archivo

Archivo de la etiqueta: Principio de Lealtad

Guía de cobranza de @ifaimexico y @condusefMX , y nueva multa del IFAI por cobranza extrajudicial

17 diciembre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

ofis - CopyEn los 18 meses de haber escrito por este medio 96 entradas sobre mis áreas de práctica han habido 4 entradas (derechos ARCO, multa a SOFOM Banamex, multa a TELCEL y reglas de CONDUSEF para despachos de cobranza) relativas tanto a los aspectos de regulación financiera como de protección de datos en la actividad de cobranza extrajudicial. El tema es complejo no sólo por aspectos jurídicos que fueron considerados en la «miscelánea de garantías» del 2003 como en la «reforma financiera» de este año, sino probablemente también por la ideosincrasia y experiencia nacionales en materia de recuperación de adeudos, de la que son parte las lamentablemente consabidas prácticas de los despachos de cobranza contratados por instituciones financieras y «gestoras de activos» que adquieren a descuento su cartera vencida.

El tema cobra relevancia de nuevo por la presentación de la Guía para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial del IFAI y CONDUSEF, elaborada por el primero con la opinión técnica de la segunda y concebida como «…una herramienta que permite a las entidades financieras y despachos de cobranza cumplir con los principios y deberes de la LeyFederal de Protección de Datos Personales en Posesión de los Particulares», que «…representará un importante referente para orientar el debido tratamiento de los datos personales en laactividad de cobranza extrajudicial, sin invadir la privacidad de las personas ni violar las disposiciones en materia de datos personales vigentes en el país.»

Sin duda el documento contribuirá en gran medida al mejor entendimiento de la práctica en materia de protección de datos personales dentro del marco de la cobranza extrajudicial, facilitando discenir los casos en que un despacho trata los datos personales de los deudores de aquéllas entidades financieras que contratan sus servicios como Engargado y, por lo tanto, mediante la remisión de los mismos, de aquellos en los que dicho tratamiento deriva de la transferencia de tales datos y, por lo tanto, el despacho de cobranza o gestora de activos que hubiera adquirido la cartera de que se trate es, en si y por si, un ulterior Responsable de dichos datos (vid. pág. 37).

Para ello son particularmente importantes las siguientes indicaciones:

  • Es importante tener en cuenta que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no sean dueños de la cartera, sino que presten el servicio de cobranza a nombre y por cuenta de la Entidad que otorgó el crédito, préstamo o financiamiento, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla en el aviso de privacidad, ni de obtener elconsentimiento del Titular para que ésta ocurra.
  • En cambio, cuando hay una comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligacionesprevistas en esta sección (pág. 37).
  • En materia de Cobranza Extrajudicial, el tema del Encargado del tratamiento tiene especial relevancia, ya que la figura se utiliza de manera recurrente entre los acreedores y los Despachos de Cobranza, cuando éstos últimos NO son dueños de la cartera de crédito, préstamo o  financiamiento, y actúan a nombre y cuenta de la Entidad responsable de los datos personales (pág 40).
    .

Sin embargo la Guía es sólo y precisamente eso: un documento que orienta, pero no obliga en forma alguna a las Entidades Financieras ni a sus despachos de cobranza, por lo que dista de ser una instancia de regulación por parte de la CONDUSEF armonizada con la normatividad del IFAI y la Secretaría de Economía en materia de protección de datos personales, como prevé el artículo 40 de la Ley Federal de Protección de Datos Personales, y fue presentada más de 2 meses después de la expedición de las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza de dicha Comisión, que lacónicamente refieren en el último párrafo de su Disposición Sexta, que se deberá observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera. Lo deseable hubiera sido que ambas autoridades hubieran realizado este esfuerzo de coordinación antes de que la CONDUSEF expidiera las citadas Reglas, a fin de que dicho instrumento normativo contuviera disposiciones vinculantes para la debida protección de los datos personales de los deudores de las Entidades Financieras. Sin embargo, y sin duda, es un avance hacia la armonización normativa de la regulación general en materia de protección de datos personales con la de las múltiples materias que se relacionan con ella.

Precisamente en materia de cobranza extrajudicial, tan sólo 6 días antes de la presentación de la citada Guía el Pleno del IFAI votó la sanción impuesta a Corporativo Especializado en Recuperación de Cartera, justo por un caso derivado de ello, que asciende a un total de $2’169,460.00, por las siguientes infracciones:

  1. Contravenir los Principios de Licitud y Lealtad: $259,040.00
  2. Incumplir el deber de confidencialidad: $777,120.00
  3. Cambiar sustancialmente la finalidad del tratamiento de los datos: $679,980.00
  4. Tratamiento de datos financieros y patrimoniales: $453,320.00

Lo anterior atendiendo tanto a la intencionalidad de las conductas infractoras, como a la capacidad económica de la Integra Capital, determinada con base en sus estados financieros al 31 de diciembre y 31 de julio de 2014, que arrojaban un capital de $29’078,700.00.

El asunto se originó con la contratación de un crédito «Autoestrena Banorte» en el año de 2011 por quien parece ser (o haber sido) empleado del gobierno del Estado de Nuevo León y habría incurrido en atraso en sus pagos, lo cual motivó que empezara a recibir correos electrónicos de Integra Capital, con copia para sus compañeros de trabajo, por lo cual el Titular denunciante adujo la indebida transferencia de sus datos personales por parte de Banorte a la empresa referida, en tanto que el IFAI planteó:

  • La vulneración a su expectativa razonable de privacidad;
  • El incumplimiento al deber de confidencialidad por la divulgación del nombre, número de crédito y saldo del adeudo del Titular, violando con ello su privacidad y derecho a la autodeterminación informativa;
  • Varió sustancialmente la finalidad del tratamiento de los datos arriba mencionados, y
  • Divulgó tales datos a terceros sin consentimiento del referido Titular.

Tema importante en el caso: precisamente de acuerdo con el expediente y según la Guía, Integra Capital es un Encargado de Banorte, pero a diferencia del caso de Banamex y Revoware, el Banco Responsable no fue sancionado por los hechos y omisiones de su Encargado. ¿En qué radica la distinción que le evitó a Banorte ser multado en esta ocasión? La respuesta está en el párrafo tercero del Considerando Sexto, en donde de expone que Integra Capital adquirió el carácter de Responsable en si y por si al variar sustancialmente las finalidades de tratamiento de los datos personales que Banorte le habría remitido. Sin embargo, salvo por la cláusula de confidencialidad, en el expediente de sanción se omite analizar el texto del contrato de prestación de servicios suscrito entre Banorte en Integra Capital, de manera que no resulta del mismo un criterio sobre el cumplimiento con u omisión respecto de los requisitos que disponen los artículos 50 y 51 del Reglamento de la Ley tratándose de la relación entre el Responsable y el Encargado del tratamiento de los datos personales que interesan.

 

 

 

@condusefMX expide sus Reglas para Despachos de Cobranza

8 octubre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras «le entran» de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a «Tratar los datos personales de conformidad con la normativa aplicable en la materia», sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

IFAI Multa a Telcel con $6’264,165.00 por cobranza extrajudicial injustificada

27 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

La más reciente resolución en un procedimiento de imposición de sanciones por parte del IFAI correspondió a Radiomóvil Dipsa, S.A. de C.V., que opera bajo la marca Telcel, a quien le ha sido impuesta una multa que asciende a $6,264,165, por dos conductas infractoras:

  1. $3’272,325, con base en los Artículos 63, fracción VIII, y 64, fracción III, por incumplir el deber de confidencialidad establecido en el artículo 21 de la LFPDPPP, y
  2. $2’991,840, con base en los artículos 63, fracción IX, y 64, fracción III, por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 del propio estatuto.

Los dispositivos citados prevén, respectivamente, lo siguiente:

  • Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
  • Artículo 12.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

A eso último habría que agregar que el Artículo 40 del Reglamento de la LFPDPPP prevé que:

«Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley. Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales».

¿De dónde derivaron las conductas infractoras? Pues de que a no obstante la confidencialidad ordenada por la Ley, a Telcel «se le hizo fácil» recurrir a los números frecuentes de la Titular denunciante para realizar gestiones de cobro a través de terceros mediante llamadas y mensajes de texto dirigidos a ellos, conducta que fue considerada como de «gravedad alta» por la Comisionada Ponente, Ma. Elena Pérez-Jáen Zermeño, «en virtud de la afectación que con ello pudiera causar a la titular».

De ello derivó que, además, se encontraran violaciones al Principio de Finalidad, puesto que el correspondiente Aviso de Privacidad no determinaba tal uso de los datos de la Titular, de manera que operó un cambio sustancial en las Finalidades originarias del Tratamiento de esos datos, cambio que no fue consentido por la Titular y que también fue considerado como potencialmente causante de una grave afectación a la Titular.

Siempre que multas de tal magnitud son difundidas surge la pregunta sobre qué podrían esperar otros Responsables si llegaran a incurrir en infracciones a la LFPDPPP; la respuesta es que entre otros factores el IFAI consideraría su capacidad económica, pues así lo requiere el Artículo 65, fracción IV, de ese ordenamiento. En la resolución consta que la Responsable omitió proporcionarle a la autoridad elementos para determinarla, por lo que ésta accedió a una fuente de consulta pública, concretamente la página de Internet de la Comisión Federal de Competencia Económica, y accedió a la versión pública de la resolución del 7 de abrill de 2001 dictada en su expediente DE-37-2006, que tiene carácter de documental pública, en la que éste último organismo impuso a la propia Responsable una multa del orden de $11,989’653,276.40, equivalentes al 10% de sus activos totales al momento, cifra de la cual derivó el monto de la sanción, mismo que fue considerado como proporcinal a la capacidad económica de la Responsable, de manera que no afectaría el desarrollo de sus actividades.

Habría que considerar además la intencionalidad de la conducta infractora, como lo determinó la autoridad respecto de la violación de lo previsto por los Artículos 6, 7, 12, 13, 15 y 21 de la LFPDPPP, con relación a las infracciones determinadas en las fracciiones IV, VIII y IX de la propia Ley.

Ahora bien, aunque en los resolutivos no figura la conducta infractora prevista en el artículo 63, fracción IV, consistente en dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley, los considerandos si refieren al Principio de Lealtad dispuesto en los artículo 6 de la LFPDPPP, y 9, fracción III, y 44 de su Reglamento, atento a los cuales:

  • «En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley», y 
  • El Principio de Lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.
    No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:
    I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
    II. Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o
    III. Las finalidades no son las informadas en el aviso de privacidad.

La Responsable pretendió controvertir lo anterior argumentando que las gestiones de cobranza estaban previstas en el respectivo Aviso de Privacidad, y que la falta de consentimiento de la Titular era irrelevante puesto que, en su teoría de las cosas, operaba la excepción al consentimiento prevista en la fracción V del artículo 10 de la Ley, que exime de obtenerlo en los casos en que «exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes», lo cual fue desestimado por la autoridad.

Entre otros argumentos la autoridad sostuvo la violación a los Principios de Información, al no haber puesto a disposición del Titular el Aviso de Privacidad cuando renovó su plan tarifario, así como el de Proporcionalidad, al haber dado tratamiento a datos que no eran necesarios, adecuados ni relevantes en relación con la Finalidad para los que fueron obtenidos.

Aunque de la lectura de la resolución me parece que la naturaleza del dato no fue considerada de relevancia para la imposición de sanciones, toda vez que la fracción IV del Artículo 64 de la LFPDPPP sólo refiere a los de naturaleza sensible para el incremento de las sanciones, será interesante ver el criterio que adopta el IFAI en otros casos en que las infracciones se refieran a datos personales patrimoniales, como me parece es el caso, ya que mediante las gestiones de cobro a través de terceros se divulgaron datos relativos al adeudo de la Titular con la Responsable, mismos que por versar sobre su haber y deber habrían de ser considerados como tales.

Otro aspecto relevante a mencionar en un caso como éste, y es algo que me preguntan mucho en consultas y presentaciones, es que la Titular no percibirá un centavo de lo que el fisco recaude como aprovechamiento por la multa, de manera que el procedimiento de imposición de sanciones por parte del IFAI no se puede volver un medio de extracción de recursos de los Responsables por parte de los Titulares.

Sin embargo hay que atender al artículo 58 de la Ley, conforme a l cual los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la LFPDPPP por el Responsable o el Encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

Lo que es un hecho es que en los casos en que se resuelva en contra del Responsable y pudiera configurarse alguna teoría como el daño moral, el Titular estará en posibilidad de iniciar el procedimiento respectivo por la vía correspondiente y ofrecer el expediente del IFAI como prueba instrumental pública, mismo que haría prueba plena con tal carácter de la actuación ilegal del Responsable, restando que el Titular actor probara la afectación sufrida en la consideración que tiene de si o la que los demás le tienen. Y es sabido que desde el caso de Martha Zahagún contra Olga Wornat los criterios judiciales en México sobre daño moral han cambiado sustancialmente, por lo que sería menos complicado que antes lograr una indemnización por esa vía.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking