archivo

Regulación Bancaria/Financiera

Multa @INEMéxico a @MovCiudadanoMX por Vulneración del Padrón Electoral

20 febrero, 2016
Privacy/Protección de Datos, Regulación Bancaria/Financiera, Sin categoría
Deja un comentario

INECONVMC

Unos 26 meses atrás, los días 7 y 9 de noviembre de 2013, escribí sobre la nota que publicó Reforma sobre el presunto tráfico ilícito de copias del Padrón Electoral en el mercado negro. Dicho medio recién dio a conocer que la Comisión de Quejas y Denuncias del Instituto Nacional Electoral había resuelto sancionar al partido político Movimiento Ciudadano (antes «Convergencia«) con una multa de $76MDP por tal fuga de datos del padrón electoral, hecho que se consumó ayer en la sesión del Consejo General del Instituto Electoral.

El 2 de junio del 2013 Reforma reportó que uno de sus reporteros habría logrado adquirir datos personales provenientes del Padrón Electoral, instrumento al que los institutos políticos tienen acceso y del que reciben copias en medios magnéticos para cumplir ciertas obligaciones y ejercer determinadas facultades conforme a la Ley General de Instituciones y Procedimientos Electorales. Hace 3 meses Mexican Times publicó una nota que escribí sobre el tema de la seguridad de la información contenida en dicho Padrón con motivo de la inminente liquidación de los Partidos Humanista y del Trabajo, procedimiento en el que se le estaba prestando más atención a los carros, pesos y centavos que al destino de nuestros datos.

En ella referí no sólo el incentivo perverso que ha convertido a la mica electoral en la identificación preeminente en México, derivado de que la Ley General de Partidos Políticos prevé que los partidos políticos nacionales gozarán de financiamiento público para sostener sus actividades ordinarias permanentes, el cual es determinado mediante una fórmula basada en el número total de ciudadanos inscritos en el Padrón Electoral federal en julio de cada año; también aludo a la normatividad propia del INE para proveer a la mayor seguridad del Padrón.

Dicha normatividad incluye los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del RFE por los Integrantes de los consejos General, Locales y Distritales, las Comisiones de Vigilancia del RFE, los Particos Políticos y los Organismos Electorales Locales, así como un Procedimiento de entrega de la Lista Nominal de Electores para Revisión a los Representantes de los Partidos Políticos, instrumentos que prevén que el Padrón y la Lista Nominal que se entreguen a los representantes de los partidos tendrán elementos distintivos únicos para identificar las que hubieran sido objeto de uso indebido, además de que las impresiones que se generen deberán ostentar advertencias sobre el manejo de los datos que contienen.

En términos muy generales el INE ordena que los procedimientos de generación y entrega de la Lista Nominal deberían asegurar que sólo el usuario autorizado pueda acceder a la base de datos; que la información no pueda ser descargada ni transmitida, los representantes autorizados reciban solo una copia, además de asegurar la integridad de dicha información.Que sean observadas o no naturalmente es un tema de discusión entre el ser y el deber ser; en cualquier caso convendría que además de emprender acciones punitivas el INE implemente medidas preventivas, puesto que una de las acciones más obvias y lógicas tras una vulneración de seguridad es procurar cerrar las brechas que permitieron que tal evento tuviera lugar.

Tal es la exigencia para los Responsables del Tratamiento de Datos Personales en Posesión de los Particulares (art. 62, fracciones III y/o IV, según fuere el caso); sin embargo no existe una obligación correlativa para los Sujetos Obligados en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental que aún rige el tratamiento de datos personales por parte de entidades públicas. Sin embargo la iniciativa de Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, impulsada por el INAI y que desde el año pasado está siendo dictaminada en el Senado, prevé en su artículo 41 que de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamientode los datos personales si fuese el caso.

Bajo cualquier metodología de análisis de riesgo éste guardará una proporción directa entre el volúmen de datos y la variedad de estos. La accesibilidad, es decir, la cantidad de personas que pueden acceder a esos datos eleva el nivel de riesgo al que podrían estar expuestos los datos en un momento dado, y el entorno o medios de acceso a ellos puede exacerbar el riesgo. Pensemos así en una base de datos como el Padrón electoral, que contiene datos de identificación (nombre y fotografía), autenticación (firma y huella dactilar) y biométricos (huella dactilar); el riesgo para esa base de datos es elevadísimo y se incrementa exponencialmente al considerar su circulación a través de medios magnéticos para ser puesta en manos de N personas al interior de cada uno de los múltiples institutos políticos que pululan en este país.

Para concluir este apunte postulo la fundamental importancia de que en un momento en el que el robo de identidad alcanza niveles de alarma en México se adopte una política de Estado en materia de identificación personal. Este reciente pico en la incidencia del robo de identidad demuestra que la política de Estado que ha sido seguida hasta la fecha está por demás errada. Dicha política se ha orientado, por los perversos incentivos políticos arriba mencionados, a que la credencial para votar expedida por el INE sea la identificación preemienente en este país; así lo demuestra la afirmación siguiente, tomada de la Estrategia Programática del Ramo 22 (Instituto Nacional Electoral) del Tomo II (Ramos Autónomos) del Presupuesto de Egresos de la Federación para 2016:

«Líneas Estratégicas. Fortalecer los procesos registrales electorales. Para mantener la credencial del INE, como medio principal de identificación…»

 

Centrar las facultades de identificación de los ciudadanos mexicanos en una mica expedida por un Instituto cuyo Padrón debe, por Ley, ser puesto a disposición de un gran número de sujetos es un error tanto como la atomización de los medios de identificación en este país es, sin lugar a dudas, un elemento que contribuye al riesgo por el robo de identidad. Las Disposiciones de Carácter General para prevenir e identificar operaciones con recursos de procedencia ilícita en diversos ámbitos prevén como medios para que una persona acredite su identidad a la credencial para votar del INE y a cualquier identificación vigente con fotografía y firma emitida por autoridades federales, estatales y municipales y las demás que, en su caso, apruebe la UIF. Entre más medios haya para acreditar la identidad de una persona mayores serán los riesgos a los que esa identidad esté expuesta; es lógica elemental.

