archivo

Archivo de la etiqueta: banamex

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras “le entran” de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a “Tratar los datos personales de conformidad con la normativa aplicable en la materia”, sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la “ley anti-letra chiquita” o “plain Spanish”, que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de “do-not-call list”, en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander (“panzaso”), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, “panzaso”), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de “setoff”, por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Hace un mes publiqué una entrada sobre cómo la protección de datos personales incide sobre prácticas como la cobranza extrajudicial que llevan a cabo las instituciones financieras para tratar de recuperar los recursos que se les adeudan, más en un contexto como el de México, en el que es sabido que tanto los deudores buscan eludir su responsabilida mediante toda suerte de artificios como que las áreas o despachos de cobranza llegan a adoptar medidas recalcitrantes para lograr su cometido.

Con posterioridad a la multa impuesta a la clínica de terapia Oceánica el IFAI difundió la sanción impuesta a Tarjetas Banamex, S.A. de C.V. SOFOM ER, por la cantidad de $9’848,140.00, derivada de la denuncia hecha a mediados de junio del 2012 por una persona que recibía llamadas de cobranza “incluso con un lenguaje descortés y altanero” de “personas que se identifican como empleados del Corporativo del Banco Nacional de México, BANAMEX, buscando a un supuesto… con la intención de cobrar alguna deuda”.

Recordemos que el Banco Nacional de México ya enfrenta una sanción del propio IFAI (el expediente no se encuentra disponible actualmente a causa de una medida cautelar del Tribunal Federal de Justicia Fiscal y Administrativa, ya que Banamex está combatiendo tal multa) del orden de $16’155,936.00 por 5 conductas infractoras a la LFPDPPP. También ya le fue impuesta una sanción a Seguros Banamex, S.A. de C.V., de $3’989,120.00 (por tratar datos personales en contra de los Principios que informan a la Ley, así como por recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible).

Pues ahora su SOFOM operadora de tarjetas de crédito se ganó una sanción con los sugientes fundamentos y costos:

  • Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley: $1’495,920.00;
  • Mantener datos personales inexactos cuando resulte imputable al Responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los Titulares: $1’246,600.00
  • Obstruir los actos de verificación de la autoridad: $3’490,480.00 (recuerden que tan sólo esta conducta le costó $2.5MDP a Océanica);
  • Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los Titulares: $3’615,140.00

Pregunta obligada: ¿multará así el IFAI a cualquiera? Respuesta evidente: no. De acuerdo con el artículo 65, fracción IV, el Instituto debe fundar y motivar sus resoluciones considerando, entre otros aspectos, la capacidad económica del infractor. De la lectura de la resolución en este caso se desprende que el Instituto consultó en Internet los estados financieros básicos consolidados de la infractora al primer trimestre de 2013, y encontraron un capital contable reportado del orden de $13,700’000,000.00, y tomó la cifra como referente para la multa.

También resulta interesante que, de acuerdo con el comunicado IFAI/079/13, en el Primer Ciclo de Talleres de Formación de Asesores en Protección de Datos Personales el IFAI habría capacitado a personal de la Asociación de Bancos de México, a pesar de lo cual 3 integrantes del Grupo Financiero Banamex han enfrentado ya sanciones (a Seguros Banamex ya le tocó también), en tanto que Banco Azteca ya logró sortear exitosamente un procedimiento de protección de derechos. O la información no permeó de la ABM a Banamex, o en Banamex mismo “se fueron por la libre”.

El pasado lunes la CONDUSEF emitió ciertas “recomendaciones” para las para las instituciones de crédito (recordemos que estas se subdividen en “banca múltiple”, “banca de nicho” y “sociedades nacionales de crédito”) en materia de protección de datos personales, mismas que se limitan a lo siguiente:

  1. En caso de que las instituciones tengan conocimiento de que los datos personales de alguno de sus clientes se hayan hecho públicos de forma indebida, deberá de informarle y proceder al cambio de su número de cuenta.
  2. Revisar permanentemente las medidas de seguridad de sus sistemas y procesos de manejo de la información, a fin de garantizar la protección de los datos personales de los usuarios.
  3. Verificar que los terceros con los cuales comparten sus bases de datos para fines de mercadotecnia, o cualquier otra actividad relacionada con su operación, se hagan responsables del correcto manejo y reserva de la información en ellas contenida.
  4. En su caso, iniciar las acciones legales procedentes.

La emisión de las recomendaciones citadas no es realmente de mayor utilidad, por lo obvio y limitado de su contenido, pero tampoco es gratuita; se inscribe entre las consecuencias de la nota publicada por el diario Reforma el pasado 3 de junio de 2013, describiendo la disponibilidad en el mercado negro de bases de datos que presuntamente contienen el Padrón Electoral a cargo del IFE, así como la Informacion Sensible de Usuarios de instituciones de crédito como Banamex y American Express. Más aun, el propio Banamex fue el reciente blanco de la segunda multa impuesta por el IFAI con motivo de la violación de las disposiciones de la Ley Federal de Protección de Datos Personales (LFPDPPP) y su Reglamento (RLFPDPPP).

 
En seguimiento a ello y a otras notas que siguieron el suscrito expuso al Reforma que conforme al artículo 20 de la LFPDPPP las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los Titulares deben ser informadas de inmeidato a estos por el Responsable del tratamiento de los datos de que se trate, a fin de que estos puedan tomar las medidas correspondientes a la defensa de sus derechos.
 
 
El Reglamento de la citada Ley puntualiza que tal notificación debe realizarse: (i) en cuanto el Responsable confirme que ocurrió la vulneración y (ii) haya tomado medidas para llevar a cabo una revisión exhaustiva de la afectación, para que los Titulares puedan tomar las medidas correspondientes. Tales medidas deben incluir un análisis de las causas de la vulneración y la implementación de acciones correctivas, preventivas y de mejora de las medidas de seguridad físicas, administrativas y técnicas, según sea el caso, relacionadas en el documento relativo a ellas que todo Responsable tiene obligación de llevar.
 
 
La notificación que reciban los Titulares debería indicarles: (i) naturaleza del incidente; (ii) datos personales comprometidos; (iii) recomendaciones que el Titular pueda adoptar para proteger sus intereses; (iv) acciones correctivas realizadas de forma inmediata y, (v) medios por los que pueda obtener mayor información al respecto. Lo anterior responde a un cambio que necesariamente debe operarse en materia de protección de datos personales en México; el Titular de los datos comprometidos por la vulneración debe reaccionar de manera proactiva ante una notificación de tal naturaleza y adoptar las acciones recomendadas por el Responsable, o bien aquéllas que él mismo considere prudentes.
 
 
Ahora bien, en el particular caso de las instituciones de crédito la “Circular Única de Bancos” emitida por la CNBV prevé que aquéllas que se valgan de medios electrónicos para celebrar operaciones y prestar serviciós deben implementar medidas de seguridad en la transmisión, almacenamiento y procesamiento llevado a cabo a través de dichos canales, para evitar que caiga en manos de terceros; tales medidas incluyen el cifrado y/o truncamiento de información, restricciones a los medios para su transmisión.
 
 
Dicha regulación obliga además a tales instituciones a tener controles para el acceso a bases de datos de operaciones y servicios realizados a través de medios electrónicos, mismo que sólo debe ser concedido a personas expresamente autorizadas con motivo de sus funciones, de lo cual deberá dejarse constancia que indique el período al que se limite el acceso, además de procedimientos seguros para la destrucción de medios de almacenamiento de las bases de datos que contenga información sensible de los usuarios.
 
 
Conviene destacar que la definición de “Información Sensible” en la Circular Única de Bancos no corresponde con la de Datos Personales Sensibles en la LFPDPPP, puesto que aquélla es más amplia que ésta última. En materia bancaria se considera Información Sensible del Usuario a su nombre, domicilio, teléfono o correo electrónico en conjunto con los números de sus tarjetas bancarias, números de cuenta, límites de crédito, saldos, indentificadores de usuario o información de autenticación, mientras que la referida ley considera como datos personales sensibles a los que atañen a la esfera íntima del Titular, o se prestarían a someterlo a discriminación.
 
 
De manera paralela a las acciones que la Ley Federal de Protección de Datos Personales obiga a todos los Responsables a tomar ante una vulneración, la Circular Única de Bancos requiere que las instituciones que supongan o sospechen de un incidente que involucre acceso no autorizado a la Información Sensible del Usuario deben (i) enviar, dentro de los 5 días naturales del incidente y por escrito a la Dirección General de la CNBV que los supervise determinada información, y llevar a cabo una invetigación para determinar si la información ha sido o pudo haber sido mal utilizada, notificando tal situación a los propios usuarios dentro de los 3 días hábiles siguientes para prevenirles de los reisgos derivados del mal uso de su información extraída, extraviada o comprometida, así como de las medidas que deban tomar.
 
 
Adicionalmente la Circular Única de Bancos contiene disposiciones que norman la contratación con terceros de servicios o comisiones para realizar procesos operativos o de administración de bases de datos y sistemas informáticos; tal contratación requiere de un aviso del Director General del banco a la CNBV indicando, entre otras cosas, las medidas a ser implementadas respecto de la vulnerabilidad de la información relativa a los clientes.
 
 
En conclusión, el caso reportado por Reforma seguramente no sólo será materia de investigación por el IFAI, el IFE y las instituciones de procuración de justicia, sino también por el regulador bancario.
Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site