Las tarjetas de crédito pueden ser costosísimas para quienes no las usan adecuadamente y las consideran como extensión de su ingreso; la CONDUSEF se ha empeñado en comunicar educación financiera al respecto a los usuarios de las mismas. Pero los errores u omisiones en la gestión de esos productos puede ser igualmente costosa para las entidades financieras emisoras… en este caso el ofrecimiento de un sólo plástico tuvo para BBVA Bancomer un costo de $6’637,900.00.

El expediente PS.0022/13 se originó en la denuncia de una usuaria, que ya tenía una cuenta de depósito a la vista en dicha institución de crédito, y quien solicitó información sobre un crédito hipotecario, para lo cual le fueron solicitados datos personales de identificación, financieros y patrimoniales mediante correo electrónico, supuestamente a fin de identificarla como cliente y proporcionarle acceso a un simulador del referido crédito, pero posteriormente tuvo indicación de haberle sido aprobada una tarjeta de crédito cuya solicitud no había firmado, motivo por el cual denunció el hecho ante el IFAI.

La verificación de dicho Instituto encontró las siguientes conductas infractoras de la Ley Federal de Protección de Datos Personales, mismas que conforme al correspondiente procedimiento de imposición de sanciones ameritaron las multas que a continuación se indican:

1. Haber dado tratamiento a los datos personales de la titular en contravención a los principios de licitud, consentimiento e información, con fundamento en los artículos 63, fracción IV, y 64, fracción II, de la Ley, considrada como de gravedad media, $2’914,200.00, y
2. Recabar datos personales financieros y patrimoniales sin consentimiento expreso de su titular cuando el mismo era exigible, con fundamento en el artículo 63, fracción XIII, y 64, fracción III, de la Ley, considerada como de gravedad alta por la afectación que podría suponer a la titular, $3’723,700.00.

Hay aspectos del caso que vale la pena destacar, para efectos de la práctica en la materia, pues arrojan luz sobre cuestiones que motivan diversas preguntas frecuentemente. Por ejemplo la aplicación de la excepción al consentimiento expreso que se prevé en la fracción IV del artículo 10 de la LFPDPPP para el caso que el responsable y titular estén unidos por una relación jurídica, que es correlativamente prevista en el artículo 17 del Reglamento. BBVA sostuvo que por virtud de la relación existente con motivo de la prestación del servicio de depósito bancario de dinero a la vista no requería obtener el consentimiento expreso de la titular; sin embargo el IFAI estimó que la finalidad primigenia por la que dicho banco obtuvo los datos de la usuaria era diversa de aquélla por la cual dio ulterior tratamiento a tales datos y, por lo tanto, era preciso que obtuviera nuevamente su consentimiento expreso, por ser tales datos de naturaleza financiera (número de tarjeta de débito e ingresos mensuales).

Considerando lo anterior, podría decirse que a BBVA «le salió barato», pues dicho Instituto podría haber acumulado una infracción más al caso: cambiar la finalidad originaria del tratamiento de los datos personales sin haber obtenido dicho consentimiento expreso, como se prevé en el artículo 12, infracción prevista como «grave» por los artículos 63, fracción IX, y 64, fracción III.

Adicionalmente el IFAI podría haber sancionado a BBVA en el caso que se comenta con fundamento en el artículo 63, fracción V, por haber omitido los elementos del aviso de privacidad simplificado que deberían constar en el correo electrónico del personal que obtiene datos personales de los clientes de ese banco por dicho medio. Si bien el Instituto consideró la omisión de tales requisitos entre los razonamientos de su resolución en el procedimiento de imposición de sanciones, la subsumió en la violación a los principios de licitud, información y consentimiento, en tanto que el dispositivo citado era claramente aplicable en la especie, puesto que esa autoridad refiere de manera reiterada la omisión de BBVA Bancomer en poner a disposición de la tutilar afectada, previo al tratamiento de sus datos, un aviso de privacidad que indicara su identidad y domicilio, así como las finalidades de ese tratamiento y los mecanismos por los que pudiera imponerse del aviso de privacidad integral.

Sobre lo anterior es destacable que BBVA argumentó haber puesto a el aviso de privacidad a disposición de la titular afectada, y de sus clientes en general, mediante pósters en sucursales, a través de la «Línea Bancomer», su página de Internet (en español e inglés), en cajeros automáticos y en el estado de cuenta de la propia denunciante. Para acreditar tal hecho, BBVA ofreció como prueba un acta de fe de hechos fechada el 7 de noviembre del 2012, levantada por el Notario 121 del D.F., en que se dio fe del hecho que el aviso de privacidad se encontraba a disposición de los usuarios en diversas sucursales.

El pronunciamiento del IFAI sobre la omisión de los elementos del aviso de privacidad simplificado que son requeridos por el artículo 17, fracción II, de la Ley, así como 27 de su Reglamento y la Sección II de los Lineamientos del Aviso de Privacidad es relevante, puesto que hoy día parece haberse popularizado, particularmente en medios de atención telefónica, la práctica de únicamente indicar el último de los requisitos contenidos en las normas referidas, el medio para conocer el aviso de privacidad integral, en vez de indicar completos los elementos del simplificado. Si bien es comprensible que responsables que no cuentan con un call center o grabación al inicio de una llamada inbound, y por consecuencia no cuenten con medios para respaldar dicha llamada para efectos de acreditar la puesta a disposición del aviso mencionado, sientan la presión por atender al cliente de la manera más expedita posible y juzguen innecesario o incluso inconveniente efectuar la mención completa del aviso de privacidad simplificado. Sin embargo, las consecuencias de este caso ilustran la necesidad de cumplir con diligencia tal obligación.

Ahora bien, un punto que también resulta relevante destacar es que del expediente citado se podría desprender también una posible infracción a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, derivada de la apertura de un crédito en cuenta corriente asociado a una tarjeta de crédito a favor de la usuaria denunciante sin que ésta lo hubiera solicitado, puesto que el párrafo segundo del artículo 18 Bis de dicho ordenamiento dispone expresamente que tanto las Entidades Financieras como las Comerciales sólo podrán emitir y entregar tarjetas asociadas a nuevos créditos, previa solicitud del Cliente en términos del artículo citado, hipótesis que no se surtió en el caso comentado, y que conforme al artículo 41 del estatuto de referencia podría ser sancionado por la CONDUSEF con multa de 200 a 2000 días de salario.

Sin embargo, y no obstante tanto la importante intersección de la protección de datos personales con la regulación de los servicios financieros de primer piso, como la publicidad y atención que reciben las acciones del IFAI, no parece haber indicaciones de que los las autoridades en materia financiera tomen cartas en aquellos expedientes de imposición de sanciones de los que podrían desprenderse acciones u omisiones que ellas mismas pudieran sancionar también.