La política de Estado que México tiene a la fecha en materia de identificación abona al riesgo al que nuestros datos están expuestos. Hubo un intento por hacerlo durante la administración del Presidente Calderón por instituir una Cédula de Identidad Personal, pero no prosperó. Las flamantes «Bases de colaboración para inhibir la suplantación de identidad a través del sistema financiero en México» suscritas por el INAI, SHCP, INE, PRODECON y ABM prevén una serie de acciones, como protocolos de atención y actuación; mecanismos de intercambio de información; difusión, educación y capacitación al público, que de poco servirán mientras no se consideren los orígenes y factores que facilitan el robo de identidad.

Los medios de identificación deben ser más limitados y debidamente controlados para mitigar la contingencia de la usurpación de la identidad de los ciudadanos mexicanos, y sin importar los elevados estándares de seguridad con los que la nueva credencial para votar del INE es producida actualmente, dar preponderancia a una identificación expedida por una autoridad que está legalmente obligaa a poner sus bases de datos a disposición de un gran número de personas es, bajo cualquier métrica o metodología, un gran error.

 

 

@liverpoolmexico ahora es parte de la estadística de vulneraciones

26 diciembre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
1 comentario

Liverpool-567x425-567x400 - CopyEn un año que ha destacado por las vulneracoines a la seguridad de los sistemas de grandes cadenas comerciales en los EE.UU.A., tales como Target, Home Depot, Staples, JP Morgan Chase, y empresas como Apple (Re. «#CelebGate«), Snapchat (Re: «#Snappening«) y Sony Pictures, una pregunta en la mente de varios de quienes ejercemos en materia de protección de datos personales había sido ¿cómo es que en México no se dan casos así? Las respuestas podrían ser varias. Tal vez a pesar de ser un mercado creciente, muy aspiracional y orientado al lujo, los Responsables (del Tratamiento de Datos Personales) en nuestro país no eran un blanco atractivo para ataques como aquellos. ¿O sus sistemas son tan robustos?

Como para probar que la cuestión no es si una empresa será víctima de un ataque, sino cuándo lo será, en víspera de Nochebuena (a las 13.29 del 24 de diciembre, para ser exactos) la Bolsa Mexicana de Valores difundió a través de su página Web el comunicado de evento relevante que El Puerto de Liverpool, S.A.B., presentó en cumplimiento a sus obligaciones como emisora de valores para dar a conocer que fue «…víctima de un intento de extorsión…» que busca dañar su reputación; el ataque habría consistido en una intrusión en correos de su personal, y habrían también logrado obtener información de algunos clientes, según se indica en la misiva, que también señala que estos hechos delictivos fueron denunciados ante las autoridades correspondientes, estimando que el riesgo derivado de dicha intrusión es bajo, no obstante lo cual están tomando medidas adicionales para reforzar la protección de la información de sus clientes y fortalecer sus sistemas, prácticas y procedimientos, por ser la seguridad de la información que le confían sus clientes es una prioridad, procurando salvaguardar los datos personales y cumplir cabalmente con las leyes de protección de datos.

Dado que el evento fue difundido justo cuando casi todo México se ocupaba más de los preparativos para la cena navideña, los medios dieron cuenta del mismo con sólo la información extraída de dicho comunicado; hoy la sección de Negocios de Reforma informa al respecto con algunos comentarios del suscrito.

La vulneración a JP Morgan, que afectó a 76 millones de cuentahabientes, fue dada a conocer precisamente así, por un «filing» que dicho banco tuvo que hacer ante la Securities and Exchange Commission en EE.UU.A. En tal sentido es preciso destacar la responsabilidad con la que Liverpool ha actuado al notificar del hecho al mercado bursátil (coloca valores en los mercados de capital y deuda), en vez pretender «ocultarlo bajo el tapete» muy disimuladamente. Sin duda el manejo que Liverpool haga del caso sentará un precedente importante en la práctica de protección de datos personales y seguridad informática, por lo cual motivará la atención de todo el medio.

Con tan solo 4 renglones los términos del comunicado a la BMV llevan a pensar en varias cosas:

  1. «Los criminales lograron una intrusión en correos de nuestro personal y también obtuvieron información de algunos clientes.» Esto hace pensar en un ataque por «phishing» o «spear-phishing«; de ser el caso será importante que Liverpool revise la Política de Privacidad con la que está obligada a contar, de acuerdo con el artículo 48 del Reglamento de la Ley, y refuerce la capacitación a su personal para evitar que vuelvan a ser víctimas de este tipo de ataques de ingeniería social. Tal mención no descartaría otro tipo de ataques, como uno de «brute force«.
  2. «Liverpool lamenta informar que ha sido víctima de un intento de extorsión que busca dañar nuestra reputación». Probablemente ésta sea la oración del comunicado que más hace pensar. Los casos en los que además del ataque mismo se lleva a cabo otra conducta delictiva como la extorsión son comunes. Hace tiempo se sabe de casos en los cuales los atacantes bloquean el acceso al equipo o sistema atacado y exigen un pago a cambio de reestablecerlo o no suprimir definitivamente la información del mismo. En el caso del ataque a Sony, hubieron reportes sobre mensajes de extorsión que ejecutivos de la empresa habrían recibido previo al ataque mismo. Sería interesante saber si la referencia al daño de la reputación de Liverpool se debe al solo hecho de haber sido víctima del ataque o a amenazas concretas sobre la información que los atacantes pudieran haber obtenido y del uso que le pretendan dar los atacantes.
  3. «La empresa ya denunció estos hechos delictivos ante las autoridades correspondientes». Un ataque como el reportado por Liverpool podría configurar el ilícito previsto en el Capítulo II, Título IX, Libro Segundo del Código Penal Federal: «Acceso Ilícito a Sistemas y Equipos de Informática». En términos generales sus artículos 211 bis 1 al 5 disponen penas privativas de la libertad que van de los 6 meses hasta los 8 años y diversas multas, penas y multas cuya magnitud varía dependiendo de si los sistemas atacados son o no del Estado, correspondientes a seguridad pública o de instituciones financieras, a quien(es):
  • …sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, y
  • …sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.

La estadística de la Procuraduría General de la República por tales delitos entre el 1 de septiembre del 2013 y el 30 de septiembre del presente año arroja que de 66 indagatorias iniciadas sólo 1 fue consignada ante la autoridad judicial, en tanto que 21 fueron enviadas a la reserva, en 6 se resolvió el «no-ejercicio» de la acción penal, y tiene en trámite 70, incluyendo otras iniciadas en años anteriores al periodo consultado.

Estadística PGR Acceso Ilícito2 - CopySerá muy interesante ver el empeño con el que Liverpool impulsa el perfeccionamiento de sus indagatorias y la eficacia con la que la representación social federal logra integrarlas para llevar ante la justicia a los responsables. En cualquier caso es un hecho que Liverpool deberá realizar ajustes en su Sistema de Gestión de Datos Personales y medidas de seguridad, pues el artículo 60 del Reglamento prevé entre los elementos para determinarlas a las vulnerabilidades previas ocurridas en los sistemas de tratamiento, además de que de acuerdo con la fracción III de su artículo 62 en tanto Responsable del Tratamiento de Datos Personales Liverpool deberá actualizar la relación de sus medidas de seguridad, cuando ocurran, entre otros eventos, la vulneración de sus sistemas de Tratamiento.

El citado Reglamento también ordena, en su artículo 66, que cuando ocurra una vulneración a los Datos Personales, como fue el caso, el Responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita, lo cual es algo en lo que Liverpool manifiesta ya estar trabajando, o haber trabajado.

ReformaNeg20141612 - Copy

Guía de cobranza de @ifaimexico y @condusefMX , y nueva multa del IFAI por cobranza extrajudicial

17 diciembre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

ofis - CopyEn los 18 meses de haber escrito por este medio 96 entradas sobre mis áreas de práctica han habido 4 entradas (derechos ARCO, multa a SOFOM Banamex, multa a TELCEL y reglas de CONDUSEF para despachos de cobranza) relativas tanto a los aspectos de regulación financiera como de protección de datos en la actividad de cobranza extrajudicial. El tema es complejo no sólo por aspectos jurídicos que fueron considerados en la «miscelánea de garantías» del 2003 como en la «reforma financiera» de este año, sino probablemente también por la ideosincrasia y experiencia nacionales en materia de recuperación de adeudos, de la que son parte las lamentablemente consabidas prácticas de los despachos de cobranza contratados por instituciones financieras y «gestoras de activos» que adquieren a descuento su cartera vencida.

El tema cobra relevancia de nuevo por la presentación de la Guía para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial del IFAI y CONDUSEF, elaborada por el primero con la opinión técnica de la segunda y concebida como «…una herramienta que permite a las entidades financieras y despachos de cobranza cumplir con los principios y deberes de la LeyFederal de Protección de Datos Personales en Posesión de los Particulares», que «…representará un importante referente para orientar el debido tratamiento de los datos personales en laactividad de cobranza extrajudicial, sin invadir la privacidad de las personas ni violar las disposiciones en materia de datos personales vigentes en el país.»

Sin duda el documento contribuirá en gran medida al mejor entendimiento de la práctica en materia de protección de datos personales dentro del marco de la cobranza extrajudicial, facilitando discenir los casos en que un despacho trata los datos personales de los deudores de aquéllas entidades financieras que contratan sus servicios como Engargado y, por lo tanto, mediante la remisión de los mismos, de aquellos en los que dicho tratamiento deriva de la transferencia de tales datos y, por lo tanto, el despacho de cobranza o gestora de activos que hubiera adquirido la cartera de que se trate es, en si y por si, un ulterior Responsable de dichos datos (vid. pág. 37).

Para ello son particularmente importantes las siguientes indicaciones:

  • Es importante tener en cuenta que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no sean dueños de la cartera, sino que presten el servicio de cobranza a nombre y por cuenta de la Entidad que otorgó el crédito, préstamo o financiamiento, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla en el aviso de privacidad, ni de obtener elconsentimiento del Titular para que ésta ocurra.
  • En cambio, cuando hay una comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligacionesprevistas en esta sección (pág. 37).
  • En materia de Cobranza Extrajudicial, el tema del Encargado del tratamiento tiene especial relevancia, ya que la figura se utiliza de manera recurrente entre los acreedores y los Despachos de Cobranza, cuando éstos últimos NO son dueños de la cartera de crédito, préstamo o  financiamiento, y actúan a nombre y cuenta de la Entidad responsable de los datos personales (pág 40).
    .

Sin embargo la Guía es sólo y precisamente eso: un documento que orienta, pero no obliga en forma alguna a las Entidades Financieras ni a sus despachos de cobranza, por lo que dista de ser una instancia de regulación por parte de la CONDUSEF armonizada con la normatividad del IFAI y la Secretaría de Economía en materia de protección de datos personales, como prevé el artículo 40 de la Ley Federal de Protección de Datos Personales, y fue presentada más de 2 meses después de la expedición de las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza de dicha Comisión, que lacónicamente refieren en el último párrafo de su Disposición Sexta, que se deberá observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera. Lo deseable hubiera sido que ambas autoridades hubieran realizado este esfuerzo de coordinación antes de que la CONDUSEF expidiera las citadas Reglas, a fin de que dicho instrumento normativo contuviera disposiciones vinculantes para la debida protección de los datos personales de los deudores de las Entidades Financieras. Sin embargo, y sin duda, es un avance hacia la armonización normativa de la regulación general en materia de protección de datos personales con la de las múltiples materias que se relacionan con ella.

