archivo

Regulación Bancaria/Financiera

Es común ver publicidad del sector de servicios financieros ilustrada con imágenes de billetes de cruso legal en el país, o bien notas periodísticas en los diarios en Internet que igualmente usan esos materiales para ilustrar artículos en sus secciones de negocios o finanzas.

Asimismo el púbico tiende a recurrir a la moneda fiduciaria, como producto de la sociedad contemporánea  y particularmente a los billetes, como medios de expresiones diversas. Muchos conocerán aquél ejemplar del billete de MXN$20.00 que circuló por Internet en el sexenio pasado con el águila republicana y la efigie de AMLO en vez de la de Benito Juárez, con denominación de “veitijinco pejos”, o la del mismo billete en que el Benemérito de las Américas portaba un cubrebocas, expresión de la contingencia por la influenza AH1N1 vivida en México durante 2009.

Más recientemente vi en Twitter un billete de US$100 que en vez de la efigie de Alexander Hamilton; constitucionalista estadounidense, tenía la del Maestro Yoda y la leyenda “Jedi Master”. Lo anterior motiva la pregunta sobre la legalidad de tales conductas, desde la creación del ejemplar inicial hasta el “post” del mismo en una red social, página Web, blog, “retweet”, etc.

Al respecto la Ley Monetaria de los Estados Unidos Mexicanos prevé lo siguiente:

Artículo 17.- Queda prohibida la imitación o reproducción total o parcial, de monedas metálicas o de billetes, nacionales o extranjeros, en rótulos, viñetas, anuncios o en cualquiera otra forma, salvo en aquellos casos en que la Secretaría de Hacienda y Crédito Público, oyendo previamente al Banco de México, lo autorice expresamente, por tratarse de imágenes de monedas que carezcan de idoneidad para engañar, que no conduzcan o puedan conducir a la falsificación de dichas piezas ni, en general, afecten la seguridad de la circulación monetaria.

Queda igualmente prohibida la comercialización de reproducciones o imitaciones no autorizadas.

Las personas que contravengan lo dispuesto en este artículo, serán sancionadas administrativamente por la Secretaría de Hacienda y Crédito Público, con multa hasta de un millón de pesos. El importe de la multa respectiva se fijará oyendo al Banco de México y tomando en cuenta el número de las imitaciones o reproducciones, los efectos de éstas en la seguridad de la circulación monetaria, la utilidad percibida por el infractor y las circunstancias de éste.

Para determinar la posiblidad de aplicar la norma citada a los casos referidos es preciso dilucidar el significado de los verbos rectores de la conducta sancionada: “imitar” y/o “reproducir”. En el Diccionario de la Real Academia Española “imitar” es la acción o efecto de “ejecutar algo a ejemplo o semejanza de otra cosa”, y “reproducir” la de “sacar copia, en uno o en muchos ejemplares, de una obra de arte, objeto arqueológico, texto, etc., por procedimientos calcográficos, electrolíticos, fotolitográficos o mecánicos y también mediante el vaciado; o ser copia de un original”.

¿Se llevan a cabo esas conductas cuando se “postea”, “retweetea” o “sube” a una página la imagen de una pieza monetaria, haya o no sido modificada en sus elementos gráficos? La Ley Federal del Derecho de Autor define en su artículo 16, fracción V, la Reproducción como: “la realización de uno o varios ejemplares de una obra, de un fonograma o de un videograma, en cualquier forma tangible, incluyendo cualquier almacenamiento permanente o temporal por medios electrónicos, aunque se trate de la realización bidimensional de una obra tridimensional o viceversa.”

Los billetes, tanto del Banco de México como de otros bancos de emisión, incorporan obras de arte, mismas que son de suyo obras protegidas por la Ley Federal del Derecho de Autor. De tal manera que quien realizara la modificación de los mismos, para empezar, estaría elaborando una obra derivada del billete, que sería la obra primigenia, de acuerdo con el artículo 4, sección C, fracción II de la Ley Federal del Derecho de Autor: “Las obras objeto de protección pueden ser: Derivadas: Aquéllas que resulten de la adaptación, traducción u otra transformación de una obra primigenia”.

De tal manera las modificaciones hechas, incluso en broma a los billetes de banco, podrían constituir infracciones al derecho de autor que el banco emisor detenta sobre sus billetes, pues las obras de arte incorporadas en ellos son producto del trabajo de empleados de estos. Pero además podrían resultar en la infracción de lo previsto en el artículo 17 de la Ley Monetaria. ¿Y los “posts”, “shares”, “retweets”, etc.? Pues depende de la forma de operación de la plataforma a través de la cual sean llevados a cabo. Si el creador del “meme” o “hoax” “subiera” los materiales de su máquina a su página, blog o perfil de red social, por la operación de la computadora necesariamente se harían reproducciones del material, lo cual podría hacer aplicable la norma citada.

En el caso de “shares” o “retweets”, el material quedaría en los servidores de la red social, sin almacenarse en la computadora de quien los hubiera llevado a cabo… con posibles excepciones por la operación de la memoria caché. Naturalmente lo anterior podría tener sus bemoles ante criterios de libertad de expresión, en ciertos casos.

Ahora bien, de ahí a que pudiera devenir aplicable el artículo 234 del Código Penal Federal, que tipifica el delito de falsificación de moneda como la conducta llevada a cabo por quien “… produzca, almacene, distribuya o introduzca al territorio nacional cualquier documento o pieza que contenga imágenes u otros elementos utilizados en las monedas circulantes, y que por ello resulten idóneos para engañar al público, por ser confundibles con monedas emitidas legalmente”.

Jurídicamente los materiales a los que se ha aludido en la presente entrada no constituyen documentos, sino “mensajes de datos”, definidos en el artículo 89 del Código de Comercio como “la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología”. A causa de la literalidad que debe privar en la aplicación de la legislación penal y no obstante la equivalencia funcional que el artículo 89 Bis de dicho Código prevé para los mensajes de datos respecto de los documentos escritos en papel (“no se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos“), el manejo de estos “memes” o “hoaxes” no debería, en principio, hacer aplicables las penas de 5 a 12 ó 4 a 8 años de prisión para quien realizara estas conductas en tanto no realice impresiones de dichos materiales y/o los ponga en circulación o en manos del público.

Finalmente vale la pena mencionar que la multa de MXN$1’000,000.00 establecida en el artículo 17 de la Ley Monetaria sería por MXN$1,000.00, dado que en 1993 la conversión de la unidad monetaria mexicana por la que actualmente tenemos suprimió tres 0s de las cantidades previstas en aquéllas disposiciones promulgadas con antrioridad a ello y que no hubieran sido reformadas para prever dicho cambio.

En una entrada anterior de este blog abordé algunas incongruencias que un servidor ha encontrado entre las disposiciones de la Ley Federal de Protección de Datos Personales y la Ley para Prevenir e Identificar Operaciones con Recursos de Procedencia Ilícita.

Dicho lo anterior, si bien es destacable que, contrario a lo que suele suceder con las plataformas de diversas autoridads en Internet (como el Registro de Contratos de Adhesión en Línea de la PROFECO -léase al calce “Esta página no funciona con navegadores como: Firefox, Mozilla, Safari, etc.”-), que el Micrositio del SAT para la captura y envío de los Avisos que quienes realicen Actividades Vulnerables deben presentar ante dicha autoridad haya sido diseñado para operar con los 3 de los navegadores de uso más ampliamente utilizados (Internet Explorer, Mozilla Firefox y Google Chrome, y nótese que se olvidaron del Safari), y sin pretender ser un experto en informática (soy abogado y profesional en protección de datos personales), llama la atención haber recurrido a “plug-ins” de Java, lo cual podría parecer no haber sido la decisión más atinada.

Al pulsar sobre el ícono de Acceso al Sistema del Portal en Internet, además de , Firefox despliega una advertencia en la esquina superior izquierda advirtiendo la existencia de vulnerabilidades del plug-in de Java Deployment Toolkit para ese sitio. Al consultar información del navegador sobre el potencial riesgo, el mismo despliega los siguientes textos:

Java Prevention BlockMozilla Java Toolkit PlugIn WarningBuscando información al respecto, encontré en la página del US-CERT (United States Computer Emergency Readiness Team), que explica lo siguiente: http://www.us-cert.gov/ncas/alerts/TA13-010A

Overview

A vulnerability in the way Java 7 restricts the permissions of Java applets could allow an attacker to execute arbitrary commands on a vulnerable system.

Description

A vulnerability in the Java Security Manager allows a Java applet to grant itself permission to execute arbitrary code. An attacker could use social engineering techniques to entice a user to visit a link to a website hosting a malicious Java applet. An attacker could also compromise a legitimate web site and upload a malicious Java applet (a “drive-by download” attack).
(énfasis añadido)

Any web browser using the Java 7 plug-in is affected. The Java Deployment Toolkit plug-in and Java Web Start can also be used as attack vectors.

Reports indicate this vulnerability is being actively exploited, and exploit code is publicly available.

Further technical details are available in Vulnerability Note VU#625617.

Impact

By convincing a user to load a malicious Java applet or Java Network Launching Protocol (JNLP) file, an attacker could execute arbitrary code on a vulnerable system with the privileges of the Java plug-in process.

Solution

Update Java

De lo anterior habrían tres cosas que destacar:

  1. El SAT debería haber considerado el desarrollo del micrositio para Safari, no sólo para navegadores que corren sobre sistemas operativos de MicroSoft. Sin embargo habiendo hecho la prueba de acceder a través de iOS utilizando Safari el micrositio no presentó dificultad.
  2. También debería haberse considerado utilizar un lenguaje de programación que presentara menos vulnerabilidades, y
  3. La seguridad informática y de información no es sólo tarea de quien desarrolla un sitio o plataforma, sino también de quien accede a ellos; es necesario que el usuario aplique las elementales precauciones de mantener su software actualizado, contar con anti-malware (no sólo anti-virus) y ejerza el mínimo y elemental cuidado de evitar descargar contenidos riesgosos o de dudosa procedencia, así como evitar acceder a URLs desconocidos.

Las opiniones al respecto de expertos en seguridad informática serán bienvenidas.

La más reciente sanción del IFAI fue para SOLUFINTE, empresa dedicada a intermediar entre personas físicas solicitantes de préstamos de dinero en efectivo e instituciones de crédito, derivado de la denuncia de un Titular dado que dicha Responsable habría omitido contar con el Aviso de Privacidad correspondiente y manifestado al afectado que “…no tenían ninguna prohibición ni restricción alguna para dar información a terceras personas que ellos consideraran pertinentes…”.

Los elementos contenidos en el expediente PS 0010/13 muestran que esa Responsable habría:

  1. Recabado Datos Personales Financieros, relativos a ingreso, si su casa-habitación es propia, rentada o de un familiar, ingreso mensual mancomunado, gastos mensuales, monto y destino del crédito, mensualidad ideal, compromisos financieros e historial crediticio, sin el consentimiento de sus Titulares, sin indicar las finalidades que justifican el Tratamiento de los Datos Personales en mérito y sin haber obtenido su consentimiento expreso, por lo cual la multa fue de $230,621.00.
  2. Obstruido los actos de  verificación del IFAI, lo cual motivó multa por $311,650.00.

Con relación al numeral 1 anterior, el representante de la Responsable manifestó en una visita de verificación que los Datos Personales mencionados son recabados mediante el formato de solicitud de crédito que. de acuerdo con dicho Instituto “no cumple con las características de ser un documento específico e informado para recabar el consentimiento…”, puesto que “…no se establecen la finalidades que justifican el tratamiento de los datos, de tal suerte que dicho documento carece de los elementos que demuestran que se otorgó el consentimiento”, agregando que “…dicha “solicitud de crédito no es el medio idóneo a través del cual los titulares manifiesten de manera expresa su consentimiento para el Tratamiento de sus datos personales financieros y patrimoniales, en virtud de que no contiene un señalamiento en dicho sentido, por lo que del referido formato no se desprende que los titulares otorgaran su consentimiento expreso, para el tratamiento de sus datos”.

A ese respecto, y sin el más mínimo afán de tomar en forma ni medida alguna partido con la Responsable sancionada, creo conveniente mencionar que en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales, un servidor envió a COFEMER un memorandum resaltando los aspectos en que las actividades crediticias enfrentaban una carga regulatoria reiterativa en materia de autorización para el uso de los datos personales de los titulares solicitantes de crédito derivado de los requisitos de expresión del consentimiento previstos en la Ley para la Transparencia y Ordenamiento de los Servicios Financieros (la “LTOSF”) y la LFPDPPP y su Reglamento, mismo que si bien fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) parece no haber tenido la atención de los reguladores financieros ni del de de protección de datos personales. Me parece indispensable que las diversas cabezas de sector de la administración pública federal emprendan los trabajos de regulación sectorial a que se refiere el artículo 40 de la LFPDPPP.

El tema es que tanto la referida LTOSF y las correspondientes Reglas de PROFECO y CONDUSEF para la misma requieren que las carátulas de los contratos de crédito incluyan espacios específicos para la manifestación del consentimiento del solicitante respecto de diversos elementos del contrato de crédito respectivo, particularmente del uso de tales datos para fines de mercadotecnia,por lo que se podría haber considerado solventado el elemento del Aviso de Privacidad a que se refiere el artículo 30 del citado Reglamento en tanto que el Tratamiento de los Datos Personales fuera realizado por Entidades obligadas a cumplir con la LTOSF, lo cual no parece haber sido el caso de Solufinte, pues esa Responsable aparentemente sería un intermediario y no un otorgante de crédito.

Por lo que corresponde al numeral 2, aparentemente se habría tratado de localizar a Solufinte en diversos domicilios, sin que el IFAI lo hubiera logrado, actualizándose la infracción prevista en el artículo 63, fracción XIV.

En suma, Solufinte deberá pagar multas por un total de $542,271.00, cantidad que aparece como determinada sin haber tenido la autoridad a la vista información financiera de dicha Responsable.

El día de ayer llevé a cabo una presentación sobre cumplimiento normativo en materia de Prevención e Identificaciónde Operaciones con Recursos de Procedencia Ilícita (“Ley Anti-Lavado”) a un nutrido auditorio de Profesionales Inmobiliarios (realtors), y dado que dicha ley versa esencialmente sobre el tratamiento de datos personales para la prevención de ciertos delitos fue necesario e inevitable hacer precisiones sobre la intersección de ambos ordenamientos.

La primera es que la presentación de los Avisos por la realización de operaciones derivadas de las Actividads Vulnerables previstas en el Artículo 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) no implica violación alguna a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Para empezar habría que considerar que conforme a los principios generales del Derecho generalmente el cumplimiento de las obligaciones derivadas de un ordenamiento no podrían, o al menos no deberían, resultar en la violación de otro, y mucho menos en responsabilidad por ello.

Pero para claridad absoluta, el artículo 22 de la LFPIORPI dispone expresamente que: “la presentación …de los Avisos, información y documentación a que se refiere esta Ley, por parte de quienes realicen las Actividades Vulnerables no implicará para éstos, transgresión alguna a las obligaciones de confidencialidad o secreto legal, profesional, fiscal, bancario, fiduciario o cualquier otro que prevean las leyes, ni podrá ser objeto de cláusula de confidencialidad en convenio, contrato o acto jurídico alguno”.

A lo anterior habría que agregar que el Artículo 10, fracción I, de la LFPDPPP prevé como excepción al Principio del Consentimiento que el Tratamiento de Datos Personales que el Responsable pretenda realizar esté previsto en una Ley, como sería el caso de la presentación de Avisos conforme a la LFPIORPI. Adicionalmente el artículo 37, fracciones I y V, de la citada Ley exime de cumplir con el referido Principio en el caso de aquéllas Transferencias de Datos Personales que estén previstas en una Ley o Tratado, o que sean necesarias o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.

Partiendo de la base que conforme a sus Artículos 1 y 2 la LFPIORPI es de interés público, y tiene por objeto establecer medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita… para investigar y perseguir los delitos de tales operaciones, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y evitar el uso de los recursos para su financiamiento, sería acertado encuadrar la presentación de los Avisos dispuestos por esta última Ley en las citadas excepciones al mencionado Principio del Consentimiento.

Sin embargo es importante atender también a los Principios de Información y Finalidad igualmente dispuestos en el artículo 6 de la LFPDPPP y 9, fracciones III y V de la LFPDPPP, de acuerdo con los cuales:

  • El Responsable debe dar a conocer al Titular la información relativa a la existencia y características principales del Tratamiento de sus Datos Personales a través del Aviso de Privacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento (Art. 23), y
  • Los Datos Personales sólo podrán ser tratados para el cumplimiento de la(s) finalidad(es) determinada(s) que con claridad, sin lugar a confusión y de manera objetiva especifiquen en el Aviso de Privacidad para qué objeto serán tratados los datos personales (Art. 40).

Partiendo de las premisas que:

  1. El Principio de Información no admitiría excepciones, y
  2. El Lineamiento 24 del Aviso de Privacidad requiere para cumplir con el Principio de Finalidad que
  • El listado de Finalidades descritas sea completo y no utilice frases inexactas, ambiguas o
    vagas, como “entre otras finalidades”, “otros fines análogos” o “por ejemplo”, y
  • Las Finalidades descritas en el aviso de privacidad sean determinadas; que cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos
    personales.

De manera que siendo en extremo puristas, el apartado o capítulo de Finalidades del Tratamiento en los Avisos de Privacidad debería explicitar incluso que los Datos Personales de los Clientes o Usuarios de quienes realicen operaciones con personas dedicadas a Actividades Vulnerables serían usados para el cumplimiento de las obligaciones de tales Responsables conforme a la LFPIORPI.

Sin embargo, el Artículo 31 de las Reglas de Carácter General a que se refiere la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita prohíbe a quienes realicen Actividades Vulnerables alertar o dar aviso a sus Clientes o Usuarios respecto de cualquier referencia que sobre éstos se haga en los Avisos, o a algún tercero, así como a dichas personas respecto de cualquiera de los requerimientos de información, documentación, datos o imágenes previstos en la Ley y en el Reglamento.

Asi nos encontramos con una contradicción entre la LFPDPPP, que en principio requeriría la referencia al cumplimiento de la LFPIORPI entre las Finalidades que deberían ser determinadas en los Avisos de Privacidad, y las Reglas de Carácter General derivadas de ésta última, que prohíben hacerlo. Siendo la primera referida una ley de carácter general anterior en tiempo, en tanto que la segunda es particular posterior en tiempo, evidentemente la solución debe ser cumplir con ésta última, sin que ello pudiera suponer violación a aquélla.

Pero ese no es el único punto de desencuentro entre ambos ordenamientos; una pregunta más a considerar sería si es que el cumplimiento y aplicación de la LFPIORPI y su Reglamento y Reglas haría nugativa las excepciones de los artículos 36 y 37, fracción III, de la LFPDPPP, que permite llevar a cabo la Transferencia de Datos Personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos y políticas internas sin el consentimiento del Titular de los Datos Tratados.

Lo anterior debido a que el Artículo 14, fracción I, de las citadas Reglas de la LFPIORPI prevén que para aquéllas personas morales que realicen Actividades Vulnerables y formen parte de Grupos Empresariales, podrán integrar y conservar el expediente de identificación del Cliente o Usuario mediante cualquiera de las otras personas morales que formen parte del mismo Grupo Empresarial, aun cuando no realicen la misma Actividad Vulnerable, siempre que cuenten con “el consentimiento expreso del Cliente o Usuario para que dicha persona moral proporcione (Transfiera) los datos y documentos relativos a su identificación a cualquiera de las personas morales que conforman el Grupo Empresarial con la que pretenda realizar una Actividad Vulnerable.

En tal virtud, siguiendo el razonamiento aplicado para resolver la duda sobre la necesidad/obligación de incluir expresamente la presentación de Avisos respecto de operaciones celebradas en la realización de Actividades Vulnerables, quienes las realicen y pertenezcan a un mismo Grupo Empresarial no gozarían de la excepción para la Transferencia que implicaría el compartir el expediente único de sus clientes.

Algo más para considerar de cara a una eventual reforma de la LFPDPPP.

 

 

Hace un mes publiqué una entrada sobre cómo la protección de datos personales incide sobre prácticas como la cobranza extrajudicial que llevan a cabo las instituciones financieras para tratar de recuperar los recursos que se les adeudan, más en un contexto como el de México, en el que es sabido que tanto los deudores buscan eludir su responsabilida mediante toda suerte de artificios como que las áreas o despachos de cobranza llegan a adoptar medidas recalcitrantes para lograr su cometido.

Con posterioridad a la multa impuesta a la clínica de terapia Oceánica el IFAI difundió la sanción impuesta a Tarjetas Banamex, S.A. de C.V. SOFOM ER, por la cantidad de $9’848,140.00, derivada de la denuncia hecha a mediados de junio del 2012 por una persona que recibía llamadas de cobranza “incluso con un lenguaje descortés y altanero” de “personas que se identifican como empleados del Corporativo del Banco Nacional de México, BANAMEX, buscando a un supuesto… con la intención de cobrar alguna deuda”.

Recordemos que el Banco Nacional de México ya enfrenta una sanción del propio IFAI (el expediente no se encuentra disponible actualmente a causa de una medida cautelar del Tribunal Federal de Justicia Fiscal y Administrativa, ya que Banamex está combatiendo tal multa) del orden de $16’155,936.00 por 5 conductas infractoras a la LFPDPPP. También ya le fue impuesta una sanción a Seguros Banamex, S.A. de C.V., de $3’989,120.00 (por tratar datos personales en contra de los Principios que informan a la Ley, así como por recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible).

Pues ahora su SOFOM operadora de tarjetas de crédito se ganó una sanción con los sugientes fundamentos y costos:

  • Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley: $1’495,920.00;
  • Mantener datos personales inexactos cuando resulte imputable al Responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los Titulares: $1’246,600.00
  • Obstruir los actos de verificación de la autoridad: $3’490,480.00 (recuerden que tan sólo esta conducta le costó $2.5MDP a Océanica);
  • Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los Titulares: $3’615,140.00

Pregunta obligada: ¿multará así el IFAI a cualquiera? Respuesta evidente: no. De acuerdo con el artículo 65, fracción IV, el Instituto debe fundar y motivar sus resoluciones considerando, entre otros aspectos, la capacidad económica del infractor. De la lectura de la resolución en este caso se desprende que el Instituto consultó en Internet los estados financieros básicos consolidados de la infractora al primer trimestre de 2013, y encontraron un capital contable reportado del orden de $13,700’000,000.00, y tomó la cifra como referente para la multa.

También resulta interesante que, de acuerdo con el comunicado IFAI/079/13, en el Primer Ciclo de Talleres de Formación de Asesores en Protección de Datos Personales el IFAI habría capacitado a personal de la Asociación de Bancos de México, a pesar de lo cual 3 integrantes del Grupo Financiero Banamex han enfrentado ya sanciones (a Seguros Banamex ya le tocó también), en tanto que Banco Azteca ya logró sortear exitosamente un procedimiento de protección de derechos. O la información no permeó de la ABM a Banamex, o en Banamex mismo “se fueron por la libre”.

Contrario a la experiencia que hemos tenido con la expedición de las normas en materia de protección de datos personales, las relativas a identificación y prevención de operaciones con recursos de procedencia ilícita ha sido llevada a cabo en tiempo y forma, lo cual evidencia la relevancia y prioridad que el asunto representa para el Ejecutivo Federal.

La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, fue publicada en el Diario Oficial de la Federación el 17 de octubre de 2012, entró en vigor el 17 de julio del presente año; su Artículo Segundo Transitorio previó que su Reglamento debería ser promulgado dentro de los 30 días siguientes a que la propia Ley entrara en vigor, y el pasado viernes 16 de agosto vimos la publicación del Reglamento en el Diario Oficial de la Federación.

Exactamente el viernes pasado fueron publicadas en el Diario Oficial de la Federación las las Reglas de Carácter General a que se refiere el artículo 6, fracción VII, de la citada Ley, mismas que prevén las medidas y procedimientos mínimos a seguir por quienes realicen Actividades Vulnerables, con la finalidad de prevenir y detectar actos u operaciones que involucren operaciones con recursos de procedencia ilícita, así como los términos y modalidades conforme a los cuales dichas personas deberán presentarse los Avisos que están obligadas a dar a la UIF de SHCP a través del SAT.

El artículo 17 de la Ley Anti-Lavado dispone que hay 15 Actividades Vulnerables sujetas a su normatividad:

  1. Práctica de juegos con apuesta, concursos o sorteos.
  2. Emisión o comercialización, habitual o profesional, de tarjetas de servicios, de crédito, de tarjetas prepagadas y de todas aquellas que constituyan instrumentos de almacenamiento de valor monetario, que no sean emitidas o comercializadas por Entidades Financieras.
  3. Emisión y comercialización habitual o profesional de cheques de viajero, distinta a la realizada por las Entidades Financieras.
  4. Ofrecimiento habitual o profesional de operaciones de mutuo o de garantía o de otorgamiento de préstamos o créditos, con o sin garantía, por parte de sujetos distintos a las Entidades Financieras.
  5. Prestación habitual o profesional de servicios de construcción o desarrollo de bienes inmuebles o de intermediación en la transmisión de la propiedad o constitución de derechos sobre dichos bienes, en los que se involucren operaciones de compra o venta de los propios bienes por cuenta o a favor de clientes de quienes presten dichos servicios.
  6. Comercialización o intermediación habitual o profesional de Metales Preciosos, Piedras Preciosas, joyas o relojes, en las que se involucren operaciones de compra o venta de dichos bienes.
  7. Subasta o comercialización habitual o profesional de obras de arte, en las que se involucren operaciones de compra o venta de dichos bienes.
  8. Comercialización o distribución habitual profesional de vehículos, nuevos o usados, ya sean aéreos, marítimos o terrestres.
  9. Prestación habitual o profesional de servicios de blindaje de vehículos terrestres, nuevos o usados, así como de bienes inmuebles.
  10. Prestación habitual o profesional de servicios de traslado o custodia de dinero o valores, con excepción de aquellos en los que intervenga el Banco de México y las instituciones dedicadas al depósito de valores.
  11. Prestación de servicios profesionales, de manera independiente, sin que medie relación laboral con el cliente respectivo, en aquellos casos en los que se prepare para un cliente o se lleven a cabo en nombre y representación suya: a) Compraventa de bienes inmuebles o la cesión de derechos sobre estos; Administración y manejo de recursos, valores o cualquier otro activo de sus clientes; c) Manejo de cuentas bancarias, de ahorro o de valores; d) Organización de aportaciones de capital o cualquier otro tipo de recursos para la constitución, operación y administración de sociedades mercantiles, o e) Constitución, escisión, fusión, operación y administración de personas morales o vehículos corporativos, incluido el fideicomiso y la compra o venta de entidades mercantiles.
  12. Prestación de servicios de fe pública por parte de Notarios y/o Corredores públicos, bajo ciertos términos.
  13. Recepción de donativos por asociaciones y sociedades sin fines de lucro.
  14. Prestación de servicios de comercio exterior como agente o apoderado aduanal, mediante autorización otorgada por la Secretaría de Hacienda y Crédito Público, para promover por cuenta ajena, el despacho de mercancías, en los diferentes regímenes aduaneros previstos en la Ley Aduanera, de mercancías determinadas.
  15. Constitución de derechos personales de uso o goce de bienes inmuebles.

Quienes realicen operaciones derivadas de dichas Actividades Vulnerables con una misma persona, en las que se alcance o exceda, ya sea en una sola operación o en varias dentro de un período de 6 meses los montos previstos por la normatividad referida, deberán presentar los correspondientes Avisos a más tardar el día 17 del mes inmediato siguiente, ya sea por sí (personas físicas) o a través de su representante encargado de cumplimiento normativo o por medio de las Entidades Colegiadas que sean autorizadas para tales efectos.

Los formatos oficiales para la presentación de Avisos fueron publicados hoy en el Diario Oficial de la Federación, en 2 secciones. Momento de ponerse a trabajar en la implementación del cumplimiento normativo de la materia, toda vez que el primer Aviso deberá ser dado el 30 de octubre de este año.

 

Nota Gordoa HSBC negocios pag3

La semana pasada escribí sobre el caso del Sr. Víctor Gordoa, en campaña contra HSBC por 2 años tratando de recuperar los bienes depositados en una caja de seguridad de HSBC en La Herradura, por los que la institución de crédito no había dado cuenta.

Ahora se reporta la conclusión del tema: luego de la mediatización del caso y el ofrecimiento del mismísimo Presidente de la CONDUSEF para mediar en él, Víctor Gordoa fue recibido muy ceremoniosamente por personal de servicio, jurídico, de comunicación y por el Ombudsman del banco en la sucursal de Emerson, en Polanco, a la que ya había acudido anteriormente N número de veces, para recibir por fin sus efectos personales en compañía de un notario público.

El caso debería representar un aprendizaje importante para HSBC, que de acuerdo con estadísticas de la CONDUSEF está en el lugar 9 del “top ten” de acciones de defensa al usuario, en el 7 del correspondiente a controversias, 6 de solicitud de dictámenes (indicativo de usuarios que van a litigar contra él) y también de solicitudes de defensoría legal, rivalizando en ello con Banco Azteca. Naturalmente tales estadísticas deberían ser consideradas en relación con la penetración de la institución de crédito en el mercado.

Una pena que un caso tan simple tuviera que ser mediatizado para lograr una resolución adecuada.

Capitanes Víctor Gordoa HSBCVi por primera vez el video en que Víctor Gordoa difunde su queja contra HSBC en redes sociales y, al igual que mucho material que circula por esos canales asumí que podría ser spam, una hoax o algo por el estilo.

Sin embargo Capitanes en el Reforma del viernes me deó ver claramente 2 cosas: primera, que el caso es verdadero y resulta en otra instancia de ineficiencia y torpeza en la prestación de servicios por una institución de crédito mexicana, y segunda, que es otro más de los casos en que sólo una figura pública llama la atención de la autoridad.

Víctor Gordoa, director del Colegio de Imagen Pública recurrió además de a su columna en Excelsior a un video en YouTube como medio para vapulear a HSBC por la desaparición de los efectos que él y su señora habían depositado en una caja de seguridad de Banco del Atlántico (“en una pequeña sucursal de un barrio del Estado de México, conocido como La Herradura”), mismo que despúes se convirtió en Bital, el cual a su vez fue adquirido por HSBC.

El Sr. Gordoa narra que luego de 2 años de lidiar con varios gerentes de sucursal y de aportar pruebas documentales y físicas, el “el señor precavido y su esposa, la señora cumplida” han experimentado terror al no haber podido tener razón de lo que sucedió con su caja de seguridad en dicho banco, y menos con los efectos que habrían depositado ahí. Aunque el título del video (“Terror en HSBC”) no sea el mejor (angustia, preocupación, aprensión, sin duda), el efecto sobre la marca e imagen del banco, bastante abolladas por los casos de lavado de dinero, será el que el Sr. Gordoa busca.

HSBC no tendrá salida fácil del asunto: por un lado una figura pública lo está vapuleando, y jurídicamente es claro que cometieron una torpeza. Por principio, la operación es mercantil, ya que el artículo 75, fracción XIV, del Código de Comercio reputa como actos mercantiles a las operaciones de los bancos, y el propio Código, prevé tratándose del depósito mercantil, que el depositario está obligado a conservar la cosa, objeto del depósito, según la reciba, y a devolverla con los documentos, si los tuviere, cuando el depositario se la pida, y que éste último  responderá de los menoscabos, daños y perjuicios que las cosas depositadas sufrieren por su malicia o negligencia.

Ahora bien, la legislación bancaria dispone que el servicio de cajas de seguridad, como la del Sr. Gordoa, obliga al banco depositario a responder de la integridad de las cajas y mantener el libre acceso a ellas en días y horas hábiles. Pero además el Sr. Gordoa debería referirse a las condiciones generales del contrato que mostró en YouTube, ya que en las mismas deberían estipularse las causas, formalidades y requisitos que se observarían para que el banco pudiera proceder, ante notario público, a la apertura y desocupación de la caja, así como lo relativo a la custodia de los bienes extraídos.

Es inverosímil que HSBC no pueda dar cuenta de cómo, cuándo y ante qué fedatario habría cumplido con esas obligaciones, y que tampoco pueda presentar al Sr. Gordoa un instrumento público en el cual se relacionara el proceso de apertura y desocupación de su caja, o la custodia que se hubiera dispuesto para el cumplimiento de su obligación de conservación de los efectos depositados a su cuidado. Que HSBC escapara indemne de esto sería aún más sorprendente.

Lo único del caso que no es inverosímil es que, como siempre sucede en México, es por tratarse de una figura pública que la Presidencia de la CONDUSEF ofreció intervenir en el asunto, cosa que no sucede para “Juan Pueblo”, pero que la bonhomia del Sr. Gordoa le hizo extensiva al convocar a todo aquél que tuviera quejas contra HSBC para que concurrieran el día de ayer a sus oficinas para manifestárselas directamente a Mario di Constanzo.

Buena suerte para HSBC, mejor suerte para el Sr. Gordoa.

El Economista reportó a principios de agosto que Ramón Cabrera, Subprocurador Fiscal de Investigaciones de la SHCP, afirmó que estaba listo un primer borrador del Reglamento de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, y que confirmó que el documento definitivo estaría listo antes del 16 de agosto.

Pues conforme a lo dicho por él, el Reglamento fue publicado hoy en el Diario Oficial de la Federación. ¿Qué implica esto para la práctica en la materia?

Por principio, que la presentación de los Avisos que quienes realicen Actividades Vulnerables están obligados a llevar a cabo se realizará por primera vez el 30 de Octubre. Ello toda vez que:

  • De acuerdo con el artículo 23 de la Ley, los Avisos de quienes realicen Actividades Vulnerables deberán ser presentados a más tardar el día 17 del mes inmediato siguiente a aquel en que se hubiera llevado a cabo la operación que le diera origen y que fuera objeto de Aviso.
  • El párrafo segundo del Artículo Cuarto Transitorio de la propia Ley dispone que la presentación de los Avisos se llevará a cabo por primera vez, a la entrada en vigor de su Reglamento, y que tales Avisos deberán contener la información de los actos u operaciones celebrados a partir de la fecha de entrada en vigor del citado Reglamento, y
  • Los Artículos Primero y Segundo Transitorios del Reglamento establecen: (i) que dicho estatuto entrará en vigor el 1 de Septiembre, y que las disposiciones sobre presentación de Avisos por Actividades Vulnerables entrarán en vigor a los 60 días siguientes a la entrada en vigor del propio Reglamento, debiendo contener dichos primeros avisos la información de los actos u operaciones relacionados con las Actividades Vulnerables realizadas a partir del 1 de septiembre de 2013.
En tal virtud, el primer Aviso de quienes realicen Actividades Vulnerables, por operaciones realizadas en Septiembre, deberá ser presentado al finalizar Octubre, y el 17 de Noviembre deberá presentarse el Aviso por las operaciones de Octubre.
Ahora bien, no obstante que el artículo 39 de la Ley establece que la información que derive de los Avisos que se presenten ante las autoridades competentes, será utilizada exclusivamente para la prevención, identificación, investigación y sanción deoperaciones con recursos de procedencia ilícita y demás delitos relacionados con éstas, la íntima relación del régimen de identificación y prevención de operaciones con recursos de procedencia ilícita con la recaudación fiscal es obvia.
Por principio, como tipo penal accesorio las operaciones con recursos de procedencia ilícita generalmente implican también uno o más delitos fiscales; por otra parte, el Servicio de Administración Tributaria tiene ya claro el universo mínimo de sujetos obligados que realizan Actividades Vulnerables por la información que obtiene a través de las Declaraciones Informativas de Operaciones con Terceros (DIOTs), de manera que no es gratuito el hecho que los Avisos deban ser dados a ese órgano desconcentrado.
Por ello de acuerdo con el artículo 12 del Reglamento quienes lleven a cabo Actividades Vulnerables deben estar inscritos ante el RFC y tener certificado digital de FIEL. De no haberlo hecho ni contar con FIEL, tendrán que hacerlo y enviar al propio SAT desde el 1 de octubre del 2013 la información de identificación que sea prevista en las Reglas de Carácter General que emita la SHCP.

Si bien éstas últimas están pendientes y no aparecen aún en el buscador de regulaciones de la Comisión Federal de Mejora Regulatoria (al igual que el Reglamento no figuró en su momento), el hecho de que este ordenamiento hubiera sido expedido en tiempo y contra toda expectativa del público y el foro en general es indicativo de la importancia y prioridad de la matera.

Momento de poner manos a la obra en cumplimiento normativo, mismo que Galaz, Yamazaki, Ruiz Urquiza, S.C. (“Deloitte” México) estiman puede tener un costo de entre $50,000.00 y $80,000.00 M.N. para pequeñas y medianas empresas.

A 10 meses y medio de la publicación en el Diario Oficial de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita y casi 15 días de su entrada en vigor, aún no se tiene el Reglamento de la Ley y, por lo tanto, tampoco el modelo de reporte que quienes realicen actividades vulnerables deberán presentar mensualmente.

Sin embargo, tratándose de instituciones financieras, que tienen un régimen ya muy pulido para estos efectos, hoy fue publicada en el Diario Oficial de la Federación la Resolución por la que se reforma la diversa que expide el formato oficial para el reporte de operaciones relevantes, inusuales y preocupantes contemplado en las disposiciones de carácter general que se indican, así como el instructivo para su llenado, publicada el 14 de diciembre de 2004 y reformada por última ocasión mediante resolución publicada el 8 de junio de 2012.

Las modificaciones se limitan a rubros de monto, nacionalidad del cuentahabiente y organismo supervisor de la institución financiera que llene el reporte.

Ya se verá qué tanto abreva de este modelo el desarrollo para la implementación de la Ley Anti-Lavado.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace