archivo

Regulación Bancaria/Financiera

 

 

BBVABancomerLas tarjetas de crédito pueden ser costosísimas para quienes no las usan adecuadamente y las consideran como extensión de su ingreso; la CONDUSEF se ha empeñado en comunicar educación financiera al respecto a los usuarios de las mismas. Pero los errores u omisiones en la gestión de esos productos puede ser igualmente costosa para las entidades financieras emisoras… en este caso el ofrecimiento de un sólo plástico tuvo para BBVA Bancomer un costo de $6’637,900.00.

El expediente PS.0022/13 se originó en la denuncia de una usuaria, que ya tenía una cuenta de depósito a la vista en dicha institución de crédito, y quien solicitó información sobre un crédito hipotecario, para lo cual le fueron solicitados datos personales de identificación, financieros y patrimoniales mediante correo electrónico, supuestamente a fin de identificarla como cliente y proporcionarle acceso a un simulador del referido crédito, pero posteriormente tuvo indicación de haberle sido aprobada una tarjeta de crédito cuya solicitud no había firmado, motivo por el cual denunció el hecho ante el IFAI.

La verificación de dicho Instituto encontró las siguientes conductas infractoras de la Ley Federal de Protección de Datos Personales, mismas que conforme al correspondiente procedimiento de imposición de sanciones ameritaron las multas que a continuación se indican:

  1. Haber dado tratamiento a los datos personales de la titular en contravención a los principios de licitud, consentimiento e información, con fundamento en los artículos 63, fracción IV, y 64, fracción II, de la Ley, considrada como de gravedad media, $2’914,200.00, y
  2. Recabar datos personales financieros y patrimoniales sin consentimiento expreso de su titular cuando el mismo era exigible, con fundamento en el artículo 63, fracción XIII, y 64, fracción III, de la Ley, considerada como de gravedad alta por la afectación que podría suponer a la titular, $3’723,700.00.

Hay aspectos del caso que vale la pena destacar, para efectos de la práctica en la materia, pues arrojan luz sobre cuestiones que motivan diversas preguntas frecuentemente. Por ejemplo la aplicación de la excepción al consentimiento expreso que se prevé en la fracción IV del artículo 10 de la LFPDPPP para el caso que el responsable y titular estén unidos por una relación jurídica, que es correlativamente prevista en el artículo 17 del Reglamento. BBVA sostuvo que por virtud de la relación existente con motivo de la prestación del servicio de depósito bancario de dinero a la vista no requería obtener el consentimiento expreso de la titular; sin embargo el IFAI estimó que la finalidad primigenia por la que dicho banco obtuvo los datos de la usuaria era diversa de aquélla por la cual dio ulterior tratamiento a tales datos y, por lo tanto, era preciso que obtuviera nuevamente su consentimiento expreso, por ser tales datos de naturaleza financiera (número de tarjeta de débito e ingresos mensuales).

Considerando lo anterior, podría decirse que a BBVA “le salió barato”, pues dicho Instituto podría haber acumulado una infracción más al caso: cambiar la finalidad originaria del tratamiento de los datos personales sin haber obtenido dicho consentimiento expreso, como se prevé en el artículo 12, infracción prevista como “grave” por los artículos 63, fracción IX, y 64, fracción III.

Adicionalmente el IFAI podría haber sancionado a BBVA en el caso que se comenta con fundamento en el artículo 63, fracción V, por haber omitido los elementos del aviso de privacidad simplificado que deberían constar en el correo electrónico del personal que obtiene datos personales de los clientes de ese banco por dicho medio. Si bien el Instituto consideró la omisión de tales requisitos entre los razonamientos de su resolución en el procedimiento de imposición de sanciones, la subsumió en la violación a los principios de licitud, información y consentimiento, en tanto que el dispositivo citado era claramente aplicable en la especie, puesto que esa autoridad refiere de manera reiterada la omisión de BBVA Bancomer en poner a disposición de la tutilar afectada, previo al tratamiento de sus datos, un aviso de privacidad que indicara su identidad y domicilio, así como las finalidades de ese tratamiento y los mecanismos por los que pudiera imponerse del aviso de privacidad integral.

Sobre lo anterior es destacable que BBVA argumentó haber puesto a el aviso de privacidad a disposición de la titular afectada, y de sus clientes en general, mediante pósters en sucursales, a través de la “Línea Bancomer”, su página de Internet (en español e inglés), en cajeros automáticos y en el estado de cuenta de la propia denunciante. Para acreditar tal hecho, BBVA ofreció como prueba un acta de fe de hechos fechada el 7 de noviembre del 2012, levantada por el Notario 121 del D.F., en que se dio fe del hecho que el aviso de privacidad se encontraba a disposición de los usuarios en diversas sucursales.

El pronunciamiento del IFAI sobre la omisión de los elementos del aviso de privacidad simplificado que son requeridos por el artículo 17, fracción II, de la Ley, así como 27 de su Reglamento y la Sección II de los Lineamientos del Aviso de Privacidad es relevante, puesto que hoy día parece haberse popularizado, particularmente en medios de atención telefónica, la práctica de únicamente indicar el último de los requisitos contenidos en las normas referidas, el medio para conocer el aviso de privacidad integral, en vez de indicar completos los elementos del simplificado. Si bien es comprensible que responsables que no cuentan con un call center o grabación al inicio de una llamada inbound, y por consecuencia no cuenten con medios para respaldar dicha llamada para efectos de acreditar la puesta a disposición del aviso mencionado, sientan la presión por atender al cliente de la manera más expedita posible y juzguen innecesario o incluso inconveniente efectuar la mención completa del aviso de privacidad simplificado. Sin embargo, las consecuencias de este caso ilustran la necesidad de cumplir con diligencia tal obligación.

Ahora bien, un punto que también resulta relevante destacar es que del expediente citado se podría desprender también una posible infracción a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, derivada de la apertura de un crédito en cuenta corriente asociado a una tarjeta de crédito a favor de la usuaria denunciante sin que ésta lo hubiera solicitado, puesto que el párrafo segundo del artículo 18 Bis de dicho ordenamiento dispone expresamente que tanto las Entidades Financieras como las Comerciales sólo podrán emitir y entregar tarjetas asociadas a nuevos créditos, previa solicitud del Cliente en términos del artículo citado, hipótesis que no se surtió en el caso comentado, y que conforme al artículo 41 del estatuto de referencia podría ser sancionado por la CONDUSEF con multa de 200 a 2000 días de salario.

Sin embargo, y no obstante tanto la importante intersección de la protección de datos personales con la regulación de los servicios financieros de primer piso, como la publicidad y atención que reciben las acciones del IFAI, no parece haber indicaciones de que los las autoridades en materia financiera tomen cartas en aquellos expedientes de imposición de sanciones de los que podrían desprenderse acciones u omisiones que ellas mismas pudieran sancionar también.

 

 

 

 

El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la “ley anti-letra chiquita” o “plain Spanish”, que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de “do-not-call list”, en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander (“panzaso”), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, “panzaso”), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de “setoff”, por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Capitanes REFORMA  16012014No hay fecha que no llegue, ni plazo que no se cumpla; luego de prórrogas sucesivas desde noviembre del 2013 hasta el viernes 17 de enero de este año, quienes realizan Actividades Vulnerables tuvieron hasta el pasado viernes para cumplir con sus obligaciones de Registro y Alta, así como con la presentación de los Avisos para sus operaciones realizadas entre los meses de septiembre y diciembre.

Si, el micrositio de PLD es deficiente, por decir lo menos, pero desde luego eso no excusa la omisión en el cumplimiento.

¿De qué tamaño pueden ser las contingencias para quienes no se hubieran registrado u omitan presentar los Avisos a los que están obligadas? Por:

  • Abstenerse de cumplir con los requerimientos que les formule la Secretaría;
  • Incumplir con cualquiera de las obligaciones establecidas en el artículo 18 de la LFPIORPI;
  • Incumplir con la obligación de presentar en tiempo los Avisos a que se refiere el artículo 17 de esa Ley, cuando la presentación del Aviso se realice a más tardar dentro de los 30 días siguientes a la fecha en que debió haber sido presentado. En caso de que la extemporaneidad u omisión exceda este plazo, se aplicará la sanción prevista para el caso de omisión;
  • No presentar los Avisos con los requisitos aplicables;

… multa por el equivalente de 200 hasta 2,000 días de salario mínimo general vigente en el D.F.