Precisamente en materia de cobranza extrajudicial, tan sólo 6 días antes de la presentación de la citada Guía el Pleno del IFAI votó la sanción impuesta a Corporativo Especializado en Recuperación de Cartera, justo por un caso derivado de ello, que asciende a un total de $2’169,460.00, por las siguientes infracciones:

  1. Contravenir los Principios de Licitud y Lealtad: $259,040.00
  2. Incumplir el deber de confidencialidad: $777,120.00
  3. Cambiar sustancialmente la finalidad del tratamiento de los datos: $679,980.00
  4. Tratamiento de datos financieros y patrimoniales: $453,320.00

Lo anterior atendiendo tanto a la intencionalidad de las conductas infractoras, como a la capacidad económica de la Integra Capital, determinada con base en sus estados financieros al 31 de diciembre y 31 de julio de 2014, que arrojaban un capital de $29’078,700.00.

El asunto se originó con la contratación de un crédito «Autoestrena Banorte» en el año de 2011 por quien parece ser (o haber sido) empleado del gobierno del Estado de Nuevo León y habría incurrido en atraso en sus pagos, lo cual motivó que empezara a recibir correos electrónicos de Integra Capital, con copia para sus compañeros de trabajo, por lo cual el Titular denunciante adujo la indebida transferencia de sus datos personales por parte de Banorte a la empresa referida, en tanto que el IFAI planteó:

  • La vulneración a su expectativa razonable de privacidad;
  • El incumplimiento al deber de confidencialidad por la divulgación del nombre, número de crédito y saldo del adeudo del Titular, violando con ello su privacidad y derecho a la autodeterminación informativa;
  • Varió sustancialmente la finalidad del tratamiento de los datos arriba mencionados, y
  • Divulgó tales datos a terceros sin consentimiento del referido Titular.

Tema importante en el caso: precisamente de acuerdo con el expediente y según la Guía, Integra Capital es un Encargado de Banorte, pero a diferencia del caso de Banamex y Revoware, el Banco Responsable no fue sancionado por los hechos y omisiones de su Encargado. ¿En qué radica la distinción que le evitó a Banorte ser multado en esta ocasión? La respuesta está en el párrafo tercero del Considerando Sexto, en donde de expone que Integra Capital adquirió el carácter de Responsable en si y por si al variar sustancialmente las finalidades de tratamiento de los datos personales que Banorte le habría remitido. Sin embargo, salvo por la cláusula de confidencialidad, en el expediente de sanción se omite analizar el texto del contrato de prestación de servicios suscrito entre Banorte en Integra Capital, de manera que no resulta del mismo un criterio sobre el cumplimiento con u omisión respecto de los requisitos que disponen los artículos 50 y 51 del Reglamento de la Ley tratándose de la relación entre el Responsable y el Encargado del tratamiento de los datos personales que interesan.

 

 

 

@condusefMX expide sus Reglas para Despachos de Cobranza

8 octubre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras «le entran» de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a «Tratar los datos personales de conformidad con la normativa aplicable en la materia», sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

Three regulations where Mexico got ahead of the USA, just FYI…

29 septiembre, 2014
Regulación Bancaria/Financiera, Technology Regulation
Deja un comentario

Card&Phone - CopyThe position of the United States at the vanguard of fields such as finance and technology may lend itself to create the impression that its legal framework is as progressive as its companies in those lines of business. However that’s not always the case; following are three instances where Mexico actually moved ahead of the USA, regulation-wise:

  • Mexico created an agency mandated to protect users of financial services in instances where their purveyors of financial services were not compliant with the law.

Following the financial meltdown nearly 20 years ago interest rates for financial products, whether credit cards, car loans or mortgages, skyrocketed in Mexico; people were unable to comply with their financial commitments and lost their homes, had their cars repossessed or their assets garnished. Of course this prompted widespread protests, and many politicians reaped dividends by demonizing financial institutions, but the national conversation on those issues brought about the creation of an «Ombudsman» in the financial services industry: the National Commission for the Protection and Defense of Users of Financial Services (CONDUSEF as per its acronym in Spanish).

This agency has faced many challenges, and still does; mainly its «teeth» are not sharp enough, its last three Chairs have steered it more towards facilitating financial education and information to the public. For instance, it recently instituted a Financial Institution Rating Website, where users can check for information on how the banks to which they would apply for credit rate relative to each other compliance-wise, sort of in the same way those institutions can assess applicants based on their credit rating.

Apparently such legislative developments are only brought about by widespread financial turmoil: conversely the United Stated created its financial services Ombudsman, the Bureau of Consumer Financial Protection (CFPB) after the Dodd–Frank Wall Street Reform and Consumer Protection Act was passed in 2010, and began working until 2011 following heated debates over President Obama’s proposal to appoint Harvard Law Professor Elizabeth Warren, who first proposed one such agency, to Chair it.

In sum, Mexico has been over a decade ahead of the United States as concerns the enforcement of financial regulations relative to the public.

  • Banks in Mexico are obligated to issue credit cards which are safer than those issues by banks in the USA. Bank cards the world over are made following ISO 7810 and ISO 7813 standards; that’s how come it’s possible for your card to be swiped at point-of-sale terminals and work in ATMs the world over. Those standards cover aspects such as toxicity of materials, flammability, stiffness (how much the card should bend), how characters (your name, the issuer’s identification number) are embossed onto it, their magnetic stripes, integrated circuits and the track data in them, etc.

Disclosures on data breaches at large retailers such as Target, last year, and more recently The Home Depot, have put credit card and point-of-sale terminal technology on the spotlight. In addition to apparent negligence in implementing security controls, one rather large issue is also the common denominator: that bank cards issued by banks in the United States still rely on magnetic stripes for the storage of data that authenticates the transaction, and that is easily copied or stolen by thieves or hackers. As WIRED Magazine explains in a recent piece:

The fatal problem with the credit card magstripe is that it’s only a container for unchanging, static data. And if static data is compromised anywhere in the processing chain, it can be passed around, copied, bought and sold at will.

Now, after resisting it for 10 years because of the formidable transition costs, the US is about to finally embrace the secure chip-based authentication system called EMV—the standard was pioneered by Europay, MasterCard, and Visa—that the rest of the world has already adopted. Pushed by mounting fraud costs, credit card companies have crafted incentives for merchants to switch to the sophisticated readers needed to accept the cards.

While the New York Times piece in the link above on the Target breach underscores that «The new debit and credit card technology, called chip and PIN, is widely used in Europe and considered to be far more secure than most cards used in the United States, which rely on magnetic strips,» it should be noted that Mexico’s National Banking and Securities Commission has steered banks towards substituting magnetic stripe with integrated circuits for over 4.8 years now: as per its General Provisions Applicable to Credit Institutions that approve transactions made without the use of integrated circuits, whether in ATMS or point-of-sale terminals are bound to agree with their Users (in their respective service agreements) that they (the banks) shall undertake the risks, and therefore the costs, of transactions disavowed by said Users when using such cards, and that the claims from such transactions shall be credited to those Users, at the latest, 48 hours after the filing of the respective claim.

The flip side is that the banks are allowed by regulation to regard the information in such integrated circuits as a Category-3 Authentication Factor for transactions made through ATMs and POS terminals, which obtain the cards’ information through such circuits; that is to say, transactions which require for the card with the circuit to have been present in the moment of the transaction. At that point one could assume that the situation would be no different from one in which a card with a magstripe were involved; however the key here is that information in the circuits is not static and is encrypted, so that even if it had been copied during one transaction it still could not be used for others afterwards.

So to that regard Mexico will have been a good 5 years ahead of the United States in credit card security by the time the US transitions from magstripe cards to cards with integrated circuits.

  • Mexico passed regulations making unlocking of mobile phones legal before the USA did.

For years now mobile carriers have entrenched themselves by offering handsets which price is bundled with the fee for their service plans; but once the mandatory term for the plan is over the user is faced with the choice between continuing to cope with her former carrier, usually upgrading to a newer (and hopefully) better handset (which Apple facilitates a lot by releasing a new iPhone every year and a half or so), or moving onto another carrier and having to procure another handset from it, as the old one would only work in the network of the previous carrier. That is evidently a pain and unfair to consumers; after all, one the term for the plan is over and done, the handset has been paid for (often in excess), so the user ought to be able to keep using it, even with a competitor of the carrier.

For sure «jailbeaking» has been possible for awhile now, and even ruled by the Copyright Office of the United States to be an exception to the Digital Millennium Copyright Act (the DMCA). but it is not without risk, as it may impair you from access to essential updates or applications, and removing the protections originally put in place by the developer can put the device and information contained in it at significant risk. However unlocking your device is an entirely different proposition.

Acknowledging a basic right of consumers, Mexico’s Ministry of Economy passed on August 28th, 2012, Mexican Official Norm NOM-184-SCFI-2012, an administrative regulation whereby carriers are under obligation to inform if the handset provided to the consumer is blocked to only be used in its network, and how it can be unlocked, at no additional cost, to be used on other networks once the consumer has acquired title to the handset, whether for the mandatory term of the service agreement having lapsed or having paid for it in full. For sure, as in many other instances, at the outset and notwithstanding there were hurdles to overcome in getting a device unlocked, such as alleged ignorance or misinformation at service centers.

Conversely, it wasn’t until after a long time of public comment and the EFF’s activism that this year President Obama signed into law the «Unlocking Consumer Choice and Wireless Competition Act«, which affords users the right to have their handsets unlocked to be further used on another carrier’s network.

Overall, at least in these three items Mexico moved way ahead of the United States.

Otra sanción de IFAI a la Afore @XXIBanorte; $2’804,250…más las que sigan

8 septiembre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

logoBanorte - CopyHace 9 meses escribí en este Blog sobre la multa de $1’246,000.00 que el IFAI impuso a la Administradora de Fondos para el Retiro de Grupo Financiero Banorte con motivo del traspaso ilegal de un derechohabiente del SAR hacia dicha AFORE, práctica que lamentablemente fue y sigue siendo muy común en el mercado de tales servicios. Por alguna razón el caso motiva gran interés, pues las estadísticas muestran que ha sido la entrada más consultada aquí, pues al día de hoy ha sido leída por 973. Tal vez también se deba a que Afore XXI Banorte encabeza la estadística de reclamaciones presentadas por usuarios de afores ante la CONDUSEF, según reporta en su Buró de Entidades Financieras.

El caso se repite, pues conforme al expediente PS.0018/13 en marzo de este año dicha autoridad de protección de datos impuso a esa AFORE 2 multas por una situación similar:

  • $1’558,250.00, por recabar datos personales patrimoniales y financieros sin el consentimiento requerido, y
  • $1’246,000.00 (nuevamente), por trangredir los artículos 6, 7 y 8 de la Ley, debido a la transgresión de los principios que informan la Ley.

De acuerdo con el expediente, el caso fue originado por la denunicia de un cuenthabiente de Afore Inbursa, quien manifestó haber dado seguimiento a la omisión en la entrega de sus estados de cuenta mediante SARTEL, con lo cual descubrió que había sido transferido, sin su consentimiento o conocimiento, a Afore XXI Banorte, de quien obtuvo un estado de cuenta con información que no cumplía con el principio de calidad que informa a la Ley, y cuyo Gerente alegó que los hechos serían imputables a un «JACKER» (sic).

La responsable respondió negando el tratamiento de los datos personales del titular denunciante, pues habría recibido su solicitud por Procesar, S.A. de C.V, empresa operadora de la base de datos nacional del SAR, para el traspaso de su cuenta, lo cual conlleva la transferencia de dichos datos, habiendo sido dicha transferencia consecuencia del cumplimiento de una obligación derivada de la LFPDPPP, por lo que devendrían aplicables las excepciones al principio del consentimiento previstas en las fracciones I, IV y VII de la referida Ley. El IFAI le negó la razón al respecto exponiendo un criterio que resulta relevante en la práctica para estimar la eficacia y alcance de dichas normas:

«…del (sic) articulado de la LFPDPPP y su Reglamento, en ninguna parte prevé que dicha excepción sea aplicable per se a la información transferida, es decir, que no exceptúa a la Afore receptora (Afore XXI Banorte…) de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros. Si bien es cierto que la Afore receptora… no puede negarse a tratar la información… dicho hecho no lo (sic) excluye de cumplir también con la LFPDPPP, por lo cual también tiene que observar su deber de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros… es necesario resaltar el hecho que el Responsable qu transfiere los datos personales… trata los mismos… para realizar el traspaso de la cuenta individual, mientras que la Afore receptora… evidentemente los tratará para una finalidad distinta… administrar la cuenta individual… De tal forma, el cambio de finalidad refuerza el hecho de que la presunta infractora debió obtener el consentimiento expreso del Titular… no existe ningún impedimento legal para obtener el consentimiento expreso del titular para el tratamiento de sus datos personales… por el contrario, está obligada a obtener dicho consentimiento expreso previo a su tratamiento, para que éste sea lícito.»

A dicho respecto debería ser obvio el incumplimiento de lo previsto por el párrafo segundo del artículo 14 y la fracción II del artículo 29 del Reglamento de la Ley, conforme a los cuales En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales.

Consecuentemente el IFAI encontró que Afore XXI Banorte no había observado los principios de consentimiento y licitud previstos por la Ley y su Reglamento, conducta sancionable conforme al artículo 63, fracción IV, de la propia Ley.

Conviene notar que ante el alegato de dicha Afore en el sentido que el titular habría otorgado su consentimiento a través de la solicitud de traspaso en el sistema METI operado por PROCESAR, el IFAI estimó que ello no constituía una manifestación de consentimiento libre, específica e informada ni inequívoca de parte de aquél, sino «…un mero elemento de soporte y trámite para la solicitud de traspaso…», y que «…las medidas impelmentadas en el sistema METI no pueden ser equiparadas al consentimiento…toda vez que la normativa que rige ese sistema y sus operaciones, así como la que regula la protección de datos personales… son diversas», lo cual remite a los comentarios anteriormente hechos por el suscrito tanto en el proceso de comentarios públicos al proyecto de Regalmento como sobre aspectos de la prestación de servicios e investigación en materia de salud, respecto de la concurrencia de diversos ordenamientos en materia del consentimiento necesario para el tratamiento de sus datos personales en distintas materias, y hace necesario enfatizar que el principio de información no admite excepciones; es indispensable poner un aviso de privacidad a disposicion del titular aun a pesar de que dicho tratamiento de datos sea realizad con motivo del cumplimiento de una obligación establecida en un ordenamiento que rija a otra materia.

Precisamente por ello el IFAI destaca que «…En ningún momento ninguna de las dos personas morales mencionadas (PROCESAR y Afore XXI Banorte) manifestó que a través de dicho sistema (el Sistema METI) se comunicaba el aviso de privacidad en el cual se indicaran las finalidades del tratamiento de los datos personales, por lo cual es evidente que el consentimiento otorgado a través del sistema referido, no es un consentimiento para el tratamiento de datos personales, sino únicamente para el traspaso de la cuenta individual». Con relación a ello no debe dejar de tomarse en cuenta que conforme los artículos 20 y 31 del Reglamento, la carga de la prueba para demostrar tanto la obtención del consentimiento como la puesta a disposición del aviso de privacidad recae, en todos los casos, en el responsable.

Analizando, para efectos de determinar la sanción, la intencionalidad de la acción u omisión constitutiva de la infracción, el IFAI encontró que Afore XXI Banorte se ubicó en las hipótesis de las fracciones IV y XIII, por transgredir los artículos indicados en la segunda viñeta de esta entrada, pues a pesar de conocer sus obligaciones en la materia transgredió esas normas.

Algo más que vale la pena destacar es que al igual que muchos otros responsables sujetos a verificación por el IFAI, Afore XXI Banorte omitió exhibir ante dicho Instituto documentación que acreditara su situación financiera actual… como si ello impidiera a dicha autoridad allegarse de elementos para determinarla, más aun en el caso de responsables cuyas actividades se enmarcan en sectores regulados y/o que cotizan en mercados bursátiles.

Igualmente destacable es la labor de la Dirección General de Sustanciación y Sanción, que recurre a todos los medios posibles para obtener la información requerida a pesar de tales omisiones, y que en este caso nuevamente (vid. caso de Telcel) accedió a la misma a través de la página Web de la responsable a ser sancionada, a través de la cual obtuvo los estados financieros de dicha Afore al 30 de septiembre de 2013, que procesalmente son documentos provenientes de dicha parte y, por lo tanto, cuyo contenido se tiene por confesado por ella y le perjudica, en donde consta un capital contable de $23,835’254,225.00 M.N.

Adicionalmente el IFAI consideró a Afore XXI Banorte como reincidente, en virtud de las resoluciones dictadas en su contra en el expdiente citado en el primer párrafo de la presente entrada, sin poder tomarlo en cuenta en el caso que se refiere en virtud de la defensa del caso que esa institución financiera lleva a cabo. Sin embargo, si consideró la infracción cometida por esa responsable como de gravedad alta, por la afectación que causó al titular al tratar sus datos personales financieros y patrimoniales sin su consentimiento, y a la omisión en observar los principios de licitud y consentimiento como de gravedad media.

Algo del caso que llama poderosamente la atención es la referencia en la denuncia del titular afectado en el sentido que, a decir del personal de Afore Inbursa, «…el personal de correos tiene vínculos con personal de otras afores y estos les están entregando los estados de cuenta para jalar a las personas que les conviene monetariamente hablando.» Al respecto es relevante considerar que el Capítulo II del Título Primero de la Ley del Servicio Postal Mexicano, relativo a la Inviolabilidad y Sigilo, prevé que la correspondencia estará libre de todo registro y no deberá ser violada, prihibiendo a quienes intervengan en la prestación del servicio de correos y de los servicios diversos, proporcionar informes acerca de las personas que los utilizan, salvo por aquellos casos en que se acaten órdenes judiciales o del Ministerio Público, al rendir datos estadísticos requeridos por las leyes o en otros casos previstos legislativamente.

Además, el Título Quinto, Capítulo II, del Código Penal Federal prevé como pena jornadas en favor de la comunidad para quien(es) abran indebidamente una comunicación escrita que no esté dirigida a ellos y a quien(es) indebidamente intercepten una comunicación escrita que no esté dirigida a ellos, aunque la conserven cerrada y no se impongan de su contenido. Y también debe atenderse al hecho que conforme a la antedicha Ley del Servicio Postal Mexicano, la recepción, transportación y entrega de la correspondencia, está a cargo del Gobierno Federal, de manera que los empleados de su organismo descentralizado denominado Servicio Postal Mexicano son servidores públicos, de acuerdo con el Título Cuarto de la Constitución, la Ley Orgánica de la Administración Pública Federal y la Ley Federal de Entidades Paraestatales, de tal forma que aquellos que hubieran incurrido en las conductas descritas en la narración contenida en la relatoría contenida en la denuncia que motivó el expediente analizado no sólo podrían haber incurrido en violación de correspondencia, sino en alguno de los tipos previstos en el Título Décimo del Código Penal Federal, además de la responsabilidad administrativa prevista en la Ley de la materia.

Sin embargo, y a pesar de la atención mediática que atrae la actividad del IFAI tanto en materia de transparencia y acceso a la información pública como de protección de datos, no parece que las demás autoridades estén al pendiente ni le den seguimiento a ésta última, no obstante que más de una de las denuncias presentadas ante dicho organismo autónomo refirieran hechos que pudieran haber sido materia del ejercicio de facultades por parte de la CONDUSEF, la CNBV o, como en este caso, el Ministerio Público de la Federación, ocupado como está.

 

#LeyTelecomm; la Unidad de Inteligencia Financiera se adelanta…

13 agosto, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera, Technology Regulation
Deja un comentario

cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como «instancias de seguridad y procuración de justicia», cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: «Rastreará SHCP a evasores por celular«. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como «lavado de dinero», son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para «coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la «evasión fiscal» hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.

 

 

 

 

Multa de IFAI a BBVA Bancomer por tarjeta no solicitada… atención a los Avisos de Privacidad Simplificados

27 junio, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

 

 

BBVABancomerLas tarjetas de crédito pueden ser costosísimas para quienes no las usan adecuadamente y las consideran como extensión de su ingreso; la CONDUSEF se ha empeñado en comunicar educación financiera al respecto a los usuarios de las mismas. Pero los errores u omisiones en la gestión de esos productos puede ser igualmente costosa para las entidades financieras emisoras… en este caso el ofrecimiento de un sólo plástico tuvo para BBVA Bancomer un costo de $6’637,900.00.

El expediente PS.0022/13 se originó en la denuncia de una usuaria, que ya tenía una cuenta de depósito a la vista en dicha institución de crédito, y quien solicitó información sobre un crédito hipotecario, para lo cual le fueron solicitados datos personales de identificación, financieros y patrimoniales mediante correo electrónico, supuestamente a fin de identificarla como cliente y proporcionarle acceso a un simulador del referido crédito, pero posteriormente tuvo indicación de haberle sido aprobada una tarjeta de crédito cuya solicitud no había firmado, motivo por el cual denunció el hecho ante el IFAI.

La verificación de dicho Instituto encontró las siguientes conductas infractoras de la Ley Federal de Protección de Datos Personales, mismas que conforme al correspondiente procedimiento de imposición de sanciones ameritaron las multas que a continuación se indican:

  1. Haber dado tratamiento a los datos personales de la titular en contravención a los principios de licitud, consentimiento e información, con fundamento en los artículos 63, fracción IV, y 64, fracción II, de la Ley, considrada como de gravedad media, $2’914,200.00, y
  2. Recabar datos personales financieros y patrimoniales sin consentimiento expreso de su titular cuando el mismo era exigible, con fundamento en el artículo 63, fracción XIII, y 64, fracción III, de la Ley, considerada como de gravedad alta por la afectación que podría suponer a la titular, $3’723,700.00.

Hay aspectos del caso que vale la pena destacar, para efectos de la práctica en la materia, pues arrojan luz sobre cuestiones que motivan diversas preguntas frecuentemente. Por ejemplo la aplicación de la excepción al consentimiento expreso que se prevé en la fracción IV del artículo 10 de la LFPDPPP para el caso que el responsable y titular estén unidos por una relación jurídica, que es correlativamente prevista en el artículo 17 del Reglamento. BBVA sostuvo que por virtud de la relación existente con motivo de la prestación del servicio de depósito bancario de dinero a la vista no requería obtener el consentimiento expreso de la titular; sin embargo el IFAI estimó que la finalidad primigenia por la que dicho banco obtuvo los datos de la usuaria era diversa de aquélla por la cual dio ulterior tratamiento a tales datos y, por lo tanto, era preciso que obtuviera nuevamente su consentimiento expreso, por ser tales datos de naturaleza financiera (número de tarjeta de débito e ingresos mensuales).

Considerando lo anterior, podría decirse que a BBVA «le salió barato», pues dicho Instituto podría haber acumulado una infracción más al caso: cambiar la finalidad originaria del tratamiento de los datos personales sin haber obtenido dicho consentimiento expreso, como se prevé en el artículo 12, infracción prevista como «grave» por los artículos 63, fracción IX, y 64, fracción III.

Adicionalmente el IFAI podría haber sancionado a BBVA en el caso que se comenta con fundamento en el artículo 63, fracción V, por haber omitido los elementos del aviso de privacidad simplificado que deberían constar en el correo electrónico del personal que obtiene datos personales de los clientes de ese banco por dicho medio. Si bien el Instituto consideró la omisión de tales requisitos entre los razonamientos de su resolución en el procedimiento de imposición de sanciones, la subsumió en la violación a los principios de licitud, información y consentimiento, en tanto que el dispositivo citado era claramente aplicable en la especie, puesto que esa autoridad refiere de manera reiterada la omisión de BBVA Bancomer en poner a disposición de la tutilar afectada, previo al tratamiento de sus datos, un aviso de privacidad que indicara su identidad y domicilio, así como las finalidades de ese tratamiento y los mecanismos por los que pudiera imponerse del aviso de privacidad integral.

Sobre lo anterior es destacable que BBVA argumentó haber puesto a el aviso de privacidad a disposición de la titular afectada, y de sus clientes en general, mediante pósters en sucursales, a través de la «Línea Bancomer», su página de Internet (en español e inglés), en cajeros automáticos y en el estado de cuenta de la propia denunciante. Para acreditar tal hecho, BBVA ofreció como prueba un acta de fe de hechos fechada el 7 de noviembre del 2012, levantada por el Notario 121 del D.F., en que se dio fe del hecho que el aviso de privacidad se encontraba a disposición de los usuarios en diversas sucursales.

El pronunciamiento del IFAI sobre la omisión de los elementos del aviso de privacidad simplificado que son requeridos por el artículo 17, fracción II, de la Ley, así como 27 de su Reglamento y la Sección II de los Lineamientos del Aviso de Privacidad es relevante, puesto que hoy día parece haberse popularizado, particularmente en medios de atención telefónica, la práctica de únicamente indicar el último de los requisitos contenidos en las normas referidas, el medio para conocer el aviso de privacidad integral, en vez de indicar completos los elementos del simplificado. Si bien es comprensible que responsables que no cuentan con un call center o grabación al inicio de una llamada inbound, y por consecuencia no cuenten con medios para respaldar dicha llamada para efectos de acreditar la puesta a disposición del aviso mencionado, sientan la presión por atender al cliente de la manera más expedita posible y juzguen innecesario o incluso inconveniente efectuar la mención completa del aviso de privacidad simplificado. Sin embargo, las consecuencias de este caso ilustran la necesidad de cumplir con diligencia tal obligación.

Ahora bien, un punto que también resulta relevante destacar es que del expediente citado se podría desprender también una posible infracción a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, derivada de la apertura de un crédito en cuenta corriente asociado a una tarjeta de crédito a favor de la usuaria denunciante sin que ésta lo hubiera solicitado, puesto que el párrafo segundo del artículo 18 Bis de dicho ordenamiento dispone expresamente que tanto las Entidades Financieras como las Comerciales sólo podrán emitir y entregar tarjetas asociadas a nuevos créditos, previa solicitud del Cliente en términos del artículo citado, hipótesis que no se surtió en el caso comentado, y que conforme al artículo 41 del estatuto de referencia podría ser sancionado por la CONDUSEF con multa de 200 a 2000 días de salario.

Sin embargo, y no obstante tanto la importante intersección de la protección de datos personales con la regulación de los servicios financieros de primer piso, como la publicidad y atención que reciben las acciones del IFAI, no parece haber indicaciones de que los las autoridades en materia financiera tomen cartas en aquellos expedientes de imposición de sanciones de los que podrían desprenderse acciones u omisiones que ellas mismas pudieran sancionar también.

 

 

 

 

#fail de la Banca en Contratos de Tarjeta de Crédito ante CONDUSEF

29 enero, 2014
Regulación Bancaria/Financiera
Deja un comentario

El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la «ley anti-letra chiquita» o «plain Spanish», que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de «do-not-call list», en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander («panzaso»), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, «panzaso»), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de «setoff», por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Venció el plazo para el primer Aviso de Actividades Vulnerables

19 enero, 2014
Regulación Bancaria/Financiera
Deja un comentario

Capitanes REFORMA 16012014No hay fecha que no llegue, ni plazo que no se cumpla; luego de prórrogas sucesivas desde noviembre del 2013 hasta el viernes 17 de enero de este año, quienes realizan Actividades Vulnerables tuvieron hasta el pasado viernes para cumplir con sus obligaciones de Registro y Alta, así como con la presentación de los Avisos para sus operaciones realizadas entre los meses de septiembre y diciembre.

Si, el micrositio de PLD es deficiente, por decir lo menos, pero desde luego eso no excusa la omisión en el cumplimiento.

¿De qué tamaño pueden ser las contingencias para quienes no se hubieran registrado u omitan presentar los Avisos a los que están obligadas? Por:

  • Abstenerse de cumplir con los requerimientos que les formule la Secretaría;
  • Incumplir con cualquiera de las obligaciones establecidas en el artículo 18 de la LFPIORPI;
  • Incumplir con la obligación de presentar en tiempo los Avisos a que se refiere el artículo 17 de esa Ley, cuando la presentación del Aviso se realice a más tardar dentro de los 30 días siguientes a la fecha en que debió haber sido presentado. En caso de que la extemporaneidad u omisión exceda este plazo, se aplicará la sanción prevista para el caso de omisión;
  • No presentar los Avisos con los requisitos aplicables;

… multa por el equivalente de 200 hasta 2,000 días de salario mínimo general vigente en el D.F.

  • Omitir presentar los Avisos a que se refiere el artículo 17 de la Ley.

Multa por el equivalente a 10,000 y hasta 65,000 mil días de salario mínimo general vigente en el D.F., o del 10% al 100% del valor del acto u operación, cuando sean cuantificables en dinero, la que resulte mayor.

Si bien el artículo 55 de la «Ley Anti-Lavado» (o LFPIORPI) permite presentar por una vez de manera extemporánea los Avisos requeridos antes de que la autoridad ejerza facultades de verificación, ello no alcanza a la obligación de Alta en el micrositio del SAT. De manera que quienes no la hubieran cumplido en tiempo y forma podrían tener dificultades importantes… y costosas.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog