archivo

Archivo de la etiqueta: PROFECO

#fail de la Banca en Contratos de Tarjeta de Crédito ante CONDUSEF

29 enero, 2014
Regulación Bancaria/Financiera
Deja un comentario

El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la «ley anti-letra chiquita» o «plain Spanish», que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de «do-not-call list», en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander («panzaso»), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, «panzaso»), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de «setoff», por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Protección de Datos y (mal) Marketing

17 julio, 2013
Privacy/Protección de Datos
Deja un comentario

El público en general podría tener opiniones fuertes sobre ciertas prácticas de algunas empresas farmacéuticas, y Genomma Labs no es la excepción. Llama poderosamente la atención que en noticieros aparezcan cápsulas en que una comunicadora «informa» al público de los «Peligros de la Desidia» y proporciona «información que cura» justo antes del anuncio del producto que debería prevenir aquello de lo que la comunicadora advierte, práctica que por un momento tuvo respuesta en la campaña «Dr. Televisión«.

Hoy día Genomma Labs difundió en la prensa el nombre de una consumidora con motivo de la acción que habría ejercido ante la Procuraduría General del Consumidor. En la prensa del día de hoy y en su página de internet Genomma Labs publicó un «comunicado» en el que hace lo que la propia PROFECO no hizo, y que ni ésta ni el laboratorio deberían hacer: exhibió a la Sra. Denisse Peralta Salazar con motivo de la queja que derivó en una multa de $2’000,000.00 por publicidad engañosa, y añadiendo insulto al daño le «agradecen su queja, puesto que son éste tipo de opiniones las que les permiten mejorar aún más su calidad».

En la imagen de la inserción pagada de la nota se indica como responsable de la misma a Manuel Cruz García, pero dado que valdría la pena revisar esta situación también desde la perspectiva de la protección de datos personales se debe considerar que en el Aviso de Privacidad publicado por esa empresa el Responsable del Tratamiento de Datos Personales es Genomma Lab Internacional, S.A.B. de C.V.

Por principio, sería poco probable que Genomma Lab hubiera obtenido los datos personales de este Titular de manera personal o incluso directa, ya que no vende sus productos directamente al público, sino que los expende a través de diversos canales como supermercados, farmacias, y tiendas minoristas, quienes serían los primeros Responsables de los datos de la compradora que los hubiera adquirido.

Lo más probable es que Genomma Labs no haya tenido conocimiento de la identidad de la consumidora quejosa sino hasta que ésta ejerció, por los motivos que fueran, las acciones que tuvo expeditas conforme a la Ley Federal de Protección al Consumidor con fundamento en su artículo 32 y siguientes, así como 99 de dicho ordenamiento, toda vez que el último artículo referido requiere que el nombre del reclamante sea señalado en la queja escrita, electrónica, telefónica u oral que formule.

Ahora bien, al igual que los demás Sujetos Obligados a la observancia y cumplimiento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la PROFECO está obligada a mantener como información reservada la derivada de un procedimiento administrativo como éste, en tanto no hayan causado estado. Pero adicionalmente debió haber conservado los datos personales de la quejosa como confidenciales también con fundamento en esa Ley. De hecho los datos de tal naturaleza permancen como confidenciales aun cuando las resoluciones de estos procedimientos han causado estado, de forma tal que para dar a conocerlas  la autoridad suprime los datos pesonales del texto difundido.

La categorización más lógica del caso es que Genomma Labs habría obtenido los datos personales de la quejosa de manera indirecta; esto fue por el traslado de la queja que la PROFECO le entregó a fin de que se apersonara en el procedimiento. Eso naturalmente autorizaba a esa Responsable a tratar esos datos personales con motivo del procedimiento administrativo, pero no para otras finalidades.

Incluso cabría la duda sobre si la quejosa tuvo siquiera a la vista el aviso de privacidad de Genomma Labs. En términos del artículo 29, fracción I, del Reglamento de la LFPDPPP, cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad: «Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular.»

En el contexto del caso concreto, Genomma Labs habría obtenido los datos personales de la quejosa por una transferencia consentida: el traslado que PROFECO le corrió de la queja formulada por ésta última. Para estar en condiciones de proceder a publicarlo como ha hecho, debió haber puesto su aviso de privacidad a disposición de la Titular quejosa previo a la publicación del día de hoy en medios digitales y de la fecha que hubiera sido en su página de Internet.

Más aun, incluso ese aviso de privacidad (cuya conformidad con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad resultaría dudosa incluso tras una primera lectura) no prevé qué datos serán materia de tratamiento, ni prevé entre las finalidades del mismo la difusión pública de tales datos. Las finalidades listadas en él son:

  1. Seguimiento y evaluación de la prestación de bienes y/o servicios que nos son suministrados y contactar a los proveedores de dichos servicios;
  2. Cotización de bienes y/o servicios cuyo suministro solicitamos;
  3. Atención de dudas y sugerencias;
  4. Pago y cobro de contraprestaciones y facturación;
  5. Análisis y elaboración de estadísticas o reportes;
  6. Elaboración de contratos derivados de la relación comercial;
  7. Evaluación para determinar si será posible establecer una relación comercial; (viii) comercialización de productos de Genomma; y
  8. Dar cumplimiento a obligaciones contraídas con nuestros clientes.

Éste caso ejemplifica claramente algo que el IFAI ha planteado desde la entrada en vigor de la LFPDPPP; el marco legal de privacidad en México no debe ser visto como un obstáculo para los negocios, sino como un extra que ofrecerle al cliente, paciente o consumidor. Un cumplimiento normativo implementado adecuadamente genera confianza en el Responsable. Por el contrario, acciones como ésta generarían desconfianza entre los consumidores e impactarían negativamente sobre las marcas e imagen del Responsable.

photo(Genomma)

Aviso Privacidad Genomma Labs 17072013

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking