datos Personales tratados).

A la postre las referidas medidas de seguridad deben actualizarse según manda el artículo 62 del propio Reglamento, lo cual reitera el hecho que la instrumentación del cumplimiento normativo de protección de datos personales no es un proyecto que se agote con la publicación de un aviso de privacidad, sino un proceso continuo y cambiante.

Dichas medidas de seguridad deben constar, de acuerdo con lo previsto en el último párrafo del artículo 61 del Reglamento de la Ley, en una relación de las mismas, para cuya elaboración se gozó, conforme al artículo Cuarto Transitorio del citado Reglamento, de un plazo de 18 meses contados a partir del mismo, y que feneció el día de hoy.

En fechas recientes las sanciones impuestas por el IFAI a empresas como Farmacias San Pablo, Banamex y Sport City han acaparado la atención del público y causado impacto por su magnitud, más considerando su cuantía respecto del costo de la implementación del cumplimiento normativo.

Sin embargo, poco se ha difundido sobre las conciliaciones alcanzadas hasta la fecha en procedimientos de protección de datos en los que, a instancia de dicho Instituto y con fundamento en los artículo 54 de la Ley y 120 de su Reglamento, el Titular y Responsable involucrados han transigido los casos presentados ante la mencionada autoridad, dejando sin materia la solicitud de protección de datos del Titular y, por lo tanto, conjurando la sanción administrativa.

Por principio, en el acta de la sesión del pleno del IFAI celebrada el 17 de abril del 2013 dicho cuerpo colegiado aprobó la conciliación alcanzada en los procedimientos de protección de derechos iniciados en contra de Teléfonos de México, Autobuses la Piedad y Lomelín Hermanos Bienes Raíces.

Los términos de estas conciliaciones no han recibido igual difusión que los de las antedichas sanciones, pero convendría tenerlos en cuenta con relación a la consideración de los costos que puede implicar la omisión o deficiencia en los costos de implementación.

¿Cuál es el costo de la implementación del cumplimiento normativo en materia de protección de datos personales? La respuesta depende; desde la Primera Versión de la Manifestación de Impacto Regulatorio (con antecedente de rechazo) en la etapa de comentarios públicos al proyecto del Reglamento de la Ley Federal de Protección de Datos Personales el IFAI y la iniciativa privada expresaron consideraciones divergentes al respecto.

Por ejemplo, la American Chamber (vid. pp. 17-18 del documento arriba citado) consideró que dependiendo del tamaño de la empresa Responsable del Tratamiento de Datos Personales, los costos de asesoría legal en la materia podrían alcanzar hasta $1’875,000.00, hasta $4’000,000.00 por asesoría técnica y $1’000,000.00 para la implementación de avisos de privacidad. Claramente dichas cifras se asumen referidas a Responsables sofisticados y “de gran calado”, como instituciones financieras o de salud que tratan datos patrimoniales o sensibles mediante estructuras de gran complejidad. 

Bajo esa perspectiva y en tales casos, el costo de la sanción podría resultar comparable al costo de implementación; sin embargo, habría que considerar también el riesgo reputacional que podría representar un caso seguido ante el IFAI en contra del Responsable.

El pasado 17 e octubre del 2012 fue publicada en el Diario Oficial de la Federación la “Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita”, comúnmente conocida como “Ley Antilavado”, cuyo Artículo Primero Transitorio previó una vacatio legis de 9 meses, por lo que el periodo de junio a julio de este año es el úlitmo tramo para empaparse del tema.

La función de dicho ordenamiento es extender los deberes de conocimiento del cliente (Know Your Customer, o “KYC”) y reportes a la autoridad de inteligencia financiera, habituales en el medio financiero, a sujetos que anteriormente no tenían tales obligaciones, bajo la premisa de que constituyen canales para que el crimen organizado disponga de los recursos obtenidos por sus actividades.

Hasta el momento la regulación mexicana sólo preveía que las instituciones financieras integraran expedientes de conocimiento del cliente (por eso le piden identificaciones, comprobantes de domicilio, referencias y datos de contacto al abrir una cuenta bancaria y emitirle una tarjeta de crédito), asumiendo que eran el canal para que el dinero mal habido permeara a la economía; existía también el delito de operaciones con recursos de procedencia ilícita como accesorio  las actividades que originaran esos fondos.

Lo anterior obviaba que para disponer o beneficiarse del dinero mal habido se acudía a otros comerciantes, ya fueran de automóviles y blindajes, de bienes raíces, joyería u obras de arte, e incluso a profesionistas para la constitución de sociedades, su fusión, escisión, transferencia de activos, etc. Estos son denominados “Negocios y Profesiones No Financieros” por el Grupo de Acción Financiera (GAFI o Financial Action Task Force), cuyas Recomendaciones a los países miembros contemplaban hace décadas que estos “Gatekeepers” tuvieran obligación de identificar a sus clientes, conocer al beneficiario final de sus operaciones y reportar las operaciones realizadas con ellos al igual que las instituciones financieras.

De acuerdo con el artículo 17 de la citada Ley, son consideradas “Actividades Vulnerables” (a la realización de operaciones con recursos de procedencia ilícita):

  1. Los juegos con apuesta o sorteos;
  2. La emisión o comercialización de tarjetas de servicios, crédito o prepagadas (esto incluye a las departamentales);
  3. La emisión y comercialización de cheques de viajero;
  4. El ofrecimiento habitual o profesional de operaciones de mutuo o de garantía, u otorgamiento de préstamos o créditos, con o sin garantía por parte de personas que no sean Entidades Financieras (por ejemplo, casas de empeño);
  5. La prestación habitual o profesional de construcción o desarrollo de bienes inmuebles o intermediación en la constitución de derechos sobre ellos (“corretaje”);
  6. Comercialización o intermediación habitual en la compraventa de metales o piedras precisos, joyas o relojes;
  7. Subasta o comercialización de obras de artes;
  8. Comercialización o distribución habitual de vehículos aéreos, marítimos o terrestres, nuevos o usados;
  9. Prestación habitual del servicio de blindaje  de vehículos terrestres o inmuebles;
  10. Servicio profesional de traslado o custodia de dinero o valores;
  11. Prestación de servicios profesionales independientes en compraventa o arrendamiento de inmuebles; administración o manejo de recursos , valores o activos; manejo de cuentas bancarias de ahorro o valores; organziación de aportaciones de capital para la constitución de sociedades, o constitución, escisión, fusión, operación y administración de personas morales;
  12. Prestación de servicios de fe pública, como notarios y corredores públicos;
  13. Prestación de servicios de comercio exterior, como agente o apoderado aduanal;
  14. Constitución de derechos personales de uso o goce de inmuebles.

Las personas físicas o morales dedicadas a cualquiera de las antedichas Actividades Vulnerables deberán:

  • Identificar a sus clientes e integrar un expediente al efecto, mismo que deberán conservar por al menos 5 años desde la realización de la operación;
  • Conocer la actividad u ocupación de esos clientes;
  • Procurar identificar al beneficiario de las operaciones realizadas; y
  • Presentar los avisos requeridos por la Secretaría de Hacienda y Crédito Público.

Las personas morales deberán designar a un funcionario que envíe dichos informes a la SHCP, mientras que las personas físicas deberán hacerlo personal y directamente, por regla general, el día 17 del mes inmediato siguiente a la fecha de la operación.

La SCHP podrá imponer multas de 200 a 2,000, de 2,000 hasta 10,000, y de 10,000 hasta 65,000 días de salario mínimo general vigente a quienes incurran en las siguientes conductas sancionadas:

  1. Omitir responder a los requerimientos de la SHCP;
  2. Incumplir las obligaciones arriba listadas;
  3. Omitir presentar en tiempo los avisos previstos, o presentarlos fuera de tiempo, y
  4. Realizar operaciones en contravención a sus artículos 32 y 33.

La SCHP podrá dispensar la sanción por una sola vez en casos de primera infracción, mediando cumplimiento espontáneo del infractor previo al inicio del ejercicio de facultades de verificación.

Adicionalmente se prevén tipos penales especiales:

  • Proporcionar dolosamente información, datos o imágenes falsos a los obligados a dar los avisos requeridos por la Ley, o
  • Dolosamente modificar o alterar información, datos o imágenes destinados a los antedichos avisos.

Conforme a lo dicho, la Ley Antilavado entrará en vigor el próximo 18 de julio del 2013; su Reglamento debería haber sido expedido por el Ejecutivo Federal el 19 de agosto del mismo año, fecha a partir de la cual se deberán presentar por primera vez los avisos correspondientes a las personas enumeradas en la presente entrada.

En suma, quedan 2 meses para que quienes realicen “Actividades Vulnerables” se empapen de la Ley y se encuentren en posiblidad de dar cumplimiento a estas nuevas obligaciones a su cargo.

Para variar un poco el contenido de este blog, la presente entrada está abierta a debate, aunque todas están siempre abiertas a sus amables comentarios.

En la entrada anterior referimos que entre las infracciones impuestas por el IFAI a la fecha figura una impuesta a Sport City, S.A. de C.V., por haber omitido en su Aviso de Privacidad las opciones y medios para limitar el uso de los datos personales a los que dan tratamiento.

Ahora bien, mirando el calce de la página de dicha empresa se encuentra un “Aviso de Privacidad de Datos Personales para Proveedores“, que prevé las siguientes finalidades:

  1. Identificación y de verificación,
  2. Contacto,
  3. Facturación de pagos y acreditamiento de pago por suministro de productos o prestaciones de servicios;
  4. En su caso, para la celebración de contratos;
  5. Realización de pagos vía transferencia electrónica, clasificación de los mismos en la contabilidad de la empresa en los rubros de cuentas por pagar y cuentas por cobrar.

Ahora bien, consideremos lo siguiente:

  • El artículo 2 de la LFPDPPP únicamente prevé 2 excepciones a su aplicación: a) Sociedades de Información Crediticia, y b) la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

No obstante obvios temas de subordinación jerárquica y reserva de ley, el artículo 5 de su Reglamento establece que sus disposiciones no serán aplicables a:

  1. La relativa a personas morales;
  2. La que se refiera a personas físicas en su calidad de comerciantes y rofesionistas, y
  3. La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.

Adicionalmente, el Decimocuarto de los Lineamientos del Aviso de Privacidad prevé expresamente que “… los responsables no estarán obligados a poner a disposición el aviso de privacidad para la información que refiera a las personas mencionadas en el artículo arriba citado”.

En vista de lo anterior, ¿piensan Uds. que Sport City, S.A. de C.V., tendría que tener un Aviso de Privacidad para Proveedores, particularmente considerando la tercera finalidad de tratamiento indicado por dicha Responsable en su Aviso de Privacidad?

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site