Diciembre, mes emblemático para Instituciones Financieras en protección de datos

bancos_mexicoPor Rodrigo Santisteban Maza

Diciembre de 2013, el Instituto Federal de Acceso a la Información y Protección de Datos ha resuelto dos asuntos que dejan un antecedente importante en la materia del Derecho Humano de Protección de Datos Personales, en este caso, en posesión del sector privado, en específico en poder del sector financiero de nuestro país.

El primer caso, deviene de la solicitud de protección de derechos interpuesto por un particular en contra de Scotiabank Inverlat, S.A. Institución de Banca Múltiple, en virtud de que dicha institución no dio atención dentro del plazo de los 20 días señalados en el artículo 32 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares,  a su solicitud de rectificación.

Dicho caso, a pesar de que fue sobreseído por el órgano garante en virtud de quedarse sin materia el procedimiento; destaca por dos grandes elementos, el primero de estos elementos reside en uno de los alegatos dados por el grupo de abogados de dicha institución financiera, al señalar que el procedimiento de protección de derechos era improcedente por competencia del Instituto Federal de Acceso a la Información y Protección de Datos.

El argumento central de esa incompetencia radicó en el señalamiento que:

“… Resulta incompetente para conocer de la presente solicitud el Instituto Federal de Acceso a la Información y Protección de Datos […], toda vez que, la entidad competente para conocer del presente asunto es la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros…”[1]

Lo anterior, en virtud de que la controversia versa sobre una controversia entre un usuario financiero y el banco.

Al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos en el Considerando Tercero de la resolución (PPD.0098/13),  después del análisis del artículo 38 de la Ley, que establece su obligación como órgano garante de la materia, de vigilar su observancia, y citar el artículo 2 de la LFPDPPP, determinó que el titular presentó su solicitud de rectificación de datos ante la institución financiera, que tiene el estatus de sujeto obligado o de responsable, ya que ésta es la que llevó a cabo el tratamiento de los datos personales.

Agregando, que el ejercicio del derecho de rectificación de datos personales, bajo el amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no implica, en ningún caso, que el titular de los datos personales se encuentre ejerciendo un derecho como usuario de los servicios financieros de nuestro país.

El segundo elemento que destaca del presente caso, y que a pesar de que no fue analizado a profundidad por el órgano garante, es la evidente inobservancia por parte de los funcionarios del Banco de un procedimiento interno para dar atención a las solicitudes presentadas al amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y en los términos de su Aviso de Privacidad.

Al respecto el Instituto Federal de Acceso a la Información y Protección de Datos señaló:

“… que el Titular presentó su solicitud de ejercicio del derecho de rectificación de datos personales dirigida a la Unidad Especializadas de Aclaraciones (UNE) del Responsable, la cual, según el propio aviso, se encargaría de notificarla al Área de privacidad para su debido trámite, es claro que la referida solicitud fue presentada correctamente ante el Responsable en la forma y por los medios señalados en su aviso de privacidad, motivo por el cual se encontraba obligado a darle trámite y respuesta…”

Ahora bien, esta aparente omisión por parte de los funcionarios adscritos a la UNE del Banco, denota otra posible violación al principio de responsabilidad contemplado en el artículo 6 de la LFPDPPP y desarrollado en el artículo 48 del Reglamento que impone la obligación al Responsable de poner en práctica un programa de capacitación en la materia y sobre todo de los procesos implementados al interior para dar atención a las múltiples obligaciones que devienen de la citada Ley.

Por otro lado, el segundo caso resuelto en el mes de diciembre de 2013 por parte Instituto Federal de Acceso a la Información y Protección de Datos, es en virtud de una denuncia interpuesta por un particular en contra de BBVA Bancomer S.A., Institución de Banca Múltiple, que en resumen fue presentada en virtud de que dicha institución bancaria utilizó sus datos personales sin su consentimiento para tramitar servicios que no requirió, es decir, el trámite de una tarjeta de crédito.

El objeto y alcance de la denuncia, fue fijada por el IFAI, de la siguiente forma:

“… A efecto de constatar el cumplimiento de la LFPDPPP, se ordena el inicio del procedimiento de verificación a la Responsable, cuyo objeto y alcance está dirigido a: 1) verificar la adecuación del aviso de privacidad de la Responsable a la LFPDPPP; 2) verificar la manera en que recaba los datos personales de los titulares; 3) verificar que la Responsable obtenga el consentimiento de los titulares para tratar sus datos personales, de conformidad con el principio de consentimiento previsto en los artículo 8 de la LFPDPPP y 11 y 20 de su Reglamento; 3) [sic] verificar que el tratamiento de los datos personales que da la Responsable se apegue a la legislación en materia de protección de datos personales, en atención a los principios a que se refieren los artículo 6 de la LFPDPPP y 9 fracción I a VIII de su Reglamento…”[2]

En el desarrollo de la denuncia, BBVA Bancomer manifestó que el consentimiento del titular de los datos personales, deriva de una relación jurídica previa al tratamiento objeto de la denuncia –que a saber, el tratamiento consistió en el otorgamiento de una tarjeta de crédito-, y por lo expresado en los correo electrónicos enviados por el particular previamente, configurándose, a su criterio, el consentimiento tácito en virtud de que  el aviso de privacidad correspondiente se encontraba a su disposición  en los carteles o posters colocados en las sucursales, cajeros automáticos, líneas telefónicas, estados de cuenta y en su página de internet; añadiendo que, el titular no ejercito en ningún momento su oposición o revocación de su consentimiento y se le invitó a que conociera su aviso de privacidad mediante su estado de cuenta.

Para poder entender los alcances de la denuncia y la configuración de la violación de algunos principios contemplados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es necesario recordar los alcances del principio de información y algunas reglas que debemos observar al momento de recabar el consentimiento de los titulares de los datos personales.

El principio de información, implica la obligación que tienen todos los responsables de informar al titular de los datos personales, sobre la existencia y las principales características del tratamiento a que será sometido sus datos personales, así como las finalidades que se buscan con su obtención; dicho principio, se materializa con los avisos de privacidad,  que es definido por la fracción I, del  artículo 3 de la Ley, como:

“… Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales…”

Como podemos desprender de la anterior cita, por regla general el aviso de privacidad debe ser puesto a disposición del titular previo a  la recolección de sus datos personales, lo que supone que, el titular se encuentra físicamente ante el Responsable; pero cuando, esa información es obtenida por medios electrónicos, óptico, sonoro, visual, o cualquier otra tecnología, de forma inmediata el responsable deberá dar a conocer al titular de los datos personales:

  1. Su identidad y domicilio.
  2. La o las finalidades del tratamiento.
  3. La forma en que puede acceder al aviso de privacidad aplicable al caso[3].

Lo anterior, tiene una lógica muy básica, es evitar que el consentimiento que otorgue el titular de los datos personales, por el cual, nos permita dar tratamiento a su información, se encuentre viciado, ya que éste se debe obtener previo a que sea recabada.

El consentimiento, en términos de la Ley, puede ser manifestado de dos formas: tácito y expreso; este último, será requerido cuando se pretenda recabar datos financieros, patrimoniales, o sensibles, salvo que el tratamiento de los datos, encuadre en alguno de los supuestos establecidos en el artículo 10 de la LFPDPP.

Dentro de la información que fue proporcionada por el titular al responsable, se encuentra, entre otros datos:

Datos recabados Tipo de datos Medio de obtención

Numero de cuenta o tarjeta

Dato patrimonial y financiero

Correo electrónico

Número de cliente Dato financiero Indirecto (se obtiene al momento de ingresar el número de cuenta o tarjeta)
Copia de la credencial para votar expedida por el extinto Instituto Federal Electoral, ahora Instituto Nacional Electoral. Dato identificativo Correo electrónico
Registro Federal de Contribuyentes. Dato fiscal Correo electrónico
Ingreso mensual. Dato patrimonial No se puede determinar la forma de su obtención.

Como hemos señalado, cuando se obtienen datos personales de manera electrónica, como es el caso en concreto, existe la obligación del responsable de comunicar de manera inmediata al titular, su identidad, domicilio, finalidad y mecanismos por medio de los cuales puede conocer el aviso de privacidad; al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos después de analizar las evidencias proporcionadas por las partes, pudo determinar que tal obligación no se vio cumplida por parte de BBVA Bancomer[4], violentando por ende, el principio de información.

Del cuadro anterior, podemos observar que BBVA Bancomer obtuvo diversos datos que requieren en términos de la Ley, la obtención del consentimiento expreso, al respecto, recordemos que uno de los argumentos vertidos por el responsable con respecto a este tema fue:

“… que cuenta con el consentimiento […], derivado de una relación jurídica [preexistente]…”[5].

El Instituto Federal de Acceso a la Información y Protección de Datos, después de analizar los documentos aportados por el Responsable, determinó que:

“… también se desprende que los datos requeridos a la denunciante, no tenían por finalidad cumplir con algún propósito concerniente a la relación jurídica a la que se refiere la Responsable, pues dicha relación a la fecha en que se solicitaron nuevos datos, ya se encontraba plenamente formalizada. En consecuencia, dicha circunstancia no eximía a la Responsable de recabar el consentimiento de la titular para dar tratamiento a los nuevos datos personales…”[6]

Lo que conllevó, a la violación por parte del Banco, del principio del consentimiento, en virtud de que no pudo demostrar fehacientemente su otorgamiento, y sobre todo, que éste hubiere sido otorgado de manera libre, específica e informado, y que hubiere sido inequívoco, es decir, que existan elementos que demuestren su otorgamiento y así se acredite ante el IFAI.

Al violentar ambos principios, a saber, el de información y consentimiento, automáticamente se configuró la violación de otro principio contemplado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que es el de licitud.

El principio de licitud, impone la obligación a los responsables de ajustar el tratamiento de los datos personales a lo previsto en la legislación mexicana, en el caso concreto, a la LFPDPPP.

Este caso, aún se encuentra en proceso, por así señalarlo, en virtud de que, a  raíz de ésta denuncia, se ha iniciado el procedimiento de imposición de sanciones contemplado en la Ley, tendremos que esperar unos meses más, para poder conocer a cuanto ascenderán estas infracciones.

En conclusión, podemos señalar que en ambos casos, se hubieren podido evitar sí, la fracción II del artículo 48 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en virtud de que, si el personal que se encontró involucrado en los procesos hubiere recibido una capacitación constante y especializada en la materia, los riesgos de caer en estos supuestos se hubieren visto disminuido, o en el caso concreto de BBVA Bancomer, no tuviere que enfrentarse al proceso de imposición de sanciones, ya que, hubiere recolectado su ejecutiva(o) de cuenta el consentimiento expreso al inicio del proceso, previo disposición del Aviso de Privacidad.

Otro elemento destacable de ambas resoluciones, radica en que el tema del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no se circunscribe exclusivamente en la publicación del Aviso de Privacidad, sino que existe múltiples obligaciones que se deben de observar.

Un punto fundamental de la resolución contra BBVA Bancomer, consiste en que el consentimiento es necesario, a pesar de que exista una relación preexistente, cuando el titular de los datos personales y/o el responsable, persigan la formalización de una nueva relación, cuyo objeto directo o indirecto implique el tratamiento de los datos personales del primero.

[1] Resolución del Expediente PPD.0098/13,. p.p  17 y 18

[2] Resolución: ACT-PRIV/27/11/2013.03.02.01, pág. 8

[3] Artículos 16, 17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y 27 de su Reglamento.

[4] Op. Cit. pág. 15

[5] Op. Cit. pág. 14

[6] Op. Cit. pág. 18