Ley Anti-Lavado y Protección de Datos Personales

El día de ayer llevé a cabo una presentación sobre cumplimiento normativo en materia de Prevención e Identificaciónde Operaciones con Recursos de Procedencia Ilícita (“Ley Anti-Lavado”) a un nutrido auditorio de Profesionales Inmobiliarios (realtors), y dado que dicha ley versa esencialmente sobre el tratamiento de datos personales para la prevención de ciertos delitos fue necesario e inevitable hacer precisiones sobre la intersección de ambos ordenamientos.

La primera es que la presentación de los Avisos por la realización de operaciones derivadas de las Actividads Vulnerables previstas en el Artículo 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) no implica violación alguna a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Para empezar habría que considerar que conforme a los principios generales del Derecho generalmente el cumplimiento de las obligaciones derivadas de un ordenamiento no podrían, o al menos no deberían, resultar en la violación de otro, y mucho menos en responsabilidad por ello.

Pero para claridad absoluta, el artículo 22 de la LFPIORPI dispone expresamente que: “la presentación …de los Avisos, información y documentación a que se refiere esta Ley, por parte de quienes realicen las Actividades Vulnerables no implicará para éstos, transgresión alguna a las obligaciones de confidencialidad o secreto legal, profesional, fiscal, bancario, fiduciario o cualquier otro que prevean las leyes, ni podrá ser objeto de cláusula de confidencialidad en convenio, contrato o acto jurídico alguno”.

A lo anterior habría que agregar que el Artículo 10, fracción I, de la LFPDPPP prevé como excepción al Principio del Consentimiento que el Tratamiento de Datos Personales que el Responsable pretenda realizar esté previsto en una Ley, como sería el caso de la presentación de Avisos conforme a la LFPIORPI. Adicionalmente el artículo 37, fracciones I y V, de la citada Ley exime de cumplir con el referido Principio en el caso de aquéllas Transferencias de Datos Personales que estén previstas en una Ley o Tratado, o que sean necesarias o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.

Partiendo de la base que conforme a sus Artículos 1 y 2 la LFPIORPI es de interés público, y tiene por objeto establecer medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita… para investigar y perseguir los delitos de tales operaciones, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y evitar el uso de los recursos para su financiamiento, sería acertado encuadrar la presentación de los Avisos dispuestos por esta última Ley en las citadas excepciones al mencionado Principio del Consentimiento.

Sin embargo es importante atender también a los Principios de Información y Finalidad igualmente dispuestos en el artículo 6 de la LFPDPPP y 9, fracciones III y V de la LFPDPPP, de acuerdo con los cuales:

  • El Responsable debe dar a conocer al Titular la información relativa a la existencia y características principales del Tratamiento de sus Datos Personales a través del Aviso de Privacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento (Art. 23), y
  • Los Datos Personales sólo podrán ser tratados para el cumplimiento de la(s) finalidad(es) determinada(s) que con claridad, sin lugar a confusión y de manera objetiva especifiquen en el Aviso de Privacidad para qué objeto serán tratados los datos personales (Art. 40).

Partiendo de las premisas que:

  1. El Principio de Información no admitiría excepciones, y
  2. El Lineamiento 24 del Aviso de Privacidad requiere para cumplir con el Principio de Finalidad que
  • El listado de Finalidades descritas sea completo y no utilice frases inexactas, ambiguas o
    vagas, como “entre otras finalidades”, “otros fines análogos” o “por ejemplo”, y
  • Las Finalidades descritas en el aviso de privacidad sean determinadas; que cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos
    personales.

De manera que siendo en extremo puristas, el apartado o capítulo de Finalidades del Tratamiento en los Avisos de Privacidad debería explicitar incluso que los Datos Personales de los Clientes o Usuarios de quienes realicen operaciones con personas dedicadas a Actividades Vulnerables serían usados para el cumplimiento de las obligaciones de tales Responsables conforme a la LFPIORPI.

Sin embargo, el Artículo 31 de las Reglas de Carácter General a que se refiere la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita prohíbe a quienes realicen Actividades Vulnerables alertar o dar aviso a sus Clientes o Usuarios respecto de cualquier referencia que sobre éstos se haga en los Avisos, o a algún tercero, así como a dichas personas respecto de cualquiera de los requerimientos de información, documentación, datos o imágenes previstos en la Ley y en el Reglamento.

Asi nos encontramos con una contradicción entre la LFPDPPP, que en principio requeriría la referencia al cumplimiento de la LFPIORPI entre las Finalidades que deberían ser determinadas en los Avisos de Privacidad, y las Reglas de Carácter General derivadas de ésta última, que prohíben hacerlo. Siendo la primera referida una ley de carácter general anterior en tiempo, en tanto que la segunda es particular posterior en tiempo, evidentemente la solución debe ser cumplir con ésta última, sin que ello pudiera suponer violación a aquélla.

Pero ese no es el único punto de desencuentro entre ambos ordenamientos; una pregunta más a considerar sería si es que el cumplimiento y aplicación de la LFPIORPI y su Reglamento y Reglas haría nugativa las excepciones de los artículos 36 y 37, fracción III, de la LFPDPPP, que permite llevar a cabo la Transferencia de Datos Personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos y políticas internas sin el consentimiento del Titular de los Datos Tratados.

Lo anterior debido a que el Artículo 14, fracción I, de las citadas Reglas de la LFPIORPI prevén que para aquéllas personas morales que realicen Actividades Vulnerables y formen parte de Grupos Empresariales, podrán integrar y conservar el expediente de identificación del Cliente o Usuario mediante cualquiera de las otras personas morales que formen parte del mismo Grupo Empresarial, aun cuando no realicen la misma Actividad Vulnerable, siempre que cuenten con “el consentimiento expreso del Cliente o Usuario para que dicha persona moral proporcione (Transfiera) los datos y documentos relativos a su identificación a cualquiera de las personas morales que conforman el Grupo Empresarial con la que pretenda realizar una Actividad Vulnerable.

En tal virtud, siguiendo el razonamiento aplicado para resolver la duda sobre la necesidad/obligación de incluir expresamente la presentación de Avisos respecto de operaciones celebradas en la realización de Actividades Vulnerables, quienes las realicen y pertenezcan a un mismo Grupo Empresarial no gozarían de la excepción para la Transferencia que implicaría el compartir el expediente único de sus clientes.

Algo más para considerar de cara a una eventual reforma de la LFPDPPP.

 

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site