archivo

Archivos Mensuales: agosto 2013

Contrario a la experiencia que hemos tenido con la expedición de las normas en materia de protección de datos personales, las relativas a identificación y prevención de operaciones con recursos de procedencia ilícita ha sido llevada a cabo en tiempo y forma, lo cual evidencia la relevancia y prioridad que el asunto representa para el Ejecutivo Federal.

La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, fue publicada en el Diario Oficial de la Federación el 17 de octubre de 2012, entró en vigor el 17 de julio del presente año; su Artículo Segundo Transitorio previó que su Reglamento debería ser promulgado dentro de los 30 días siguientes a que la propia Ley entrara en vigor, y el pasado viernes 16 de agosto vimos la publicación del Reglamento en el Diario Oficial de la Federación.

Exactamente el viernes pasado fueron publicadas en el Diario Oficial de la Federación las las Reglas de Carácter General a que se refiere el artículo 6, fracción VII, de la citada Ley, mismas que prevén las medidas y procedimientos mínimos a seguir por quienes realicen Actividades Vulnerables, con la finalidad de prevenir y detectar actos u operaciones que involucren operaciones con recursos de procedencia ilícita, así como los términos y modalidades conforme a los cuales dichas personas deberán presentarse los Avisos que están obligadas a dar a la UIF de SHCP a través del SAT.

El artículo 17 de la Ley Anti-Lavado dispone que hay 15 Actividades Vulnerables sujetas a su normatividad:

  1. Práctica de juegos con apuesta, concursos o sorteos.
  2. Emisión o comercialización, habitual o profesional, de tarjetas de servicios, de crédito, de tarjetas prepagadas y de todas aquellas que constituyan instrumentos de almacenamiento de valor monetario, que no sean emitidas o comercializadas por Entidades Financieras.
  3. Emisión y comercialización habitual o profesional de cheques de viajero, distinta a la realizada por las Entidades Financieras.
  4. Ofrecimiento habitual o profesional de operaciones de mutuo o de garantía o de otorgamiento de préstamos o créditos, con o sin garantía, por parte de sujetos distintos a las Entidades Financieras.
  5. Prestación habitual o profesional de servicios de construcción o desarrollo de bienes inmuebles o de intermediación en la transmisión de la propiedad o constitución de derechos sobre dichos bienes, en los que se involucren operaciones de compra o venta de los propios bienes por cuenta o a favor de clientes de quienes presten dichos servicios.
  6. Comercialización o intermediación habitual o profesional de Metales Preciosos, Piedras Preciosas, joyas o relojes, en las que se involucren operaciones de compra o venta de dichos bienes.
  7. Subasta o comercialización habitual o profesional de obras de arte, en las que se involucren operaciones de compra o venta de dichos bienes.
  8. Comercialización o distribución habitual profesional de vehículos, nuevos o usados, ya sean aéreos, marítimos o terrestres.
  9. Prestación habitual o profesional de servicios de blindaje de vehículos terrestres, nuevos o usados, así como de bienes inmuebles.
  10. Prestación habitual o profesional de servicios de traslado o custodia de dinero o valores, con excepción de aquellos en los que intervenga el Banco de México y las instituciones dedicadas al depósito de valores.
  11. Prestación de servicios profesionales, de manera independiente, sin que medie relación laboral con el cliente respectivo, en aquellos casos en los que se prepare para un cliente o se lleven a cabo en nombre y representación suya: a) Compraventa de bienes inmuebles o la cesión de derechos sobre estos; Administración y manejo de recursos, valores o cualquier otro activo de sus clientes; c) Manejo de cuentas bancarias, de ahorro o de valores; d) Organización de aportaciones de capital o cualquier otro tipo de recursos para la constitución, operación y administración de sociedades mercantiles, o e) Constitución, escisión, fusión, operación y administración de personas morales o vehículos corporativos, incluido el fideicomiso y la compra o venta de entidades mercantiles.
  12. Prestación de servicios de fe pública por parte de Notarios y/o Corredores públicos, bajo ciertos términos.
  13. Recepción de donativos por asociaciones y sociedades sin fines de lucro.
  14. Prestación de servicios de comercio exterior como agente o apoderado aduanal, mediante autorización otorgada por la Secretaría de Hacienda y Crédito Público, para promover por cuenta ajena, el despacho de mercancías, en los diferentes regímenes aduaneros previstos en la Ley Aduanera, de mercancías determinadas.
  15. Constitución de derechos personales de uso o goce de bienes inmuebles.