  • Omitir presentar los Avisos a que se refiere el artículo 17 de la Ley.

Multa por el equivalente a 10,000 y hasta 65,000 mil días de salario mínimo general vigente en el D.F., o del 10% al 100% del valor del acto u operación, cuando sean cuantificables en dinero, la que resulte mayor.

Si bien el artículo 55 de la “Ley Anti-Lavado” (o LFPIORPI) permite presentar por una vez de manera extemporánea los Avisos requeridos antes de que la autoridad ejerza facultades de verificación, ello no alcanza a la obligación de Alta en el micrositio del SAT. De manera que quienes no la hubieran cumplido en tiempo y forma podrían tener dificultades importantes… y costosas.

Es común ver publicidad del sector de servicios financieros ilustrada con imágenes de billetes de cruso legal en el país, o bien notas periodísticas en los diarios en Internet que igualmente usan esos materiales para ilustrar artículos en sus secciones de negocios o finanzas.

Asimismo el púbico tiende a recurrir a la moneda fiduciaria, como producto de la sociedad contemporánea  y particularmente a los billetes, como medios de expresiones diversas. Muchos conocerán aquél ejemplar del billete de MXN$20.00 que circuló por Internet en el sexenio pasado con el águila republicana y la efigie de AMLO en vez de la de Benito Juárez, con denominación de “veitijinco pejos”, o la del mismo billete en que el Benemérito de las Américas portaba un cubrebocas, expresión de la contingencia por la influenza AH1N1 vivida en México durante 2009.

Más recientemente vi en Twitter un billete de US$100 que en vez de la efigie de Alexander Hamilton; constitucionalista estadounidense, tenía la del Maestro Yoda y la leyenda “Jedi Master”. Lo anterior motiva la pregunta sobre la legalidad de tales conductas, desde la creación del ejemplar inicial hasta el “post” del mismo en una red social, página Web, blog, “retweet”, etc.

Al respecto la Ley Monetaria de los Estados Unidos Mexicanos prevé lo siguiente:

Artículo 17.- Queda prohibida la imitación o reproducción total o parcial, de monedas metálicas o de billetes, nacionales o extranjeros, en rótulos, viñetas, anuncios o en cualquiera otra forma, salvo en aquellos casos en que la Secretaría de Hacienda y Crédito Público, oyendo previamente al Banco de México, lo autorice expresamente, por tratarse de imágenes de monedas que carezcan de idoneidad para engañar, que no conduzcan o puedan conducir a la falsificación de dichas piezas ni, en general, afecten la seguridad de la circulación monetaria.

Queda igualmente prohibida la comercialización de reproducciones o imitaciones no autorizadas.

Las personas que contravengan lo dispuesto en este artículo, serán sancionadas administrativamente por la Secretaría de Hacienda y Crédito Público, con multa hasta de un millón de pesos. El importe de la multa respectiva se fijará oyendo al Banco de México y tomando en cuenta el número de las imitaciones o reproducciones, los efectos de éstas en la seguridad de la circulación monetaria, la utilidad percibida por el infractor y las circunstancias de éste.

Para determinar la posiblidad de aplicar la norma citada a los casos referidos es preciso dilucidar el significado de los verbos rectores de la conducta sancionada: “imitar” y/o “reproducir”. En el Diccionario de la Real Academia Española “imitar” es la acción o efecto de “ejecutar algo a ejemplo o semejanza de otra cosa”, y “reproducir” la de “sacar copia, en uno o en muchos ejemplares, de una obra de arte, objeto arqueológico, texto, etc., por procedimientos calcográficos, electrolíticos, fotolitográficos o mecánicos y también mediante el vaciado; o ser copia de un original”.

¿Se llevan a cabo esas conductas cuando se “postea”, “retweetea” o “sube” a una página la imagen de una pieza monetaria, haya o no sido modificada en sus elementos gráficos? La Ley Federal del Derecho de Autor define en su artículo 16, fracción V, la Reproducción como: “la realización de uno o varios ejemplares de una obra, de un fonograma o de un videograma, en cualquier forma tangible, incluyendo cualquier almacenamiento permanente o temporal por medios electrónicos, aunque se trate de la realización bidimensional de una obra tridimensional o viceversa.”

Los billetes, tanto del Banco de México como de otros bancos de emisión, incorporan obras de arte, mismas que son de suyo obras protegidas por la Ley Federal del Derecho de Autor. De tal manera que quien realizara la modificación de los mismos, para empezar, estaría elaborando una obra derivada del billete, que sería la obra primigenia, de acuerdo con el artículo 4, sección C, fracción II de la Ley Federal del Derecho de Autor: “Las obras objeto de protección pueden ser: Derivadas: Aquéllas que resulten de la adaptación, traducción u otra transformación de una obra primigenia”.

De tal manera las modificaciones hechas, incluso en broma a los billetes de banco, podrían constituir infracciones al derecho de autor que el banco emisor detenta sobre sus billetes, pues las obras de arte incorporadas en ellos son producto del trabajo de empleados de estos. Pero además podrían resultar en la infracción de lo previsto en el artículo 17 de la Ley Monetaria. ¿Y los “posts”, “shares”, “retweets”, etc.? Pues depende de la forma de operación de la plataforma a través de la cual sean llevados a cabo. Si el creador del “meme” o “hoax” “subiera” los materiales de su máquina a su página, blog o perfil de red social, por la operación de la computadora necesariamente se harían reproducciones del material, lo cual podría hacer aplicable la norma citada.

En el caso de “shares” o “retweets”, el material quedaría en los servidores de la red social, sin almacenarse en la computadora de quien los hubiera llevado a cabo… con posibles excepciones por la operación de la memoria caché. Naturalmente lo anterior podría tener sus bemoles ante criterios de libertad de expresión, en ciertos casos.

Ahora bien, de ahí a que pudiera devenir aplicable el artículo 234 del Código Penal Federal, que tipifica el delito de falsificación de moneda como la conducta llevada a cabo por quien “… produzca, almacene, distribuya o introduzca al territorio nacional cualquier documento o pieza que contenga imágenes u otros elementos utilizados en las monedas circulantes, y que por ello resulten idóneos para engañar al público, por ser confundibles con monedas emitidas legalmente”.

Jurídicamente los materiales a los que se ha aludido en la presente entrada no constituyen documentos, sino “mensajes de datos”, definidos en el artículo 89 del Código de Comercio como “la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología”. A causa de la literalidad que debe privar en la aplicación de la legislación penal y no obstante la equivalencia funcional que el artículo 89 Bis de dicho Código prevé para los mensajes de datos respecto de los documentos escritos en papel (“no se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos“), el manejo de estos “memes” o “hoaxes” no debería, en principio, hacer aplicables las penas de 5 a 12 ó 4 a 8 años de prisión para quien realizara estas conductas en tanto no realice impresiones de dichos materiales y/o los ponga en circulación o en manos del público.

Finalmente vale la pena mencionar que la multa de MXN$1’000,000.00 establecida en el artículo 17 de la Ley Monetaria sería por MXN$1,000.00, dado que en 1993 la conversión de la unidad monetaria mexicana por la que actualmente tenemos suprimió tres 0s de las cantidades previstas en aquéllas disposiciones promulgadas con antrioridad a ello y que no hubieran sido reformadas para prever dicho cambio.

En una entrada anterior de este blog abordé algunas incongruencias que un servidor ha encontrado entre las disposiciones de la Ley Federal de Protección de Datos Personales y la Ley para Prevenir e Identificar Operaciones con Recursos de Procedencia Ilícita.

Dicho lo anterior, si bien es destacable que, contrario a lo que suele suceder con las plataformas de diversas autoridads en Internet (como el Registro de Contratos de Adhesión en Línea de la PROFECO -léase al calce “Esta página no funciona con navegadores como: Firefox, Mozilla, Safari, etc.”-), que el Micrositio del SAT para la captura y envío de los Avisos que quienes realicen Actividades Vulnerables deben presentar ante dicha autoridad haya sido diseñado para operar con los 3 de los navegadores de uso más ampliamente utilizados (Internet Explorer, Mozilla Firefox y Google Chrome, y nótese que se olvidaron del Safari), y sin pretender ser un experto en informática (soy abogado y profesional en protección de datos personales), llama la atención haber recurrido a “plug-ins” de Java, lo cual podría parecer no haber sido la decisión más atinada.

Al pulsar sobre el ícono de Acceso al Sistema del Portal en Internet, además de , Firefox despliega una advertencia en la esquina superior izquierda advirtiendo la existencia de vulnerabilidades del plug-in de Java Deployment Toolkit para ese sitio. Al consultar información del navegador sobre el potencial riesgo, el mismo despliega los siguientes textos:

Java Prevention BlockMozilla Java Toolkit PlugIn WarningBuscando información al respecto, encontré en la página del US-CERT (United States Computer Emergency Readiness Team), que explica lo siguiente: http://www.us-cert.gov/ncas/alerts/TA13-010A

Overview

A vulnerability in the way Java 7 restricts the permissions of Java applets could allow an attacker to execute arbitrary commands on a vulnerable system.

Description

A vulnerability in the Java Security Manager allows a Java applet to grant itself permission to execute arbitrary code. An attacker could use social engineering techniques to entice a user to visit a link to a website hosting a malicious Java applet. An attacker could also compromise a legitimate web site and upload a malicious Java applet (a “drive-by download” attack).
(énfasis añadido)

Any web browser using the Java 7 plug-in is affected. The Java Deployment Toolkit plug-in and Java Web Start can also be used as attack vectors.

Reports indicate this vulnerability is being actively exploited, and exploit code is publicly available.

Further technical details are available in Vulnerability Note VU#625617.

Impact

By convincing a user to load a malicious Java applet or Java Network Launching Protocol (JNLP) file, an attacker could execute arbitrary code on a vulnerable system with the privileges of the Java plug-in process.

Solution

Update Java

De lo anterior habrían tres cosas que destacar:

  1. El SAT debería haber considerado el desarrollo del micrositio para Safari, no sólo para navegadores que corren sobre sistemas operativos de MicroSoft. Sin embargo habiendo hecho la prueba de acceder a través de iOS utilizando Safari el micrositio no presentó dificultad.
  2. También debería haberse considerado utilizar un lenguaje de programación que presentara menos vulnerabilidades, y
  3. La seguridad informática y de información no es sólo tarea de quien desarrolla un sitio o plataforma, sino también de quien accede a ellos; es necesario que el usuario aplique las elementales precauciones de mantener su software actualizado, contar con anti-malware (no sólo anti-virus) y ejerza el mínimo y elemental cuidado de evitar descargar contenidos riesgosos o de dudosa procedencia, así como evitar acceder a URLs desconocidos.

Las opiniones al respecto de expertos en seguridad informática serán bienvenidas.

La más reciente sanción del IFAI fue para SOLUFINTE, empresa dedicada a intermediar entre personas físicas solicitantes de préstamos de dinero en efectivo e instituciones de crédito, derivado de la denuncia de un Titular dado que dicha Responsable habría omitido contar con el Aviso de Privacidad correspondiente y manifestado al afectado que “…no tenían ninguna prohibición ni restricción alguna para dar información a terceras personas que ellos consideraran pertinentes…”.

Los elementos contenidos en el expediente PS 0010/13 muestran que esa Responsable habría:

  1. Recabado Datos Personales Financieros, relativos a ingreso, si su casa-habitación es propia, rentada o de un familiar, ingreso mensual mancomunado, gastos mensuales, monto y destino del crédito, mensualidad ideal, compromisos financieros e historial crediticio, sin el consentimiento de sus Titulares, sin indicar las finalidades que justifican el Tratamiento de los Datos Personales en mérito y sin haber obtenido su consentimiento expreso, por lo cual la multa fue de $230,621.00.
  2. Obstruido los actos de  verificación del IFAI, lo cual motivó multa por $311,650.00.

Con relación al numeral 1 anterior, el representante de la Responsable manifestó en una visita de verificación que los Datos Personales mencionados son recabados mediante el formato de solicitud de crédito que. de acuerdo con dicho Instituto “no cumple con las características de ser un documento específico e informado para recabar el consentimiento…”, puesto que “…no se establecen la finalidades que justifican el tratamiento de los datos, de tal suerte que dicho documento carece de los elementos que demuestran que se otorgó el consentimiento”, agregando que “…dicha “solicitud de crédito no es el medio idóneo a través del cual los titulares manifiesten de manera expresa su consentimiento para el Tratamiento de sus datos personales financieros y patrimoniales, en virtud de que no contiene un señalamiento en dicho sentido, por lo que del referido formato no se desprende que los titulares otorgaran su consentimiento expreso, para el tratamiento de sus datos”.

A ese respecto, y sin el más mínimo afán de tomar en forma ni medida alguna partido con la Responsable sancionada, creo conveniente mencionar que en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales, un servidor envió a COFEMER un memorandum resaltando los aspectos en que las actividades crediticias enfrentaban una carga regulatoria reiterativa en materia de autorización para el uso de los datos personales de los titulares solicitantes de crédito derivado de los requisitos de expresión del consentimiento previstos en la Ley para la Transparencia y Ordenamiento de los Servicios Financieros (la “LTOSF”) y la LFPDPPP y su Reglamento, mismo que si bien fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) parece no haber tenido la atención de los reguladores financieros ni del de de protección de datos personales. Me parece indispensable que las diversas cabezas de sector de la administración pública federal emprendan los trabajos de regulación sectorial a que se refiere el artículo 40 de la LFPDPPP.

El tema es que tanto la referida LTOSF y las correspondientes Reglas de PROFECO y CONDUSEF para la misma requieren que las carátulas de los contratos de crédito incluyan espacios específicos para la manifestación del consentimiento del solicitante respecto de diversos elementos del contrato de crédito respectivo, particularmente del uso de tales datos para fines de mercadotecnia,por lo que se podría haber considerado solventado el elemento del Aviso de Privacidad a que se refiere el artículo 30 del citado Reglamento en tanto que el Tratamiento de los Datos Personales fuera realizado por Entidades obligadas a cumplir con la LTOSF, lo cual no parece haber sido el caso de Solufinte, pues esa Responsable aparentemente sería un intermediario y no un otorgante de crédito.

Por lo que corresponde al numeral 2, aparentemente se habría tratado de localizar a Solufinte en diversos domicilios, sin que el IFAI lo hubiera logrado, actualizándose la infracción prevista en el artículo 63, fracción XIV.

En suma, Solufinte deberá pagar multas por un total de $542,271.00, cantidad que aparece como determinada sin haber tenido la autoridad a la vista información financiera de dicha Responsable.

El día de ayer llevé a cabo una presentación sobre cumplimiento normativo en materia de Prevención e Identificaciónde Operaciones con Recursos de Procedencia Ilícita (“Ley Anti-Lavado”) a un nutrido auditorio de Profesionales Inmobiliarios (realtors), y dado que dicha ley versa esencialmente sobre el tratamiento de datos personales para la prevención de ciertos delitos fue necesario e inevitable hacer precisiones sobre la intersección de ambos ordenamientos.

La primera es que la presentación de los Avisos por la realización de operaciones derivadas de las Actividads Vulnerables previstas en el Artículo 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) no implica violación alguna a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Para empezar habría que considerar que conforme a los principios generales del Derecho generalmente el cumplimiento de las obligaciones derivadas de un ordenamiento no podrían, o al menos no deberían, resultar en la violación de otro, y mucho menos en responsabilidad por ello.

Pero para claridad absoluta, el artículo 22 de la LFPIORPI dispone expresamente que: “la presentación …de los Avisos, información y documentación a que se refiere esta Ley, por parte de quienes realicen las Actividades Vulnerables no implicará para éstos, transgresión alguna a las obligaciones de confidencialidad o secreto legal, profesional, fiscal, bancario, fiduciario o cualquier otro que prevean las leyes, ni podrá ser objeto de cláusula de confidencialidad en convenio, contrato o acto jurídico alguno”.

A lo anterior habría que agregar que el Artículo 10, fracción I, de la LFPDPPP prevé como excepción al Principio del Consentimiento que el Tratamiento de Datos Personales que el Responsable pretenda realizar esté previsto en una Ley, como sería el caso de la presentación de Avisos conforme a la LFPIORPI. Adicionalmente el artículo 37, fracciones I y V, de la citada Ley exime de cumplir con el referido Principio en el caso de aquéllas Transferencias de Datos Personales que estén previstas en una Ley o Tratado, o que sean necesarias o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.

Partiendo de la base que conforme a sus Artículos 1 y 2 la LFPIORPI es de interés público, y tiene por objeto establecer medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita… para investigar y perseguir los delitos de tales operaciones, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y evitar el uso de los recursos para su financiamiento, sería acertado encuadrar la presentación de los Avisos dispuestos por esta última Ley en las citadas excepciones al mencionado Principio del Consentimiento.

Sin embargo es importante atender también a los Principios de Información y Finalidad igualmente dispuestos en el artículo 6 de la LFPDPPP y 9, fracciones III y V de la LFPDPPP, de acuerdo con los cuales:

  • El Responsable debe dar a conocer al Titular la información relativa a la existencia y características principales del Tratamiento de sus Datos Personales a través del Aviso de Privacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento (Art. 23), y
  • Los Datos Personales sólo podrán ser tratados para el cumplimiento de la(s) finalidad(es) determinada(s) que con claridad, sin lugar a confusión y de manera objetiva especifiquen en el Aviso de Privacidad para qué objeto serán tratados los datos personales (Art. 40).

Partiendo de las premisas que:

  1. El Principio de Información no admitiría excepciones, y
  2. El Lineamiento 24 del Aviso de Privacidad requiere para cumplir con el Principio de Finalidad que
  • El listado de Finalidades descritas sea completo y no utilice frases inexactas, ambiguas o
    vagas, como “entre otras finalidades”, “otros fines análogos” o “por ejemplo”, y
  • Las Finalidades descritas en el aviso de privacidad sean determinadas; que cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos
    personales.

De manera que siendo en extremo puristas, el apartado o capítulo de Finalidades del Tratamiento en los Avisos de Privacidad debería explicitar incluso que los Datos Personales de los Clientes o Usuarios de quienes realicen operaciones con personas dedicadas a Actividades Vulnerables serían usados para el cumplimiento de las obligaciones de tales Responsables conforme a la LFPIORPI.

Sin embargo, el Artículo 31 de las Reglas de Carácter General a que se refiere la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita prohíbe a quienes realicen Actividades Vulnerables alertar o dar aviso a sus Clientes o Usuarios respecto de cualquier referencia que sobre éstos se haga en los Avisos, o a algún tercero, así como a dichas personas respecto de cualquiera de los requerimientos de información, documentación, datos o imágenes previstos en la Ley y en el Reglamento.

Asi nos encontramos con una contradicción entre la LFPDPPP, que en principio requeriría la referencia al cumplimiento de la LFPIORPI entre las Finalidades que deberían ser determinadas en los Avisos de Privacidad, y las Reglas de Carácter General derivadas de ésta última, que prohíben hacerlo. Siendo la primera referida una ley de carácter general anterior en tiempo, en tanto que la segunda es particular posterior en tiempo, evidentemente la solución debe ser cumplir con ésta última, sin que ello pudiera suponer violación a aquélla.

Pero ese no es el único punto de desencuentro entre ambos ordenamientos; una pregunta más a considerar sería si es que el cumplimiento y aplicación de la LFPIORPI y su Reglamento y Reglas haría nugativa las excepciones de los artículos 36 y 37, fracción III, de la LFPDPPP, que permite llevar a cabo la Transferencia de Datos Personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos y políticas internas sin el consentimiento del Titular de los Datos Tratados.

Lo anterior debido a que el Artículo 14, fracción I, de las citadas Reglas de la LFPIORPI prevén que para aquéllas personas morales que realicen Actividades Vulnerables y formen parte de Grupos Empresariales, podrán integrar y conservar el expediente de identificación del Cliente o Usuario mediante cualquiera de las otras personas morales que formen parte del mismo Grupo Empresarial, aun cuando no realicen la misma Actividad Vulnerable, siempre que cuenten con “el consentimiento expreso del Cliente o Usuario para que dicha persona moral proporcione (Transfiera) los datos y documentos relativos a su identificación a cualquiera de las personas morales que conforman el Grupo Empresarial con la que pretenda realizar una Actividad Vulnerable.

En tal virtud, siguiendo el razonamiento aplicado para resolver la duda sobre la necesidad/obligación de incluir expresamente la presentación de Avisos respecto de operaciones celebradas en la realización de Actividades Vulnerables, quienes las realicen y pertenezcan a un mismo Grupo Empresarial no gozarían de la excepción para la Transferencia que implicaría el compartir el expediente único de sus clientes.

Algo más para considerar de cara a una eventual reforma de la LFPDPPP.

 

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace