En los 18 meses de haber escrito por este medio 96 entradas sobre mis áreas de práctica han habido 4 entradas (derechos ARCO, multa a SOFOM Banamex, multa a TELCEL y reglas de CONDUSEF para despachos de cobranza) relativas tanto a los aspectos de regulación financiera como de protección de datos en la actividad de cobranza extrajudicial. El tema es complejo no sólo por aspectos jurídicos que fueron considerados en la «miscelánea de garantías» del 2003 como en la «reforma financiera» de este año, sino probablemente también por la ideosincrasia y experiencia nacionales en materia de recuperación de adeudos, de la que son parte las lamentablemente consabidas prácticas de los despachos de cobranza contratados por instituciones financieras y «gestoras de activos» que adquieren a descuento su cartera vencida.
El tema cobra relevancia de nuevo por la presentación de la Guía para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial del IFAI y CONDUSEF, elaborada por el primero con la opinión técnica de la segunda y concebida como «…una herramienta que permite a las entidades financieras y despachos de cobranza cumplir con los principios y deberes de la LeyFederal de Protección de Datos Personales en Posesión de los Particulares», que «…representará un importante referente para orientar el debido tratamiento de los datos personales en laactividad de cobranza extrajudicial, sin invadir la privacidad de las personas ni violar las disposiciones en materia de datos personales vigentes en el país.»
Sin duda el documento contribuirá en gran medida al mejor entendimiento de la práctica en materia de protección de datos personales dentro del marco de la cobranza extrajudicial, facilitando discenir los casos en que un despacho trata los datos personales de los deudores de aquéllas entidades financieras que contratan sus servicios como Engargado y, por lo tanto, mediante la remisión de los mismos, de aquellos en los que dicho tratamiento deriva de la transferencia de tales datos y, por lo tanto, el despacho de cobranza o gestora de activos que hubiera adquirido la cartera de que se trate es, en si y por si, un ulterior Responsable de dichos datos (vid. pág. 37).
Para ello son particularmente importantes las siguientes indicaciones:
- Es importante tener en cuenta que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no sean dueños de la cartera, sino que presten el servicio de cobranza a nombre y por cuenta de la Entidad que otorgó el crédito, préstamo o financiamiento, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla en el aviso de privacidad, ni de obtener elconsentimiento del Titular para que ésta ocurra.
- En cambio, cuando hay una comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligacionesprevistas en esta sección (pág. 37).
-
En materia de Cobranza Extrajudicial, el tema del Encargado del tratamiento tiene especial relevancia, ya que la figura se utiliza de manera recurrente entre los acreedores y los Despachos de Cobranza, cuando éstos últimos NO son dueños de la cartera de crédito, préstamo o financiamiento, y actúan a nombre y cuenta de la Entidad responsable de los datos personales (pág 40)..
Sin embargo la Guía es sólo y precisamente eso: un documento que orienta, pero no obliga en forma alguna a las Entidades Financieras ni a sus despachos de cobranza, por lo que dista de ser una instancia de regulación por parte de la CONDUSEF armonizada con la normatividad del IFAI y la Secretaría de Economía en materia de protección de datos personales, como prevé el artículo 40 de la Ley Federal de Protección de Datos Personales, y fue presentada más de 2 meses después de la expedición de las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza de dicha Comisión, que lacónicamente refieren en el último párrafo de su Disposición Sexta, que se deberá observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera. Lo deseable hubiera sido que ambas autoridades hubieran realizado este esfuerzo de coordinación antes de que la CONDUSEF expidiera las citadas Reglas, a fin de que dicho instrumento normativo contuviera disposiciones vinculantes para la debida protección de los datos personales de los deudores de las Entidades Financieras. Sin embargo, y sin duda, es un avance hacia la armonización normativa de la regulación general en materia de protección de datos personales con la de las múltiples materias que se relacionan con ella.
Precisamente en materia de cobranza extrajudicial, tan sólo 6 días antes de la presentación de la citada Guía el Pleno del IFAI votó la sanción impuesta a Corporativo Especializado en Recuperación de Cartera, justo por un caso derivado de ello, que asciende a un total de $2’169,460.00, por las siguientes infracciones:
- Contravenir los Principios de Licitud y Lealtad: $259,040.00
- Incumplir el deber de confidencialidad: $777,120.00
- Cambiar sustancialmente la finalidad del tratamiento de los datos: $679,980.00
- Tratamiento de datos financieros y patrimoniales: $453,320.00
Lo anterior atendiendo tanto a la intencionalidad de las conductas infractoras, como a la capacidad económica de la Integra Capital, determinada con base en sus estados financieros al 31 de diciembre y 31 de julio de 2014, que arrojaban un capital de $29’078,700.00.
El asunto se originó con la contratación de un crédito «Autoestrena Banorte» en el año de 2011 por quien parece ser (o haber sido) empleado del gobierno del Estado de Nuevo León y habría incurrido en atraso en sus pagos, lo cual motivó que empezara a recibir correos electrónicos de Integra Capital, con copia para sus compañeros de trabajo, por lo cual el Titular denunciante adujo la indebida transferencia de sus datos personales por parte de Banorte a la empresa referida, en tanto que el IFAI planteó:
- La vulneración a su expectativa razonable de privacidad;
- El incumplimiento al deber de confidencialidad por la divulgación del nombre, número de crédito y saldo del adeudo del Titular, violando con ello su privacidad y derecho a la autodeterminación informativa;
- Varió sustancialmente la finalidad del tratamiento de los datos arriba mencionados, y
- Divulgó tales datos a terceros sin consentimiento del referido Titular.
Tema importante en el caso: precisamente de acuerdo con el expediente y según la Guía, Integra Capital es un Encargado de Banorte, pero a diferencia del caso de Banamex y Revoware, el Banco Responsable no fue sancionado por los hechos y omisiones de su Encargado. ¿En qué radica la distinción que le evitó a Banorte ser multado en esta ocasión? La respuesta está en el párrafo tercero del Considerando Sexto, en donde de expone que Integra Capital adquirió el carácter de Responsable en si y por si al variar sustancialmente las finalidades de tratamiento de los datos personales que Banorte le habría remitido. Sin embargo, salvo por la cláusula de confidencialidad, en el expediente de sanción se omite analizar el texto del contrato de prestación de servicios suscrito entre Banorte en Integra Capital, de manera que no resulta del mismo un criterio sobre el cumplimiento con u omisión respecto de los requisitos que disponen los artículos 50 y 51 del Reglamento de la Ley tratándose de la relación entre el Responsable y el Encargado del tratamiento de los datos personales que interesan.