archivo

Archivo de la etiqueta: CONDUSEF

ofis - CopyEn los 18 meses de haber escrito por este medio 96 entradas sobre mis áreas de práctica han habido 4 entradas (derechos ARCO, multa a SOFOM Banamex, multa a TELCEL y reglas de CONDUSEF para despachos de cobranza) relativas tanto a los aspectos de regulación financiera como de protección de datos en la actividad de cobranza extrajudicial. El tema es complejo no sólo por aspectos jurídicos que fueron considerados en la “miscelánea de garantías” del 2003 como en la “reforma financiera” de este año, sino probablemente también por la ideosincrasia y experiencia nacionales en materia de recuperación de adeudos, de la que son parte las lamentablemente consabidas prácticas de los despachos de cobranza contratados por instituciones financieras y “gestoras de activos” que adquieren a descuento su cartera vencida.

El tema cobra relevancia de nuevo por la presentación de la Guía para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial del IFAI y CONDUSEF, elaborada por el primero con la opinión técnica de la segunda y concebida como “…una herramienta que permite a las entidades financieras y despachos de cobranza cumplir con los principios y deberes de la LeyFederal de Protección de Datos Personales en Posesión de los Particulares”, que “…representará un importante referente para orientar el debido tratamiento de los datos personales en laactividad de cobranza extrajudicial, sin invadir la privacidad de las personas ni violar las disposiciones en materia de datos personales vigentes en el país.”

Sin duda el documento contribuirá en gran medida al mejor entendimiento de la práctica en materia de protección de datos personales dentro del marco de la cobranza extrajudicial, facilitando discenir los casos en que un despacho trata los datos personales de los deudores de aquéllas entidades financieras que contratan sus servicios como Engargado y, por lo tanto, mediante la remisión de los mismos, de aquellos en los que dicho tratamiento deriva de la transferencia de tales datos y, por lo tanto, el despacho de cobranza o gestora de activos que hubiera adquirido la cartera de que se trate es, en si y por si, un ulterior Responsable de dichos datos (vid. pág. 37).

Para ello son particularmente importantes las siguientes indicaciones:

  • Es importante tener en cuenta que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no sean dueños de la cartera, sino que presten el servicio de cobranza a nombre y por cuenta de la Entidad que otorgó el crédito, préstamo o financiamiento, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla en el aviso de privacidad, ni de obtener elconsentimiento del Titular para que ésta ocurra.
  • En cambio, cuando hay una comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligacionesprevistas en esta sección (pág. 37).
  • En materia de Cobranza Extrajudicial, el tema del Encargado del tratamiento tiene especial relevancia, ya que la figura se utiliza de manera recurrente entre los acreedores y los Despachos de Cobranza, cuando éstos últimos NO son dueños de la cartera de crédito, préstamo o  financiamiento, y actúan a nombre y cuenta de la Entidad responsable de los datos personales (pág 40).
    .

Sin embargo la Guía es sólo y precisamente eso: un documento que orienta, pero no obliga en forma alguna a las Entidades Financieras ni a sus despachos de cobranza, por lo que dista de ser una instancia de regulación por parte de la CONDUSEF armonizada con la normatividad del IFAI y la Secretaría de Economía en materia de protección de datos personales, como prevé el artículo 40 de la Ley Federal de Protección de Datos Personales, y fue presentada más de 2 meses después de la expedición de las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza de dicha Comisión, que lacónicamente refieren en el último párrafo de su Disposición Sexta, que se deberá observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera. Lo deseable hubiera sido que ambas autoridades hubieran realizado este esfuerzo de coordinación antes de que la CONDUSEF expidiera las citadas Reglas, a fin de que dicho instrumento normativo contuviera disposiciones vinculantes para la debida protección de los datos personales de los deudores de las Entidades Financieras. Sin embargo, y sin duda, es un avance hacia la armonización normativa de la regulación general en materia de protección de datos personales con la de las múltiples materias que se relacionan con ella.

Precisamente en materia de cobranza extrajudicial, tan sólo 6 días antes de la presentación de la citada Guía el Pleno del IFAI votó la sanción impuesta a Corporativo Especializado en Recuperación de Cartera, justo por un caso derivado de ello, que asciende a un total de $2’169,460.00, por las siguientes infracciones:

  1. Contravenir los Principios de Licitud y Lealtad: $259,040.00
  2. Incumplir el deber de confidencialidad: $777,120.00
  3. Cambiar sustancialmente la finalidad del tratamiento de los datos: $679,980.00
  4. Tratamiento de datos financieros y patrimoniales: $453,320.00

Lo anterior atendiendo tanto a la intencionalidad de las conductas infractoras, como a la capacidad económica de la Integra Capital, determinada con base en sus estados financieros al 31 de diciembre y 31 de julio de 2014, que arrojaban un capital de $29’078,700.00.

El asunto se originó con la contratación de un crédito “Autoestrena Banorte” en el año de 2011 por quien parece ser (o haber sido) empleado del gobierno del Estado de Nuevo León y habría incurrido en atraso en sus pagos, lo cual motivó que empezara a recibir correos electrónicos de Integra Capital, con copia para sus compañeros de trabajo, por lo cual el Titular denunciante adujo la indebida transferencia de sus datos personales por parte de Banorte a la empresa referida, en tanto que el IFAI planteó:

  • La vulneración a su expectativa razonable de privacidad;
  • El incumplimiento al deber de confidencialidad por la divulgación del nombre, número de crédito y saldo del adeudo del Titular, violando con ello su privacidad y derecho a la autodeterminación informativa;
  • Varió sustancialmente la finalidad del tratamiento de los datos arriba mencionados, y
  • Divulgó tales datos a terceros sin consentimiento del referido Titular.

Tema importante en el caso: precisamente de acuerdo con el expediente y según la Guía, Integra Capital es un Encargado de Banorte, pero a diferencia del caso de Banamex y Revoware, el Banco Responsable no fue sancionado por los hechos y omisiones de su Encargado. ¿En qué radica la distinción que le evitó a Banorte ser multado en esta ocasión? La respuesta está en el párrafo tercero del Considerando Sexto, en donde de expone que Integra Capital adquirió el carácter de Responsable en si y por si al variar sustancialmente las finalidades de tratamiento de los datos personales que Banorte le habría remitido. Sin embargo, salvo por la cláusula de confidencialidad, en el expediente de sanción se omite analizar el texto del contrato de prestación de servicios suscrito entre Banorte en Integra Capital, de manera que no resulta del mismo un criterio sobre el cumplimiento con u omisión respecto de los requisitos que disponen los artículos 50 y 51 del Reglamento de la Ley tratándose de la relación entre el Responsable y el Encargado del tratamiento de los datos personales que interesan.

 

 

 

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras “le entran” de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a “Tratar los datos personales de conformidad con la normativa aplicable en la materia”, sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

Card&Phone - CopyThe position of the United States at the vanguard of fields such as finance and technology may lend itself to create the impression that its legal framework is as progressive as its companies in those lines of business. However that’s not always the case; following are three instances where Mexico actually moved ahead of the USA, regulation-wise:

  • Mexico created an agency mandated to protect users of financial services in instances where their purveyors of financial services were not compliant with the law.

Following the financial meltdown nearly 20 years ago interest rates for financial products, whether credit cards, car loans or mortgages, skyrocketed in Mexico; people were unable to comply with their financial commitments and lost their homes, had their cars repossessed or their assets garnished. Of course this prompted widespread protests, and many politicians reaped dividends by demonizing financial institutions, but the national conversation on those issues brought about the creation of an “Ombudsman” in the financial services industry: the National Commission for the Protection and Defense of Users of Financial Services (CONDUSEF as per its acronym in Spanish).

This agency has faced many challenges, and still does; mainly its “teeth” are not sharp enough, its last three Chairs have steered it more towards facilitating financial education and information to the public. For instance, it recently instituted a Financial Institution Rating Website, where users can check for information on how the banks to which they would apply for credit rate relative to each other compliance-wise, sort of in the same way those institutions can assess applicants based on their credit rating.

Apparently such legislative developments are only brought about by widespread financial turmoil: conversely the United Stated created its financial services Ombudsman, the Bureau of Consumer Financial Protection (CFPB) after the Dodd–Frank Wall Street Reform and Consumer Protection Act was passed in 2010, and began working until 2011 following heated debates over President Obama’s proposal to appoint Harvard Law Professor Elizabeth Warren, who first proposed one such agency, to Chair it.

In sum, Mexico has been over a decade ahead of the United States as concerns the enforcement of financial regulations relative to the public.

  • Banks in Mexico are obligated to issue credit cards which are safer than those issues by banks in the USA. Bank cards the world over are made following ISO 7810 and ISO 7813 standards; that’s how come it’s possible for your card to be swiped at point-of-sale terminals and work in ATMs the world over. Those standards cover aspects such as toxicity of materials, flammability, stiffness (how much the card should bend), how characters (your name, the issuer’s identification number) are embossed onto it, their magnetic stripes, integrated circuits and the track data in them, etc.

Disclosures on data breaches at large retailers such as Target, last year, and more recently The Home Depot, have put credit card and point-of-sale terminal technology on the spotlight. In addition to apparent negligence in implementing security controls, one rather large issue is also the common denominator: that bank cards issued by banks in the United States still rely on magnetic stripes for the storage of data that authenticates the transaction, and that is easily copied or stolen by thieves or hackers. As WIRED Magazine explains in a recent piece:

The fatal problem with the credit card magstripe is that it’s only a container for unchanging, static data. And if static data is compromised anywhere in the processing chain, it can be passed around, copied, bought and sold at will.

Now, after resisting it for 10 years because of the formidable transition costs, the US is about to finally embrace the secure chip-based authentication system called EMV—the standard was pioneered by Europay, MasterCard, and Visa—that the rest of the world has already adopted. Pushed by mounting fraud costs, credit card companies have crafted incentives for merchants to switch to the sophisticated readers needed to accept the cards.

While the New York Times piece in the link above on the Target breach underscores that “The new debit and credit card technology, called chip and PIN, is widely used in Europe and considered to be far more secure than most cards used in the United States, which rely on magnetic strips,” it should be noted that Mexico’s National Banking and Securities Commission has steered banks towards substituting magnetic stripe with integrated circuits for over 4.8 years now: as per its General Provisions Applicable to Credit Institutions that approve transactions made without the use of integrated circuits, whether in ATMS or point-of-sale terminals are bound to agree with their Users (in their respective service agreements) that they (the banks) shall undertake the risks, and therefore the costs, of transactions disavowed by said Users when using such cards, and that the claims from such transactions shall be credited to those Users, at the latest, 48 hours after the filing of the respective claim.

The flip side is that the banks are allowed by regulation to regard the information in such integrated circuits as a Category-3 Authentication Factor for transactions made through ATMs and POS terminals, which obtain the cards’ information through such circuits; that is to say, transactions which require for the card with the circuit to have been present in the moment of the transaction. At that point one could assume that the situation would be no different from one in which a card with a magstripe were involved; however the key here is that information in the circuits is not static and is encrypted, so that even if it had been copied during one transaction it still could not be used for others afterwards.

So to that regard Mexico will have been a good 5 years ahead of the United States in credit card security by the time the US transitions from magstripe cards to cards with integrated circuits.

  • Mexico passed regulations making unlocking of mobile phones legal before the USA did.

For years now mobile carriers have entrenched themselves by offering handsets which price is bundled with the fee for their service plans; but once the mandatory term for the plan is over the user is faced with the choice between continuing to cope with her former carrier, usually upgrading to a newer (and hopefully) better handset (which Apple facilitates a lot by releasing a new iPhone every year and a half or so), or moving onto another carrier and having to procure another handset from it, as the old one would only work in the network of the previous carrier. That is evidently a pain and unfair to consumers; after all, one the term for the plan is over and done, the handset has been paid for (often in excess), so the user ought to be able to keep using it, even with a competitor of the carrier.

For sure “jailbeaking” has been possible for awhile now, and even ruled by the Copyright Office of the United States to be an exception to the Digital Millennium Copyright Act (the DMCA). but it is not without risk, as it may impair you from access to essential updates or applications, and removing the protections originally put in place by the developer can put the device and information contained in it at significant risk. However unlocking your device is an entirely different proposition.

Acknowledging a basic right of consumers, Mexico’s Ministry of Economy passed on August 28th, 2012, Mexican Official Norm NOM-184-SCFI-2012, an administrative regulation whereby carriers are under obligation to inform if the handset provided to the consumer is blocked to only be used in its network, and how it can be unlocked, at no additional cost, to be used on other networks once the consumer has acquired title to the handset, whether for the mandatory term of the service agreement having lapsed or having paid for it in full. For sure, as in many other instances, at the outset and notwithstanding there were hurdles to overcome in getting a device unlocked, such as alleged ignorance or misinformation at service centers.

Conversely, it wasn’t until after a long time of public comment and the EFF’s activism that this year President Obama signed into law the “Unlocking Consumer Choice and Wireless Competition Act“, which affords users the right to have their handsets unlocked to be further used on another carrier’s network.

Overall, at least in these three items Mexico moved way ahead of the United States.

El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la “ley anti-letra chiquita” o “plain Spanish”, que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de “do-not-call list”, en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander (“panzaso”), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, “panzaso”), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de “setoff”, por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Nota Gordoa HSBC negocios pag3

La semana pasada escribí sobre el caso del Sr. Víctor Gordoa, en campaña contra HSBC por 2 años tratando de recuperar los bienes depositados en una caja de seguridad de HSBC en La Herradura, por los que la institución de crédito no había dado cuenta.

Ahora se reporta la conclusión del tema: luego de la mediatización del caso y el ofrecimiento del mismísimo Presidente de la CONDUSEF para mediar en él, Víctor Gordoa fue recibido muy ceremoniosamente por personal de servicio, jurídico, de comunicación y por el Ombudsman del banco en la sucursal de Emerson, en Polanco, a la que ya había acudido anteriormente N número de veces, para recibir por fin sus efectos personales en compañía de un notario público.

El caso debería representar un aprendizaje importante para HSBC, que de acuerdo con estadísticas de la CONDUSEF está en el lugar 9 del “top ten” de acciones de defensa al usuario, en el 7 del correspondiente a controversias, 6 de solicitud de dictámenes (indicativo de usuarios que van a litigar contra él) y también de solicitudes de defensoría legal, rivalizando en ello con Banco Azteca. Naturalmente tales estadísticas deberían ser consideradas en relación con la penetración de la institución de crédito en el mercado.

Una pena que un caso tan simple tuviera que ser mediatizado para lograr una resolución adecuada.

Una pregunta recurrente en los seminarios que he impartido sobre protección de datos personales es si el ejercicio de los derechos ARCO es aplicable a las instituciones de crédito y/o SOFOMes, cuyos prestadores de servicios (usualmente bajo la figura de “Encargado”) llaman incesantemente a los teléfonos de personas que podrán ser titulares de la línea telefónica, pero no deudores de la cuenta cuya cobranza procuran dichos Encargados.

Después de haber sido abogado bancario y corporativo transaccional me consta lo difícil, cuando no imposible, que puede ser recuperar en México una cuenta por cobrar de un deudor en  crédito al consumo, e incluso en crédito productivo, aún cuando se tengan otorgadas garantías. En su momento respondí a quejas presentadas ante CONDUSEF contra alguno de mis clientes por casos de suplantación o robo de identidad, por lo que también me constan las penurias que enfrentan personas en tal situación para resolver su situación. También me supongo que debe ser por demás molesto tomar una nueva línea telefónica para darse cuenta, a través de las múltiples llamadas de los ejecutivos de cobranza, que algún moroso era su titular anterior.

La reiterada pregunta habla de la mala gestión que hacen las instituciones financieras por cumplir con el Principio de Calidad que informa a la LFPDPPP, atento al cual los datos personales materia de tratamiento deben ser exactos, completos, pertinentes, correctos y actualizados. También habla de la dificultad que tiene la CONDUSEF para meter en cintura a los servicios de cobranza.

La respuesta a esa pregunta recurrente es que sí; no obstante la existencia de regulación propia del sector financiero, misma que conforme al Artículo 40 de la LFPDPPP deberá ser ajustada al marco normativo que ella prevé, sus disposiciones resultan aplicables a todas las instituciones financieras que traten datos personales para fines comerciales o de divulgación, salvo por las Sociedades de Infromación crediticia, mismas que fuero exceptuadas de la normativa de protección de datos personales. Para muestra basta la multa impuesta por el IFAI a Banamex, del orden de $16’155,936.00

En primer término podría acudirse a la Unidad Especializada que la entidad financiera debería tener en cumplimiento a la Ley de Protección y Defensa al Usuario de Servicios Financieros, aunque lo más probable es que se limiten a consultar su cuenta e ignoren si el número telefónico (que podría ser parte de los factores de autenticación previstos para banca electrónica) está o no asociado a otra cuenta.

También podría formular una denuncia ante la CONDUSEF a través de su Portal de Gestión de Cobranza, a fin de que dicho organismo verifique si el caso resulta o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, que fue pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C. Pero dicho Código es soft law, de adopción voluntaria y difícilmente sancionable.

En vía de protección de datos personales, si el Titular afectado efectivamente tuviera una cuenta o producto de la institución de que se trate, pero no el deudor buscado a través de su teléfono o correo electrónico, podría ejercer el derecho de Rectificación, a fin de que su nombre sea asociado a los números telefónico y de cuenta correctos y no a los de alguien más. También podría ejercer su derecho de Oposición, a fin de que se le eviten mayores perjuicios tratando sus datos para la cobranza de una cuenta que no le corresponde.

En caso de no haber sido tarjetahabiente ni cuentahabiente de la institución, tendría expedito el derecho de cancelación, al igual que si los datos personales hubieran sido obtenidos indirectamente por la institución financiera por transferencia de alguien que lo hubiera nombrado como referencia y como consecuencia le llamaran para presionar al referido.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site