Quienes realicen operaciones derivadas de dichas Actividades Vulnerables con una misma persona, en las que se alcance o exceda, ya sea en una sola operación o en varias dentro de un período de 6 meses los montos previstos por la normatividad referida, deberán presentar los correspondientes Avisos a más tardar el día 17 del mes inmediato siguiente, ya sea por sí (personas físicas) o a través de su representante encargado de cumplimiento normativo o por medio de las Entidades Colegiadas que sean autorizadas para tales efectos.

Los formatos oficiales para la presentación de Avisos fueron publicados hoy en el Diario Oficial de la Federación, en 2 secciones. Momento de ponerse a trabajar en la implementación del cumplimiento normativo de la materia, toda vez que el primer Aviso deberá ser dado el 30 de octubre de este año.

 

Paradójicamente la investigación del que tiene el dudoso honor de ser el primer caso de investigación sobre presuntas violaciones a la Ley Federal de Protección de Datos Personales es de la que deriva la sanción dada a conocer más recientemente.

En noviembre de 2012 se dio a conocer la multa de impuesta a Pharma Plus, S.A. de C.V., también conocida como Farmacias San Pablo, derivada del expediente PS.0002/2012, conforme al cual le fueron impuestas a esa Responsable multas del orden de:

  • 24,066 días de salario mínimo general vigente en el D.F. en el 2012, es decir $1’500,033.78, por contravenir el principio de información en el tratamiento de datos personales, y
  • 8,022 días de salario mínimo general vigente en el D.F. en el 2012, es decir $500,011.26, por omitir el elemento de identidad en su aviso de privacidad.

Apenas en estos días fue dado a conocer el expediente PS.0001/12, iniciado en contra de Océanica Internacional, S.A. de C.V., en que la autoridad de protección de datos determinó la imposición de una multa por el equivalente de 40,000 días de salario mínimo general vigente en el D.F. en 2012, del orden de $2’493,200.00, por la obstrucción en que habría incurrido dicha Responsable respecto de las visitas domiciliarias que el Pleno del IFAI ordenó realizar para constatar el cumplimiento de las disposiciones en materia de protección de datos, dado que no otorgó las facilidades necesarias para que se llevaran a cabo esas visitas (fracción XIV del artículo 63 de la LFPDPPP y III de su artículo 64).

En la resolución consta que para determinar ese monto el IFAI tuvo en consideración el importe del capital social de Océanica; habiéndoselo requerido y al no haber tenido respuesta, obtuvo copia del folio mercantil de la sociedad y constató que conforme a la protocolización de una Asamblea Extraordinaria de Accionistas el capital social de $36’596,000.00.

Sin embargo, el inciso a) del Considerando Sexto (p. 22) de la resolución indica que “[e]n el presente caso no se tomará en cuenta dicho elemento (naturaleza del dato, artículo 65, fracción I, de la LFPDPPP), toda vez que la conducta infractora que se sanciona es la obstrucción de los actos de verificación”. Es decir que en virtud de no haber podido tener acceso a la materia de tratamiento por parte de la Responsable, la autoridad optó por la prudencia y decidió no asumir que se llevaba a cabo el tratamiento de datos personales sensibles, aún cuando es del conocimiento público que como centro de trataimiento y rehabilitación Oceanica necesariamente daría tratamiento a datos personales sensibles.

Ello podría motivar duda en cuanto a si el expediente no representaría un precedente de “efficient breach”, o incumplimiento eficiente, coloquialmente referido en México como que a Oceánica “le salió barato”, dado que en términos del referido artículo 64, fracción IV, de la Ley Federal de Protección de Datos Personales las multas por infracciones cometidas en el tratamiento de datos sensibles pueden incrementarse hasta por 2 veces los montos establecido en las fracciones II y III del ciatdo artículo 64, pudiendo llegar a topes cercanos a los $41.5MDP.

La discreción siempre ha sido esencial para quienes ofrecen bienes y servicios de lujo, y los restaurantes de manteles largos no son la excepción. El riesgo de clonación de tarjetas de crédito, por ejemplo, está siempre presente cuando se atiende a comensales de alto poder adquisitivo que pagan con plásticos que tienen altos límites de crédito, y es algo con lo que el empresario restaurantero debe tener mucho cuidado.

El New York Times publicó un interesante artículo sobre cómo la video-vigilancia reduce la merma y pérdidas, e incluso incrementa la productividad y ventas en restaurantes. A la postre coadyuvaría a la protección de la seguridad de sus comensales, pero tendría que ser referido en los avisos de privacidad correspondientes, así como considerado en las respectivas Política de Privacidad y Relación de Medidas de Seguridad.

 

Por otra parte, en el siguiente enlace podrán encontrar el artículo sobre el tema escrito por un servidor (pp. 42-43) para la Revista Comensales, de la Asociación Mexicana de Restaurantes: http://www.amrdf.org.mx/revista/2013/Comensales13.pdf

Un hecho que no todos los obligados a la observancia y cumplimiento de la Ley Federal de Protección de Datos Personales parecen tener claro es que el cumplimiento normativo de dicho ordenamiento no se agota con solo publicar uno o varios avisos de privacidad.

El cumplimiento normativo completo en la materia comprende las siguientes acciones:

  1. Designación de un funcionario o departamento a cargo de la protección de datos al interior de la organización (artículo 30 de la Ley);
  2. Elaboración de los avisos de privacidad que sean necesarios, incluyendo su difusión a través de medidas compensatorias, de ser el caso (artículos 15 y 16 de la Ley);
  3. Implementación de una Política de Privacidad al interior de la organización, incluyendo capacitación al personal (artículo 48 del Reglamento), y
  4. Redacción de una relación de medidas de seguridad (artículo 61 del Reglamento).

A éste último respecto consideremos que el marco normativo de protección de datos personales en México es tecnológicamente neutro; es decir, que no requiere el empleo de tecnologías específicas. El artículo 19 de la Ley dispone que los Responsables no adoptarán medidas de seguridad menores a las que mantengan para su propia información. El Capítulo III del Reglamento indica cómo determinar esas medidas de seguridad, e incluye en su artículo 58 una disposición muy importante, conforme a la cual:

En términos de lo dispuesto en el artículo 65, fracción III de la Ley, en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda.

El Artículo Cuarto Transitorio del Reglamento dispuso que la antedicha relación de medidas de seguridad física, administrativa y técnica sería exigible a los 18 meses de su publicación en el Diario Oficial; es decir el 20 de junio del presente año, no obstante no haber sido publicadas en tiempo la recomendaciones del IFAI, tema del cual publiqué una entrada en su momento.

Pues finalmente fueron presentadas a COFEMER las Recomendaciones en Materia de Seguridad en Datos Personales 2013 del IFAI. Aunque parece que no será la versión definitiva, puesto que el propio Instituto solicitó la baja del expediente respectivo. Sin embargo, es un instrumento de consulta obligada para los proyectos de cumplimiento normativo ya implementados y los que vayan andando, en tanto que son publicadas para comentarios las definitivas.

 

 

Nota Gordoa HSBC negocios pag3

La semana pasada escribí sobre el caso del Sr. Víctor Gordoa, en campaña contra HSBC por 2 años tratando de recuperar los bienes depositados en una caja de seguridad de HSBC en La Herradura, por los que la institución de crédito no había dado cuenta.

Ahora se reporta la conclusión del tema: luego de la mediatización del caso y el ofrecimiento del mismísimo Presidente de la CONDUSEF para mediar en él, Víctor Gordoa fue recibido muy ceremoniosamente por personal de servicio, jurídico, de comunicación y por el Ombudsman del banco en la sucursal de Emerson, en Polanco, a la que ya había acudido anteriormente N número de veces, para recibir por fin sus efectos personales en compañía de un notario público.

El caso debería representar un aprendizaje importante para HSBC, que de acuerdo con estadísticas de la CONDUSEF está en el lugar 9 del “top ten” de acciones de defensa al usuario, en el 7 del correspondiente a controversias, 6 de solicitud de dictámenes (indicativo de usuarios que van a litigar contra él) y también de solicitudes de defensoría legal, rivalizando en ello con Banco Azteca. Naturalmente tales estadísticas deberían ser consideradas en relación con la penetración de la institución de crédito en el mercado.

Una pena que un caso tan simple tuviera que ser mediatizado para lograr una resolución adecuada.

Una semana después discutimos las lecciones que se pueden aprender del periplo que enfrentaron Aeroméxico, la agencia Catatonia Ads y la “castinera” Free Lance Casting por el llamado que ésta última habría hecho para un comercial que la segunda produciría bajo contrato con la primera empresa referida. Un caso que al propio Víctor Gordoa le fascinaría, más considerando las dificultades que Aeroméxico enfrenta ya por, digamos eufemísticamente, las “variaciones” en su calidad de servicio y nivel de puntualidad desde que Mexicana de Aviación paró.

Aparentemente el tema se destapó porque la bloggera Tamara de Anda, también conocida por su handle de Twitter @plaqueta (y reconocida en foros sobre políticas de Internet), habría recibido un correo electrónico con el llamado de la castinera que habría buscado reclutar gente con “look Polanco” pero a “nadie moreno” para un comercial de la marca “Club Premier” de Aeroméxico.

Los comentarios al respecto no se hicieron esperar en redes sociales; desde los que expresaban indignación preguntando retóricamente a la aerolínea si se era suficientemente rubio(a) para ser pasajero(a) en sus aviones,

…hasta otros que, irónicamente, se podrían leer como insinuasiones de la misma naturaleza racista y estereotipante que el acto contra el cual fueron twitteadas.

Por otra parte, la tibia respuesta del Consejo Nacional para Prevenir la Discriminación se hizo esperar… tanto o más que esta entrada.

y

Finalmente, la aerolínea y Catatonia tuvieron que publicar disculpas y tratar de hacer “control de daños“; sin embargo el daño a su marca ya está hecho y el incidente ha reforzado la triste realidad social de México, en donde el aspiracionismo derivado de literatura barata como “Las Niñas Bien” y “Las Reinas de Polanco” es el estándar, y parece que el sistema de castas quedó tatuado en el subconsciente colectivo mexa.

La lección para Aeroméxico y Catatonia debería ser clara: cuando se comisiona la producción de material publicitario se debe tener una comunicación muy cercana con la(s) agencia(s) involucradas, incluso con su(s) equipo(s) creativo(s), a quienes debería circulárseles un “brief” que transmita los valores de la marca y el manual para su uso. Siempre debería reservarse la facultad de aprobación o veto sobre la(s) subcontratación(es) de otras agencias para la logística de producción, y prever en el clausulado del contrato tanto obligaciones “de no hacer” (negative covenants) respecto de actos u omisiones que pudieran contravenir el brief y el manual, o causar impacto negativo a la marca o la empresa, así como la cláusula penal con la indemnización correlativa.

¿Sería propio de “la aerolínea que nos une a todos los mexicanos” un llamado a un casting en que no se reciba gente de tez morena?

La Línea que une MexicanosEn adición al daño a las marcas de Aeroméxico, Club Premier y Catatonia, hay que considerar que en México hay una Ley Federal para Prevenir y Eliminar la Discriminación, además de que el Código Penal para el Distrito Federal prevé un tipo penal de discriminación y, al menos al momento, no se ve ninguno de los dos estatutos haya sido aplicado al caso.

El tipo penal de discriminación prevé que se impondrán de 1 a 3 años de prisión o de 25 a 100 días de trabajo en favor de la comunidad y multa de 50 a 200 días al que, por razón de edad, sexo, estado civil, embarazo, raza, procedencia étnica, idioma, religión, ideología, orientación sexual, color de piel, nacionalidad, origen o posición social, trabajo o profesión, posición económica, características físicas, discapacidad o estado de salud o cualquier otra que atente contra la dignidad humana y tenga por objeto anular o menoscabar los derechos y libertades de las personas:

I.- Provoque o incite al odio o a la violencia;
II.- Niegue a una persona un servicio o una prestación a la que tenga derecho.Para los efectos de esta fracción, se considera que toda persona tiene derecho a los servicios o prestaciones que se ofrecen al público en general;
III.- Veje o excluya a alguna persona o grupo de personas; o
IV.- Niegue o restrinja derechos laborales

 

Estos aspectos y riesgos son unos entre tantos que el abogado de empresas dedicadas a los medios y actividades creativas debe preveer para e informar a sus clientes para ser un elemento de seguridad que evite situaciones como ésta del “#LOOKPOLANCO”.

Capitanes Víctor Gordoa HSBCVi por primera vez el video en que Víctor Gordoa difunde su queja contra HSBC en redes sociales y, al igual que mucho material que circula por esos canales asumí que podría ser spam, una hoax o algo por el estilo.

Sin embargo Capitanes en el Reforma del viernes me deó ver claramente 2 cosas: primera, que el caso es verdadero y resulta en otra instancia de ineficiencia y torpeza en la prestación de servicios por una institución de crédito mexicana, y segunda, que es otro más de los casos en que sólo una figura pública llama la atención de la autoridad.

Víctor Gordoa, director del Colegio de Imagen Pública recurrió además de a su columna en Excelsior a un video en YouTube como medio para vapulear a HSBC por la desaparición de los efectos que él y su señora habían depositado en una caja de seguridad de Banco del Atlántico (“en una pequeña sucursal de un barrio del Estado de México, conocido como La Herradura”), mismo que despúes se convirtió en Bital, el cual a su vez fue adquirido por HSBC.

El Sr. Gordoa narra que luego de 2 años de lidiar con varios gerentes de sucursal y de aportar pruebas documentales y físicas, el “el señor precavido y su esposa, la señora cumplida” han experimentado terror al no haber podido tener razón de lo que sucedió con su caja de seguridad en dicho banco, y menos con los efectos que habrían depositado ahí. Aunque el título del video (“Terror en HSBC”) no sea el mejor (angustia, preocupación, aprensión, sin duda), el efecto sobre la marca e imagen del banco, bastante abolladas por los casos de lavado de dinero, será el que el Sr. Gordoa busca.

HSBC no tendrá salida fácil del asunto: por un lado una figura pública lo está vapuleando, y jurídicamente es claro que cometieron una torpeza. Por principio, la operación es mercantil, ya que el artículo 75, fracción XIV, del Código de Comercio reputa como actos mercantiles a las operaciones de los bancos, y el propio Código, prevé tratándose del depósito mercantil, que el depositario está obligado a conservar la cosa, objeto del depósito, según la reciba, y a devolverla con los documentos, si los tuviere, cuando el depositario se la pida, y que éste último  responderá de los menoscabos, daños y perjuicios que las cosas depositadas sufrieren por su malicia o negligencia.

Ahora bien, la legislación bancaria dispone que el servicio de cajas de seguridad, como la del Sr. Gordoa, obliga al banco depositario a responder de la integridad de las cajas y mantener el libre acceso a ellas en días y horas hábiles. Pero además el Sr. Gordoa debería referirse a las condiciones generales del contrato que mostró en YouTube, ya que en las mismas deberían estipularse las causas, formalidades y requisitos que se observarían para que el banco pudiera proceder, ante notario público, a la apertura y desocupación de la caja, así como lo relativo a la custodia de los bienes extraídos.

Es inverosímil que HSBC no pueda dar cuenta de cómo, cuándo y ante qué fedatario habría cumplido con esas obligaciones, y que tampoco pueda presentar al Sr. Gordoa un instrumento público en el cual se relacionara el proceso de apertura y desocupación de su caja, o la custodia que se hubiera dispuesto para el cumplimiento de su obligación de conservación de los efectos depositados a su cuidado. Que HSBC escapara indemne de esto sería aún más sorprendente.

Lo único del caso que no es inverosímil es que, como siempre sucede en México, es por tratarse de una figura pública que la Presidencia de la CONDUSEF ofreció intervenir en el asunto, cosa que no sucede para “Juan Pueblo”, pero que la bonhomia del Sr. Gordoa le hizo extensiva al convocar a todo aquél que tuviera quejas contra HSBC para que concurrieran el día de ayer a sus oficinas para manifestárselas directamente a Mario di Constanzo.

Buena suerte para HSBC, mejor suerte para el Sr. Gordoa.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site