En México, cobranza extrajudicial y tratamiento de datos personales. Experiencias y nueva Guía del IFAI

llamada

Por Héctor E. Guzmán Rodríguez

Poca gente lo sabe, pero hace 20 años trabajé en una “Agencia de Cobranza”. Fue tan poco el tiempo que pasé en este empleo (apenas 4 meses), que ni siquiera figura en mi currículum. Ahora, después de esta “confesión” por escrito, este antecedente laboral y su valor como dato personal ha sido revelado para todo aquél que lea estas líneas… es el riesgo de escribir y compartir.

El valor que dicha experiencia tiene para mí, dedicado ahora a la protección de datos personales en su vertiente legal, no es poco, pues desde que comencé a brindar asesoría legal en México sobre esta materia, y tomando en cuenta la existencia de un principio de información relacionado con el tratamiento de datos personales, materializado (casi en exclusiva) a través de los famosos Avisos de Privacidad, siempre he recomendado incluir la cobranza extrajudicial como parte de las finalidades del tratamiento de datos personales, relacionada con diversas actividades de nuestros clientes, amén de otras obligaciones relacionadas con el resto de principios de protección de datos.

Debo decir que esta recomendación no siempre ha sido bien recibida. La “obviedad” de la actividad, para todos aquellos clientes que prestan servicios financieros o que comercializan bienes, era de tal grado que a éstos les parecía (y les sigue pareciendo) un auténtico despropósito. La sorpresa crece cuando recomiendo someter a revisión el marco contractual de la cobranza, indicando que es necesario determinar si existe una transferencia o una remisión de datos hacia el tercero que la efectúa; o dicho en otros términos: definir si los datos serán comunicados a un Responsable (receptor) o a un Encargado.

Por estas y otras razones, me causó mucho agrado conocer que el Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI) publicó (en coordinación con la Comisión Nacional para la Defensa de los Usuarios de las Instituciones Financieras [CONDUSEF]) su “Guía para para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial” (la Guía), la cual puede ser descargada en este link.

Más allá de que esta Guía sirve como vehículo para recordar a sus lectores los principios, derechos y obligaciones que rigen la protección de datos personales, contenidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la LFPD); el motivo de su publicación y el análisis específico que sobre la actividad de cobranza extrajudicial contiene, arrojan luz sobre cuestiones que son menos conocidas o publicitadas, tales como la necesidad (o no) de informar sobre la comunicación de los datos personales de los Titulares hacia los “Despachos de Cobranza”, las modalidades en que dicha comunicación puede realizarse (transferencia o remisión), y recomendaciones específicas para el cumplimiento de los principios y los deberes antes referidos.

La publicación de la Guía viene precedida de información recaba por la CONDUSEF, durante los años 2011 a 2013. Durante ese periodo, se dice que dicha Comisión recibió 100,391 quejas relacionadas con la actividad de cobranza extrajudicial. Las quejas recibidas se centraron en tres motivos principales:

  • La persona contactada no era el cliente-deudor (72%),
  • La persona contactada recibió maltratos u ofensas por parte de los “cobradores” (18%),
  • La persona fue contactada en relación un crédito que ya había pagado (7%).

En análisis de esta situación, el IFAI determinó, por obvias razones, que las quejas están directamente vinculadas con la protección de datos personales, encontrando que los principios con mayor incidencia de vulneración eran los de calidad e información.

Para comprensión de la Guía, el IFAI ofrece, entre otras, las siguientes definiciones:

  • Cobranza Extrajudicial: Actividad que realiza una entidad financiera directamente o a través de un Despacho de Cobranza, a fin de requerir el pago de las obligaciones contraídas por el deudor, o para negociar o reestructurar los créditos, préstamos o financiamientos.
  • Despacho de Cobranza: Despacho externo, incluyendo a terceros o representantes, que realiza la cobranza, negociación o reestructuración de los créditos, préstamos o financiamientos, y que actúa como intermediario entre las entidades financieras y comerciales y el deudor, a fin de recuperar los adeudos de la entidad en cuestión.
  • Entidad: Entidad financiera o comercial.

En la Guía que reseñamos, encontraremos recomendaciones específicas (y elementales), tales como:

  • Conocer la normatividad aplicable a la cobranza extrajudicial (principio de licitud),
  • No utilizar identidades falsas con la finalidad de obtener datos personales de los deudores (principio de lealtad),
  • Tratar a deudores y personas que se contacten con motivo de la cobranza con respeto y en horarios adecuados (principio de lealtad),
  • No utilizar información falsa o engañosa, para amenazar a los titulares (principio de lealtad),
  • No enviar documentos que aparenten ser escritos judiciales o hacerse pasar como representantes de órgano judicial u otra autoridad, con el fin de amedrentar al deudor (principio de lealtad),
  • El Responsable (la Entidad) deberá dar a conocer al Titular el Aviso de Privacidad para el otorgamiento del crédito, préstamo o financiamiento, previo a la obtención de los datos personales. Dicho Aviso de Privacidad deberá contener, como una de las finalidades del tratamiento, lo relativo a la actividad de cobranza (principio de información),
  • Los Despachos de Cobranza que adquieran una cartera vencida, y que en ese sentido se conviertan en Responsables, deberán dar a conocer su Aviso de Privacidad en el primer contacto que tengan con los deudores (principio de información).
  • Dado que la actividad de cobranza se enmarca en una relación jurídica entre el Titular y el Responsable, no requiere del consentimiento del Titular (artículo 10 de la LFPD, principio del consentimiento),
  • Si el Responsable obtiene datos personales por medio de una transferencia, para la finalidad de Cobranza Extrajudicial, deberá verificar que la transferencia se haya realizado conforme a los requisitos que establecen la LFPD y su Reglamento (principio del consentimiento),
  • Incluir en el aviso de privacidad, la actividad de cobranza como una finalidad más del tratamiento de datos personales (principio de finalidad),
  • Utilizar y obtener sólo los datos personales que sean necesarios y relevantes para la finalidad de cobranza extrajudicial (principio de proporcionalidad),
  • Instruir a los Despachos de Cobranza que supriman y/o regresen a la Entidad los datos personales de los deudores cuyos asuntos hayan sido resueltos por parte de ésta (principio de calidad),
  • Mantener actualizados los datos relativos al estatus de la deuda, a fin de evitar información errónea en cuanto a la calidad de deudor de una persona que haya cumplido con sus obligaciones (principio de calidad),
  • Supervisar constantemente las actividades realizadas por los Despachos de Cobranza contratados, así como el estado de los reclamos presentados (principio de responsabilidad),
  • Poner en práctica programas de capacitación, actualización y concientización del personal, en materia de protección de datos personales (principio de responsabilidad).

En cuanto a los deberes de seguridad y confidencialidad, el IFAI recomienda, por ejemplo:

  • Consultar herramientas elaboradas por el IFAI en materia de cumplimiento del deber de seguridad, disponibles en la Sección “Documentos de Interés. Seguridad de los Datos Personales” del portal de dicho Instituto,
  • Evitar divulgar, sin consentimiento del deudor, sus datos personales a terceros,
  • Evitar el uso de correos electrónicos, correspondencia, mensajes de texto o voz o cualquier otro, que den a conocer a terceros la condición de deudor o datos relacionados con la actividad de cobranza.

Además, en la Guía se indica que se consideran conductas “inadecuadas”:

  • La divulgación en medios públicos de listas de deudores que se nieguen a pagar una deuda, o
  • La creación de registros especiales, distintos a los que permiten las leyes, para hacer del conocimiento general la negativa de pago de los deudores.

Uno de los aspectos que mayor confusión causan tanto a Entidades como a Despachos de Cobranza, lo constituye la definición de su papel como Responsables o Encargados. En muchas ocasiones, transmitir la diferencia entre una figura y otra (y no sólo en relación con la cobranza extrajudicial) constituye una tarea que requiere varias sesiones o reuniones con las partes interesadas dentro de una organización. La Guía, afortunadamente, también brinda orientación al respecto.

Por una parte, clarifica que la comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, se considera una transferencia, por lo que debe informarse de ella en el Aviso de Privacidad correspondiente (aunque el consentimiento para realizarla no sea necesario).

Por otro lado, se indica de forma clara que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no adquieren la propiedad de la cartera, sino que prestan el servicio de cobranza a nombre y por cuenta de la Entidad, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla a través de un Aviso de Privacidad, ni de obtener el consentimiento del Titular para que ésta ocurra.

Además, la Guía recuerda que los Encargados pasarán a considerarse Responsables (con todas las consecuencias jurídicas que ello implica) si destinan o utilizan los datos personales para una finalidad distinta a la autorizada por el Responsable (la Entidad) o si efectúan una transferencia de los datos en contravención a las instrucciones de dicho Responsable.

Finalmente, en cuanto a la atención de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), cabe destacar que la Guía asume correctamente una realidad evidente: es muy probable que estos derechos van a ser ejercidos frente a los Despachos de Cobranza y que, por lo tanto, sean éstos quienes recibirán las solicitudes de los Titulares al respecto.

Ante dicha realidad, la Guía recomienda la adopción de procedimientos o protocolos de actuación para determinar adecuadamente la forma en que Entidades y Despachos de Cobranza deberán atender las previsibles solicitudes de derechos ARCO que, en este materia, son el pan nuestro de cada día; sin olvidar que en última instancia es el Responsable quien está obligado a dar atención a las solicitudes correspondientes.

Como comentario final, debemos indicar que la Guía es un documento de 48 páginas, por lo que es obvio que aquí no hemos hecho sino un brevísimo resumen de la misma. Su consulta y conocimiento nos parecen elementales tanto para Entidades como para Despachos de Cobranza; sin embargo asumimos que su difusión apenas ha iniciado y que, por lo tanto, como asesores y consultores en la materia, debemos participar en la transmisión de su contenido y, sobre todo, en la recomendación de adopción de sus múltiples acciones de cumplimiento.

Imagen cortesía de imagerymajestic en FreeDigitalPhotos.net