La más reciente sanción del IFAI fue para SOLUFINTE, empresa dedicada a intermediar entre personas físicas solicitantes de préstamos de dinero en efectivo e instituciones de crédito, derivado de la denuncia de un Titular dado que dicha Responsable habría omitido contar con el Aviso de Privacidad correspondiente y manifestado al afectado que «…no tenían ninguna prohibición ni restricción alguna para dar información a terceras personas que ellos consideraran pertinentes…».

Los elementos contenidos en el expediente PS 0010/13 muestran que esa Responsable habría:

1. Recabado Datos Personales Financieros, relativos a ingreso, si su casa-habitación es propia, rentada o de un familiar, ingreso mensual mancomunado, gastos mensuales, monto y destino del crédito, mensualidad ideal, compromisos financieros e historial crediticio, sin el consentimiento de sus Titulares, sin indicar las finalidades que justifican el Tratamiento de los Datos Personales en mérito y sin haber obtenido su consentimiento expreso, por lo cual la multa fue de $230,621.00.
2. Obstruido los actos de  verificación del IFAI, lo cual motivó multa por $311,650.00.

Con relación al numeral 1 anterior, el representante de la Responsable manifestó en una visita de verificación que los Datos Personales mencionados son recabados mediante el formato de solicitud de crédito que. de acuerdo con dicho Instituto «no cumple con las características de ser un documento específico e informado para recabar el consentimiento…», puesto que «…no se establecen la finalidades que justifican el tratamiento de los datos, de tal suerte que dicho documento carece de los elementos que demuestran que se otorgó el consentimiento», agregando que «…dicha «solicitud de crédito no es el medio idóneo a través del cual los titulares manifiesten de manera expresa su consentimiento para el Tratamiento de sus datos personales financieros y patrimoniales, en virtud de que no contiene un señalamiento en dicho sentido, por lo que del referido formato no se desprende que los titulares otorgaran su consentimiento expreso, para el tratamiento de sus datos».

A ese respecto, y sin el más mínimo afán de tomar en forma ni medida alguna partido con la Responsable sancionada, creo conveniente mencionar que en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales, un servidor envió a COFEMER un memorandum resaltando los aspectos en que las actividades crediticias enfrentaban una carga regulatoria reiterativa en materia de autorización para el uso de los datos personales de los titulares solicitantes de crédito derivado de los requisitos de expresión del consentimiento previstos en la Ley para la Transparencia y Ordenamiento de los Servicios Financieros (la «LTOSF») y la LFPDPPP y su Reglamento, mismo que si bien fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) parece no haber tenido la atención de los reguladores financieros ni del de de protección de datos personales. Me parece indispensable que las diversas cabezas de sector de la administración pública federal emprendan los trabajos de regulación sectorial a que se refiere el artículo 40 de la LFPDPPP.

El tema es que tanto la referida LTOSF y las correspondientes Reglas de PROFECO y CONDUSEF para la misma requieren que las carátulas de los contratos de crédito incluyan espacios específicos para la manifestación del consentimiento del solicitante respecto de diversos elementos del contrato de crédito respectivo, particularmente del uso de tales datos para fines de mercadotecnia,por lo que se podría haber considerado solventado el elemento del Aviso de Privacidad a que se refiere el artículo 30 del citado Reglamento en tanto que el Tratamiento de los Datos Personales fuera realizado por Entidades obligadas a cumplir con la LTOSF, lo cual no parece haber sido el caso de Solufinte, pues esa Responsable aparentemente sería un intermediario y no un otorgante de crédito.

Por lo que corresponde al numeral 2, aparentemente se habría tratado de localizar a Solufinte en diversos domicilios, sin que el IFAI lo hubiera logrado, actualizándose la infracción prevista en el artículo 63, fracción XIV.

En suma, Solufinte deberá pagar multas por un total de $542,271.00, cantidad que aparece como determinada sin haber tenido la autoridad a la vista información financiera de dicha Responsable.

El día de ayer llevé a cabo una presentación sobre cumplimiento normativo en materia de Prevención e Identificaciónde Operaciones con Recursos de Procedencia Ilícita («Ley Anti-Lavado») a un nutrido auditorio de Profesionales Inmobiliarios (realtors), y dado que dicha ley versa esencialmente sobre el tratamiento de datos personales para la prevención de ciertos delitos fue necesario e inevitable hacer precisiones sobre la intersección de ambos ordenamientos.

La primera es que la presentación de los Avisos por la realización de operaciones derivadas de las Actividads Vulnerables previstas en el Artículo 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) no implica violación alguna a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Para empezar habría que considerar que conforme a los principios generales del Derecho generalmente el cumplimiento de las obligaciones derivadas de un ordenamiento no podrían, o al menos no deberían, resultar en la violación de otro, y mucho menos en responsabilidad por ello.

Pero para claridad absoluta, el artículo 22 de la LFPIORPI dispone expresamente que: «la presentación …de los Avisos, información y documentación a que se refiere esta Ley, por parte de quienes realicen las Actividades Vulnerables no implicará para éstos, transgresión alguna a las obligaciones de confidencialidad o secreto legal, profesional, fiscal, bancario, fiduciario o cualquier otro que prevean las leyes, ni podrá ser objeto de cláusula de confidencialidad en convenio, contrato o acto jurídico alguno».

A lo anterior habría que agregar que el Artículo 10, fracción I, de la LFPDPPP prevé como excepción al Principio del Consentimiento que el Tratamiento de Datos Personales que el Responsable pretenda realizar esté previsto en una Ley, como sería el caso de la presentación de Avisos conforme a la LFPIORPI. Adicionalmente el artículo 37, fracciones I y V, de la citada Ley exime de cumplir con el referido Principio en el caso de aquéllas Transferencias de Datos Personales que estén previstas en una Ley o Tratado, o que sean necesarias o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.

Partiendo de la base que conforme a sus Artículos 1 y 2 la LFPIORPI es de interés público, y tiene por objeto establecer medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita… para investigar y perseguir los delitos de tales operaciones, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y evitar el uso de los recursos para su financiamiento, sería acertado encuadrar la presentación de los Avisos dispuestos por esta última Ley en las citadas excepciones al mencionado Principio del Consentimiento.

Sin embargo es importante atender también a los Principios de Información y Finalidad igualmente dispuestos en el artículo 6 de la LFPDPPP y 9, fracciones III y V de la LFPDPPP, de acuerdo con los cuales:

• El Responsable debe dar a conocer al Titular la información relativa a la existencia y características principales del Tratamiento de sus Datos Personales a través del Aviso de Privacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento (Art. 23), y
• Los Datos Personales sólo podrán ser tratados para el cumplimiento de la(s) finalidad(es) determinada(s) que con claridad, sin lugar a confusión y de manera objetiva especifiquen en el Aviso de Privacidad para qué objeto serán tratados los datos personales (Art. 40).

Partiendo de las premisas que:

1. El Principio de Información no admitiría excepciones, y
2. El Lineamiento 24 del Aviso de Privacidad requiere para cumplir con el Principio de Finalidad que

• El listado de Finalidades descritas sea completo y no utilice frases inexactas, ambiguas o
  vagas, como “entre otras finalidades”, “otros fines análogos” o “por ejemplo”, y
• Las Finalidades descritas en el aviso de privacidad sean determinadas; que cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos
  personales.

De manera que siendo en extremo puristas, el apartado o capítulo de Finalidades del Tratamiento en los Avisos de Privacidad debería explicitar incluso que los Datos Personales de los Clientes o Usuarios de quienes realicen operaciones con personas dedicadas a Actividades Vulnerables serían usados para el cumplimiento de las obligaciones de tales Responsables conforme a la LFPIORPI.

Sin embargo, el Artículo 31 de las Reglas de Carácter General a que se refiere la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita prohíbe a quienes realicen Actividades Vulnerables alertar o dar aviso a sus Clientes o Usuarios respecto de cualquier referencia que sobre éstos se haga en los Avisos, o a algún tercero, así como a dichas personas respecto de cualquiera de los requerimientos de información, documentación, datos o imágenes previstos en la Ley y en el Reglamento.

Asi nos encontramos con una contradicción entre la LFPDPPP, que en principio requeriría la referencia al cumplimiento de la LFPIORPI entre las Finalidades que deberían ser determinadas en los Avisos de Privacidad, y las Reglas de Carácter General derivadas de ésta última, que prohíben hacerlo. Siendo la primera referida una ley de carácter general anterior en tiempo, en tanto que la segunda es particular posterior en tiempo, evidentemente la solución debe ser cumplir con ésta última, sin que ello pudiera suponer violación a aquélla.

Pero ese no es el único punto de desencuentro entre ambos ordenamientos; una pregunta más a considerar sería si es que el cumplimiento y aplicación de la LFPIORPI y su Reglamento y Reglas haría nugativa las excepciones de los artículos 36 y 37, fracción III, de la LFPDPPP, que permite llevar a cabo la Transferencia de Datos Personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos y políticas internas sin el consentimiento del Titular de los Datos Tratados.

Lo anterior debido a que el Artículo 14, fracción I, de las citadas Reglas de la LFPIORPI prevén que para aquéllas personas morales que realicen Actividades Vulnerables y formen parte de Grupos Empresariales, podrán integrar y conservar el expediente de identificación del Cliente o Usuario mediante cualquiera de las otras personas morales que formen parte del mismo Grupo Empresarial, aun cuando no realicen la misma Actividad Vulnerable, siempre que cuenten con «el consentimiento expreso del Cliente o Usuario para que dicha persona moral proporcione (Transfiera) los datos y documentos relativos a su identificación a cualquiera de las personas morales que conforman el Grupo Empresarial con la que pretenda realizar una Actividad Vulnerable.

En tal virtud, siguiendo el razonamiento aplicado para resolver la duda sobre la necesidad/obligación de incluir expresamente la presentación de Avisos respecto de operaciones celebradas en la realización de Actividades Vulnerables, quienes las realicen y pertenezcan a un mismo Grupo Empresarial no gozarían de la excepción para la Transferencia que implicaría el compartir el expediente único de sus clientes.

Algo más para considerar de cara a una eventual reforma de la LFPDPPP.