archivo

Archivo de la etiqueta: Telcel

@condusefMX expide sus Reglas para Despachos de Cobranza

8 octubre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras «le entran» de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a «Tratar los datos personales de conformidad con la normativa aplicable en la materia», sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

Principio de Proporcionalidad y Criterio de Minimización; Servicios de Telefonía Móvil

29 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

Hoy día Forbes publicó una nota http://onforb.es/14UM4L3 muy interesante sobre la cantidad de datos que T-Mobile, empresa de telefonía móvil en los EE.UU.A., requiere para el servicio de post-pago en aquél país, incluyendo el número de seguridad social del suscriptor.

Igualmente la nota refiere una consulta hecha a la Administración de Seguridad Social de aquél país, que respondió que si un negocio pregunta el Número de Seguridad Social se tiene el derecho a negarlo, o cuando menos a preguntar: (1) por qué se requiere; (2) cómo y para qué será usado, (3) con fundamento en qué norma se le solicita y (4) las consecuencias de negarlo.

Claramente el parangón no es el más simétrico, puesto que el régimen mexicano de protección de datos personales dista mucho del estadounidense; de hecho es mejor. Nuestro marco normativo en la materia sigue un modelo híbrido, muy similar al canadiense, aunque con un sesgo hacia el europeo y una cada vez más fuerte influencia española. Sin embargo se pueden aprender lecciones importantes del caso, tanto del lado del Titular como del del Responsable.

El autor de la nota menciona que al no estar dispuesto a comunicar ese dato personal a T-Mobile no pudo suscribirse al servicio por Internet, por lo que acudió a un centro de servicio para llevar a cabo la contratación. Ahí le dijeron que de hecho la contratación no estaba condicionada a la entrega del dato, puesto que solicitaban un depósito de US$100 y no consultaban historial crediticio. En México esto último requiere que el otorgante del crédito obtenga la autorización expresa del Titular para acceder a su información conservada por cualquier Sociedad de Información Crediticia, y la consulta de ésta sería justificada en tanto que las empresas de telefonía móvil son usuarias de tales servicios, puesto que los cargos hechos a la línea de usuarios de postpago representan un pasivo a cargo de estos.

Sin embargo, los títulos de concesión otorgados a las operadoras de telefonía móvil que operan hoy día contienen, en general, una disposición conforme a la cual dichas concesionarias «deberán asegurar la confidencialidad de la información proporcionada por los usuarios o generada por la red pública concesionada al prestar servicios a dichos usuarios, y a no divulgarla si no existe consentimiento previo para su uso», elemento que no me parece haber visto considerado en la resolución del IFAI en el procedimiento de imposición de sanciones a Telcel, misma que sería interesante fuera considerada por el IFETEL de oficio, por ser dicho caso información que obra en el dominio público.

También del lado del Responsable esto ofrece lecciones importantes. Primero, atender al Principio de Proporcionalidad al diseñar formatos de solicitud y contratos, puesto que de acuerdo con los artículos 11, primer párrafo, de la LFPDPPP y 45 de su Reglamento, sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido. Luego entonces, si no es preciso consultar el RFC del Titular, su fecha de nacimiento u otra información, el Responsable debería abstenerse de solicitársela.

Ello además impactará en la magnitud y costo de su cumplimiento normativo y, sobre todo, medidas de seguridad, puesto que las mismas deberán ser mucho más robustas en la medida que, por ejemplo, dé Tratamiento a Datos Personales con Riesgo Inherente Alto o Reforzado, y no solamente a los que tengan Riesgo Inherente Bajo o Medio.

En concordancia con lo anterior, debería asegurarse de que los datos personales que solicite a los Titulares sean los mínimos necesarios de acuerdo con la Finalidad del Tratamiento que tenga lugar, conforme al Criterio de Minimización dispuesto en el artículo 46 de dicho Reglamento. Con ello al menos podrá reducir el riesgo legal de incurrir en la infracción prevista en el artículo 63, fracción IV, de la LFPDPPP, consistente en tratar datos personales en contravención a los principios de dicha Ley.

IFAI Multa a Telcel con $6’264,165.00 por cobranza extrajudicial injustificada

27 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

La más reciente resolución en un procedimiento de imposición de sanciones por parte del IFAI correspondió a Radiomóvil Dipsa, S.A. de C.V., que opera bajo la marca Telcel, a quien le ha sido impuesta una multa que asciende a $6,264,165, por dos conductas infractoras:

  1. $3’272,325, con base en los Artículos 63, fracción VIII, y 64, fracción III, por incumplir el deber de confidencialidad establecido en el artículo 21 de la LFPDPPP, y
  2. $2’991,840, con base en los artículos 63, fracción IX, y 64, fracción III, por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 del propio estatuto.

Los dispositivos citados prevén, respectivamente, lo siguiente:

  • Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
  • Artículo 12.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

A eso último habría que agregar que el Artículo 40 del Reglamento de la LFPDPPP prevé que:

«Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley. Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales».

¿De dónde derivaron las conductas infractoras? Pues de que a no obstante la confidencialidad ordenada por la Ley, a Telcel «se le hizo fácil» recurrir a los números frecuentes de la Titular denunciante para realizar gestiones de cobro a través de terceros mediante llamadas y mensajes de texto dirigidos a ellos, conducta que fue considerada como de «gravedad alta» por la Comisionada Ponente, Ma. Elena Pérez-Jáen Zermeño, «en virtud de la afectación que con ello pudiera causar a la titular».

De ello derivó que, además, se encontraran violaciones al Principio de Finalidad, puesto que el correspondiente Aviso de Privacidad no determinaba tal uso de los datos de la Titular, de manera que operó un cambio sustancial en las Finalidades originarias del Tratamiento de esos datos, cambio que no fue consentido por la Titular y que también fue considerado como potencialmente causante de una grave afectación a la Titular.

Siempre que multas de tal magnitud son difundidas surge la pregunta sobre qué podrían esperar otros Responsables si llegaran a incurrir en infracciones a la LFPDPPP; la respuesta es que entre otros factores el IFAI consideraría su capacidad económica, pues así lo requiere el Artículo 65, fracción IV, de ese ordenamiento. En la resolución consta que la Responsable omitió proporcionarle a la autoridad elementos para determinarla, por lo que ésta accedió a una fuente de consulta pública, concretamente la página de Internet de la Comisión Federal de Competencia Económica, y accedió a la versión pública de la resolución del 7 de abrill de 2001 dictada en su expediente DE-37-2006, que tiene carácter de documental pública, en la que éste último organismo impuso a la propia Responsable una multa del orden de $11,989’653,276.40, equivalentes al 10% de sus activos totales al momento, cifra de la cual derivó el monto de la sanción, mismo que fue considerado como proporcinal a la capacidad económica de la Responsable, de manera que no afectaría el desarrollo de sus actividades.

Habría que considerar además la intencionalidad de la conducta infractora, como lo determinó la autoridad respecto de la violación de lo previsto por los Artículos 6, 7, 12, 13, 15 y 21 de la LFPDPPP, con relación a las infracciones determinadas en las fracciiones IV, VIII y IX de la propia Ley.

Ahora bien, aunque en los resolutivos no figura la conducta infractora prevista en el artículo 63, fracción IV, consistente en dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley, los considerandos si refieren al Principio de Lealtad dispuesto en los artículo 6 de la LFPDPPP, y 9, fracción III, y 44 de su Reglamento, atento a los cuales:

  • «En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley», y 
  • El Principio de Lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.
    No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:
    I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
    II. Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o
    III. Las finalidades no son las informadas en el aviso de privacidad.

La Responsable pretendió controvertir lo anterior argumentando que las gestiones de cobranza estaban previstas en el respectivo Aviso de Privacidad, y que la falta de consentimiento de la Titular era irrelevante puesto que, en su teoría de las cosas, operaba la excepción al consentimiento prevista en la fracción V del artículo 10 de la Ley, que exime de obtenerlo en los casos en que «exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes», lo cual fue desestimado por la autoridad.

Entre otros argumentos la autoridad sostuvo la violación a los Principios de Información, al no haber puesto a disposición del Titular el Aviso de Privacidad cuando renovó su plan tarifario, así como el de Proporcionalidad, al haber dado tratamiento a datos que no eran necesarios, adecuados ni relevantes en relación con la Finalidad para los que fueron obtenidos.

Aunque de la lectura de la resolución me parece que la naturaleza del dato no fue considerada de relevancia para la imposición de sanciones, toda vez que la fracción IV del Artículo 64 de la LFPDPPP sólo refiere a los de naturaleza sensible para el incremento de las sanciones, será interesante ver el criterio que adopta el IFAI en otros casos en que las infracciones se refieran a datos personales patrimoniales, como me parece es el caso, ya que mediante las gestiones de cobro a través de terceros se divulgaron datos relativos al adeudo de la Titular con la Responsable, mismos que por versar sobre su haber y deber habrían de ser considerados como tales.

Otro aspecto relevante a mencionar en un caso como éste, y es algo que me preguntan mucho en consultas y presentaciones, es que la Titular no percibirá un centavo de lo que el fisco recaude como aprovechamiento por la multa, de manera que el procedimiento de imposición de sanciones por parte del IFAI no se puede volver un medio de extracción de recursos de los Responsables por parte de los Titulares.

Sin embargo hay que atender al artículo 58 de la Ley, conforme a l cual los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la LFPDPPP por el Responsable o el Encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

Lo que es un hecho es que en los casos en que se resuelva en contra del Responsable y pudiera configurarse alguna teoría como el daño moral, el Titular estará en posibilidad de iniciar el procedimiento respectivo por la vía correspondiente y ofrecer el expediente del IFAI como prueba instrumental pública, mismo que haría prueba plena con tal carácter de la actuación ilegal del Responsable, restando que el Titular actor probara la afectación sufrida en la consideración que tiene de si o la que los demás le tienen. Y es sabido que desde el caso de Martha Zahagún contra Olga Wornat los criterios judiciales en México sobre daño moral han cambiado sustancialmente, por lo que sería menos complicado que antes lograr una indemnización por esa vía.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking