archivo

Archivo de la etiqueta: Principio de Licitud

volaris

Tras largo tiempo sin difundir versiones públicas de procedimientos en materia de datos personales en posesión de los particulares, en un medio ávido de criterios que orienten la todavía naciente práctica de protección de datos personales en México, el INAI actualizó en algo su página de Resoluciones con algunas de entre las cuales amerita mención el proceso de verificación en contra de Concesionaria Vuela Compañía de Aviación, S.A.P.I. de C.V., conocida por su marca “VOLARIS“.

La industria aeronáutica es una de las más intensivas y complejas en tratamiento de datos personales, pues el desplazamiento de pasajeros dentro de territorio nacional y hacia el extranjero requiere de una cantidad de información que puede comprender datos sensibles relativos a estado de salud y creencias religiosas (dando pie a discusiones sobre el perfilamiento de pasajeros) además de prácticas que inciden sobre la privacidad de los viajeros en procesos previos, como los escáneres de cuerpo completo en terminales aéreas.

Muestra de tal complejidad es que hace un año la intención de la autoridad tributaria mexicana por obtener el Registro de Nombre de Pasajeros (Passenger Name Record) de los viajeros aéreos detonó una discusión de proporciones internacionales puesto que las aerolíneas europeas se encontraban impedidas para hacer entrega de dicha información pues los términos de la normatividad mexicana contravenían los límites de la correlativa regulación europea en la matera. La entrada en vigor de la normatividad referida fue suspendida y sigue pendiente a la fecha mientras la UE negocia acuerdos en la misma materia con otros países.

Sin embargo el reciente caso de Volaris no deriva de algo siquiera remotamente tan complejo; es más, resultó de mera torpeza pero evidencia las consecuencias del cumplimiento normativo mal implementado y del mal seguimiento del caso.

La denunciante había llevado ya un procedimiento de protección de derechos en contra de la aerolínea derivado del que ésta habría bloqueado sus datos personales, lo cual se hace previo a la supresión definitiva de tal información. No obstante lo anterior dicha Titular manifestó haber recibido correos electrónicos de Volaris, además de “sospechar” que habrían transferido sus datos personales toda vez que habría recibido llamadas de terceras personas, concretamente de Banco Invex, que podría haber sido el caso considerando el plástico que ambas empresas tienen en cobranding, lo cual fue negado por la Responsable denunciada.

Volaris declaró ante el INAI haber obtenido los datos personales de la denunciante “…en un evento de activación o patrocinio, información que para su mejor manejo y cuidado fue almacenda dentro de nuestro sistema”, y que “…la información a la que se hace referencia…no ha sido transferida o remitida a ningún tercero”. En cuanto al fondo del asunto, pretendió justificar la omisión en el cumplimiento del Acuerdo fechado el 17 de octubre de 2013 en el expediente PPD.0095/13, en que se obligó a bloquear los datos de dicha Titular, y el envío de los correos electrónicos que detonaron su acción en que:

“…atendiendo al bloqueo que existe en el sistema respecto de los datos de la titular, y conforme al tiempo transcurrido se procedería a la eliminación de dichos datos, sin embargo al momento de proceder a su eliminación, por un error humano involuntario se activó el envío automatizado de correos promocionales, lo que ocasionó el envío de los correos referidos, situaciónque ha sido debidamente atendida”.

“Es de precisar que lo anterior se debió sólo a un error humano involuntario, sin que en ningún momento se comprometiera la seguridad de los datos de la titular, error humano que solo provocó el nevío de lo (sic) correos promocionales referidos son (sic) otro efecto adicional”.

Cabe preguntarse qué pensaba Volaris, o sus representantes, lograr con tal respuesta. Los principios generales del Derecho establecen que nadie puede alegar en su favor su propio dolo ni su propia torpeza; el error sólo beneficia a los terceros de buena fe, no así a la parte que incurre en él. Además, que yo entienda, todo error es involuntario, pues de no serlo hay dolo en vez de culpa, lo cual nos lleva a que la culpa por la omisión de un deber de cuidado también es sancionada. Igualmente cabe cuestionarse de qué manera estará armado el sistema de gestión, CRM o la herramienta que sea que tuviera Volaris para estos efectos que “…al momento de proceder a su eliminación (de los datos”) por un error humano involuntario se activó el envío automatizado de correos promocionales…”. ¿El ícono para la función de “Eliminar” estaba junto al de “Enviar Correos de Todos Modos”, o cómo fue que se causó el error”?

Páginas adelante la denunciada manifiesta que el error humano consistió “…en que al momento de proceder a la eliminación, se activó de manera involuntaria por la persona que operaba el sistema el envío automatizado de correos promocionales…resulta importante precisar que se han tomado las medidas y acciones pertinentes para atender la anterior situación, en tanto que los datos de la peticionaria ya no figuran dentro del sistema activo y han sido exluidos de éste, por lo que dicha situación no volverá a generarse”.

Lo anterior a pesar de que declaró también ante el INAI que “una vez que tuvo conocimiento del inicio del procedimiento de protección de derechos…procedió a informar al área responsable del contenido del mismo a efecto de proceder a la confirmación del bloqueo de los datos de la titular…el área resonsable confirmó el referido bloqueo…”, lo cual o no es cierto o no fue ejecutado por el área referida, puesto que es obvia la incongruencia entre la manifestación de que los datos bloqueados hubieran estado al alcance del operador del sistema automatizado de correos promocionales y que no fue tras la primera solicitud ARCO ni del procedimiento de protección de derechos sino hasta después de recibida la denuncia que los datos de la Titular fueron excluidos del sistema activo; esto podría leerse como indicativo de que Volaris no había dado cumplimiento al Acuerdo tomado en el procedimiento de protección de derechos y podría haber sido considerada como reincidente, para los efectos de la determinación de la multa conforme al artículo 65, fracción V, de la Ley.

Lo más que podría abonar el alegato de torpeza que esgrimió la aerolínea es a intentar abordar el criterio para la determinación de la multa se refiere a la intencionalidad de la conducta infractora según la fracción III del artículo 65 de la Ley, pero no deja de parecer absurda en un contexto en que la misma Titular refiere haber llevado un procedimiento de protección de derechos ante el propio INAI derivado de un inicial incumplimiento de una solicitud ARCO anterior, reiterándose el alegato del error en el bloqueo de la información que interesa.

La propia denunciante expresó lo que el caso pone en evidencia: “…esta situación sólo da a entender que esta empresa no tiene control sobre la información que tiene y sobre el tratamiento que le da, ya que es la tercera vez que cometen esta clase de errores, y mi información está vulnerada y propensa a sus errores”.

La resolución del INAI fue en el sentido que Volaris incurrió en la infracción prevista en la fracción XVI del artículo 63 de la Ley, consistente en continuar conn el uso iletítimo de los datos personales cuando se ha solicitado el cese de los mismos, la cual conforme al artículo 64, fracción III, de la propia Ley es de las consideradas como “graves” pues el margen para la sanción respectiva oscila entre las 200 a 320,000 veces el salario mínimo vigente en la Ciudad de México, habiéndose transgredido los principios de Licitud y Responsabilidad motivo por el cual se iniciará el procedimiento de imposición de sanciones en contra de Volaris.

La conclusión del caso es que la  debida implementación del cumplimiento normativo de protección de datos personales no puede quedar en meras formalidades, y muchas veces es indispensable involucrarse, hasta donde sea posible, en el desarrollo de las herramientas que nuestros clientes utilizan para la gestión de los datos personales por cuyo tratamiento son responsables. El propio INAI citó el articulado relativo al principio de Responsabilidad que a su juicio Volaris dejó de observar en el caso, al no haber contado con políticas y programas de privacidad, carecer de un sistema de supervisión y vigilancia interna, ni haber llevado a cabo la capacitación y concientización de su personal sobre la protección de datos personales que están obligados a observar. También al parecer de la autoridad de protección de datos Volairs no tenía mecanismos para el cumplimiento de sus omisas políticas de privacidad ni estableció medidas para el aseguramiento de los datos personales.

Es de esperarse que la sanción sea de una cuantía elevada, considerando que la infracción determinada se encuentra entre las de mayor margen, más incluso si el INAI considera a Volaris como reincidente. Sin duda una experiencia costosa.

ofis - CopyEn los 18 meses de haber escrito por este medio 96 entradas sobre mis áreas de práctica han habido 4 entradas (derechos ARCO, multa a SOFOM Banamex, multa a TELCEL y reglas de CONDUSEF para despachos de cobranza) relativas tanto a los aspectos de regulación financiera como de protección de datos en la actividad de cobranza extrajudicial. El tema es complejo no sólo por aspectos jurídicos que fueron considerados en la “miscelánea de garantías” del 2003 como en la “reforma financiera” de este año, sino probablemente también por la ideosincrasia y experiencia nacionales en materia de recuperación de adeudos, de la que son parte las lamentablemente consabidas prácticas de los despachos de cobranza contratados por instituciones financieras y “gestoras de activos” que adquieren a descuento su cartera vencida.

El tema cobra relevancia de nuevo por la presentación de la Guía para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial del IFAI y CONDUSEF, elaborada por el primero con la opinión técnica de la segunda y concebida como “…una herramienta que permite a las entidades financieras y despachos de cobranza cumplir con los principios y deberes de la LeyFederal de Protección de Datos Personales en Posesión de los Particulares”, que “…representará un importante referente para orientar el debido tratamiento de los datos personales en laactividad de cobranza extrajudicial, sin invadir la privacidad de las personas ni violar las disposiciones en materia de datos personales vigentes en el país.”

Sin duda el documento contribuirá en gran medida al mejor entendimiento de la práctica en materia de protección de datos personales dentro del marco de la cobranza extrajudicial, facilitando discenir los casos en que un despacho trata los datos personales de los deudores de aquéllas entidades financieras que contratan sus servicios como Engargado y, por lo tanto, mediante la remisión de los mismos, de aquellos en los que dicho tratamiento deriva de la transferencia de tales datos y, por lo tanto, el despacho de cobranza o gestora de activos que hubiera adquirido la cartera de que se trate es, en si y por si, un ulterior Responsable de dichos datos (vid. pág. 37).

Para ello son particularmente importantes las siguientes indicaciones:

  • Es importante tener en cuenta que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no sean dueños de la cartera, sino que presten el servicio de cobranza a nombre y por cuenta de la Entidad que otorgó el crédito, préstamo o financiamiento, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla en el aviso de privacidad, ni de obtener elconsentimiento del Titular para que ésta ocurra.
  • En cambio, cuando hay una comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligacionesprevistas en esta sección (pág. 37).
  • En materia de Cobranza Extrajudicial, el tema del Encargado del tratamiento tiene especial relevancia, ya que la figura se utiliza de manera recurrente entre los acreedores y los Despachos de Cobranza, cuando éstos últimos NO son dueños de la cartera de crédito, préstamo o  financiamiento, y actúan a nombre y cuenta de la Entidad responsable de los datos personales (pág 40).
    .

Sin embargo la Guía es sólo y precisamente eso: un documento que orienta, pero no obliga en forma alguna a las Entidades Financieras ni a sus despachos de cobranza, por lo que dista de ser una instancia de regulación por parte de la CONDUSEF armonizada con la normatividad del IFAI y la Secretaría de Economía en materia de protección de datos personales, como prevé el artículo 40 de la Ley Federal de Protección de Datos Personales, y fue presentada más de 2 meses después de la expedición de las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza de dicha Comisión, que lacónicamente refieren en el último párrafo de su Disposición Sexta, que se deberá observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera. Lo deseable hubiera sido que ambas autoridades hubieran realizado este esfuerzo de coordinación antes de que la CONDUSEF expidiera las citadas Reglas, a fin de que dicho instrumento normativo contuviera disposiciones vinculantes para la debida protección de los datos personales de los deudores de las Entidades Financieras. Sin embargo, y sin duda, es un avance hacia la armonización normativa de la regulación general en materia de protección de datos personales con la de las múltiples materias que se relacionan con ella.

Precisamente en materia de cobranza extrajudicial, tan sólo 6 días antes de la presentación de la citada Guía el Pleno del IFAI votó la sanción impuesta a Corporativo Especializado en Recuperación de Cartera, justo por un caso derivado de ello, que asciende a un total de $2’169,460.00, por las siguientes infracciones:

  1. Contravenir los Principios de Licitud y Lealtad: $259,040.00
  2. Incumplir el deber de confidencialidad: $777,120.00
  3. Cambiar sustancialmente la finalidad del tratamiento de los datos: $679,980.00
  4. Tratamiento de datos financieros y patrimoniales: $453,320.00

Lo anterior atendiendo tanto a la intencionalidad de las conductas infractoras, como a la capacidad económica de la Integra Capital, determinada con base en sus estados financieros al 31 de diciembre y 31 de julio de 2014, que arrojaban un capital de $29’078,700.00.

El asunto se originó con la contratación de un crédito “Autoestrena Banorte” en el año de 2011 por quien parece ser (o haber sido) empleado del gobierno del Estado de Nuevo León y habría incurrido en atraso en sus pagos, lo cual motivó que empezara a recibir correos electrónicos de Integra Capital, con copia para sus compañeros de trabajo, por lo cual el Titular denunciante adujo la indebida transferencia de sus datos personales por parte de Banorte a la empresa referida, en tanto que el IFAI planteó:

  • La vulneración a su expectativa razonable de privacidad;
  • El incumplimiento al deber de confidencialidad por la divulgación del nombre, número de crédito y saldo del adeudo del Titular, violando con ello su privacidad y derecho a la autodeterminación informativa;
  • Varió sustancialmente la finalidad del tratamiento de los datos arriba mencionados, y
  • Divulgó tales datos a terceros sin consentimiento del referido Titular.

Tema importante en el caso: precisamente de acuerdo con el expediente y según la Guía, Integra Capital es un Encargado de Banorte, pero a diferencia del caso de Banamex y Revoware, el Banco Responsable no fue sancionado por los hechos y omisiones de su Encargado. ¿En qué radica la distinción que le evitó a Banorte ser multado en esta ocasión? La respuesta está en el párrafo tercero del Considerando Sexto, en donde de expone que Integra Capital adquirió el carácter de Responsable en si y por si al variar sustancialmente las finalidades de tratamiento de los datos personales que Banorte le habría remitido. Sin embargo, salvo por la cláusula de confidencialidad, en el expediente de sanción se omite analizar el texto del contrato de prestación de servicios suscrito entre Banorte en Integra Capital, de manera que no resulta del mismo un criterio sobre el cumplimiento con u omisión respecto de los requisitos que disponen los artículos 50 y 51 del Reglamento de la Ley tratándose de la relación entre el Responsable y el Encargado del tratamiento de los datos personales que interesan.

 

 

 

La sanción más recientemente publicada por el IFAI correspondió a la Afore de Grupo Financiero Banorte, por el tratamiento de datos personales financieros y patrimoniales que dicha Responsable llevó a cabo en contravención a los Principios de Licitud y Consentimiento que informan a la LFPDPPP y violando los artículos 6, 7, párrafo primero y 8, párrafos primero, segundo y cuarto, del citado ordenamiento. Lo anterior no obstante que de acuerdo con un comunicado del propio Instituto fechado en marzo de este año, se llevó a cabo un taller para capacitar a representantes de la Asociación Mexicana de Administradoras de Fondos para el Retiro (AMAFORE) en materia de cumplimiento normativo de la LFPDPPP.

El caso se originó con el traspaso de un cuentahabiente de Afore Metlife a la Afore Bancomer en noviembre del 2012, operación que fue negada por el Titular denunciante, quien solicitó la intervención del referido Instituto para dilucidar quién habría estampado sus huellas dactilares y puesto su fotografía en la hoja de firmas correspondiente. Un caso más de traspaso no autorizado, situación que desafortunadamente ha sido común en el medio del ahorro para el retiro. Ahora bien, el que la Responsable sancionada haya sido una Afore distinta de la nombrada en la denuncia se debe a que Afore Bancomer fue fusionada por Afore XXI Banorte, quien dio contestación como Responsable al requerimiento del Director de Verificación del IFAI.

En suma, dicho Instituto resolvió que la Responsable había dado Tratamiento a los Datos Personales del denunciante violando los Principios de Licitud y Consentimiento previstos en la LFPDPPP, por haber utilizado los Datos Personales financieros y patrimoniales de dicho Titular sin contar con su consentimiento expreso, respecto de lo cual el inciso C) del Considerando Cuarto refiere el oficio No. D00/200/0148/2011, fechado el 22 de diciembre de 2011, por el cual se dio a conocer a PROCESAR, S.A. de C.V., empresa operadora de la base de datos nacional del SAR, el “Modelo de Medios Electrónicos de Traspasos por Internet”, mismo que prevé como requisito indispensable el consentimiento expreso del trabajado para el traspaso de su cuenta individual.

Del asunto mismo conviene destacar una mención en el párrafo segundo del inciso B) del Considerando Cuarto, en que se menciona la confesión expresa de la Responsable en el sentido que “…el promotor de nombre ___________ (mismo que fue dado de baja el pasado 26 de febrero de 2013), haciendo alusión que dentro de sus funciones está la recabación (sic) de información personal y confidencial y utilizar la misma para promover el traspaso de los recursos de su cuenta individual […] que sin consentimiento del C. ________ y sin conocimiento de esta administradora utilizó dichos datos para solicitar el traspaso de sus recursos […]”.

El IFAI resolvió que la conducta infractora había sido realizada de manera intencional, y consultando la página de internet de Afore Banorte constató que sus estados financieros al 30 de junio de 2013 indicaban un capital contable del orden de $23,178’000,000.00, lo que motivó una multa por la cantidad de $1’246,000.00.

El caso es úitl para enfatizar la importancia de la debida capacitación del personal de las empresas en materia de protección de Datos Personales, puesto que atento al Principio de Responsabilidad  el Responsable del Tratamiento de Datos Personales lo es ante el Titular y la autoridad de protección de datos, independientemente de que lleve a cabo el Tratamiento por medio de su staff, Encargados o Terceros.

Un punto interesante a considerar al respecto es el de las vías que el patrón tiene como Responsable por el Tratamiento de Datos Personales que realizan sus empleados. El art. 48 del Reglamento de la LFPDPPP prevé en sus fracciones I, III y IV que entre las medidas para la observancia del Principio de Responsabilidad se encuentra el diseño, implementación y aplicación de una Política de Privacidad al interior de la empresa. Dicha Política debería ser una especie de Reglamento Interior en materia de protección de Datos Personales, de forma tal que su transgresión pudiera dar pie a sanciones o incluso a la rescisión de la relación laboral sin responsabilidad para el patrón, con base en diversas fracciones del art. 47 de la Ley Federal del Trabajo.

Adicionalmente existe una disposición en el Código Civil Federal que prevé que en caso de que el patrón enfrentara el pago de daños y perjuicios causados por algún Trabajador a una tercera persona, dicho patrón podría requerir a tal trabajador las cantidades que hubiere pagado al afectado. Si bien esa disposición choca contra las normas protectoras del salario en la Ley Federal del Trabajo, su aplicación podría ser un disuasor efectivo para evitar mayores riesgos al patrón por los actos u omisiones de sus trabajadores.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site