2 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

Multa el IFAI a Afore XXI Banorte con $1’246,000.00

La sanción más recientemente publicada por el IFAI correspondió a la Afore de Grupo Financiero Banorte, por el tratamiento de datos personales financieros y patrimoniales que dicha Responsable llevó a cabo en contravención a los Principios de Licitud y Consentimiento que informan a la LFPDPPP y violando los artículos 6, 7, párrafo primero y 8, párrafos primero, segundo y cuarto, del citado ordenamiento. Lo anterior no obstante que de acuerdo con un comunicado del propio Instituto fechado en marzo de este año, se llevó a cabo un taller para capacitar a representantes de la Asociación Mexicana de Administradoras de Fondos para el Retiro (AMAFORE) en materia de cumplimiento normativo de la LFPDPPP.

El caso se originó con el traspaso de un cuentahabiente de Afore Metlife a la Afore Bancomer en noviembre del 2012, operación que fue negada por el Titular denunciante, quien solicitó la intervención del referido Instituto para dilucidar quién habría estampado sus huellas dactilares y puesto su fotografía en la hoja de firmas correspondiente. Un caso más de traspaso no autorizado, situación que desafortunadamente ha sido común en el medio del ahorro para el retiro. Ahora bien, el que la Responsable sancionada haya sido una Afore distinta de la nombrada en la denuncia se debe a que Afore Bancomer fue fusionada por Afore XXI Banorte, quien dio contestación como Responsable al requerimiento del Director de Verificación del IFAI.

En suma, dicho Instituto resolvió que la Responsable había dado Tratamiento a los Datos Personales del denunciante violando los Principios de Licitud y Consentimiento previstos en la LFPDPPP, por haber utilizado los Datos Personales financieros y patrimoniales de dicho Titular sin contar con su consentimiento expreso, respecto de lo cual el inciso C) del Considerando Cuarto refiere el oficio No. D00/200/0148/2011, fechado el 22 de diciembre de 2011, por el cual se dio a conocer a PROCESAR, S.A. de C.V., empresa operadora de la base de datos nacional del SAR, el «Modelo de Medios Electrónicos de Traspasos por Internet», mismo que prevé como requisito indispensable el consentimiento expreso del trabajado para el traspaso de su cuenta individual.

Del asunto mismo conviene destacar una mención en el párrafo segundo del inciso B) del Considerando Cuarto, en que se menciona la confesión expresa de la Responsable en el sentido que «…el promotor de nombre ___________ (mismo que fue dado de baja el pasado 26 de febrero de 2013), haciendo alusión que dentro de sus funciones está la recabación (sic) de información personal y confidencial y utilizar la misma para promover el traspaso de los recursos de su cuenta individual […] que sin consentimiento del C. ________ y sin conocimiento de esta administradora utilizó dichos datos para solicitar el traspaso de sus recursos […]».

El IFAI resolvió que la conducta infractora había sido realizada de manera intencional, y consultando la página de internet de Afore Banorte constató que sus estados financieros al 30 de junio de 2013 indicaban un capital contable del orden de $23,178’000,000.00, lo que motivó una multa por la cantidad de $1’246,000.00.

El caso es úitl para enfatizar la importancia de la debida capacitación del personal de las empresas en materia de protección de Datos Personales, puesto que atento al Principio de Responsabilidad  el Responsable del Tratamiento de Datos Personales lo es ante el Titular y la autoridad de protección de datos, independientemente de que lleve a cabo el Tratamiento por medio de su staff, Encargados o Terceros.

Un punto interesante a considerar al respecto es el de las vías que el patrón tiene como Responsable por el Tratamiento de Datos Personales que realizan sus empleados. El art. 48 del Reglamento de la LFPDPPP prevé en sus fracciones I, III y IV que entre las medidas para la observancia del Principio de Responsabilidad se encuentra el diseño, implementación y aplicación de una Política de Privacidad al interior de la empresa. Dicha Política debería ser una especie de Reglamento Interior en materia de protección de Datos Personales, de forma tal que su transgresión pudiera dar pie a sanciones o incluso a la rescisión de la relación laboral sin responsabilidad para el patrón, con base en diversas fracciones del art. 47 de la Ley Federal del Trabajo.

Adicionalmente existe una disposición en el Código Civil Federal que prevé que en caso de que el patrón enfrentara el pago de daños y perjuicios causados por algún Trabajador a una tercera persona, dicho patrón podría requerir a tal trabajador las cantidades que hubiere pagado al afectado. Si bien esa disposición choca contra las normas protectoras del salario en la Ley Federal del Trabajo, su aplicación podría ser un disuasor efectivo para evitar mayores riesgos al patrón por los actos u omisiones de sus trabajadores.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

A %d blogueros les gusta esto: