Privacidad y Protección de Datos Personales en México

Inicio » Publicaciones con la etiqueta 'multa'

Archivo de la etiqueta: multa

PS 0016/14 CASO BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (JUNIO, 2015)

SÍNTESIS EJECUTIVA

INFRACTOR: BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (“BANORTE”)

SECTOR: Financiero

AUTORIDAD: INAI (antes IFAI)

ANTECEDENTES:

·       Con fecha 22 de enero de 2014, el entonces IFAI (ahora INAI) recibió denuncia derivada de una supuesta transferencia de datos personales sensibles por parte de Banorte a un tercero llamado Integra Capital sin que mediara consentimiento para tal fin, haciendo éste último un supuesto uso indebido de datos personales. Los datos personales de la titular y su cónyuge habían sido recabados por el Infractor a través de un contrato de apertura de crédito simple denominado “Auto Estrena de Banorte”.

·       En consecuencia, con fecha 21 de abril de 2014, el Secretario de Protección de Datos Personales y el Director General de Verificación del IFAI emitieron un Acuerdo de Inicio de Procedimiento de Verificación en contra del Infractor.

·       El 26 de noviembre de 2014, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento de imposición de sanciones en contra del Infractor.

·       Con fecha 8 de enero de 2015, se emitió el Acuerdo de Inicio de Procedimiento de Imposición de Sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones, otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera y requiriéndole la documentación que reflejara su situación financiera actual.

·       El Infractor presentó su contestación con fecha 5 de febrero de 2015 aportando pruebas documentales omitiendo acreditar su personalidad y su situación financiera actual.

·       El 16 de febrero de 2015 el IFAI reconoció la personalidad del representante del Infractor y se emitió acuerdo de admisión de pruebas y plazo para alegatos.

·       El 24 de febrero de 2015 el Infractor presentó escrito de alegatos, y el 11 de marzo de 2015 después de un nuevo requerimiento del IFAI, la información sobre su situación financiera (balances generales y estados de resultados consolidados al 31 de diciembre de 2014 y 2013). Por su parte el IFAI ordenó ingresar a la página de Internet del Infractor a fin de constatar que los documentos exhibidos se encontraban disponibles en la misma.

·       El 7 de abril de 2015 se decretó el cierre de la instrucción.

·       Con fecha 3 de junio de 2015 los comisionados del IFAI resolvieron imponer a Banorte diversas multas.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

·       Si el Infractor recabó datos sensibles del cónyuge de la denunciante consistentes en estado de salud presente y futuro sin el consentimiento expreso y por escrito del cónyuge.

·       Si el Infractor cuenta con bases de datos que contengan datos sensibles sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acorde a las actividades o fines explícitos.

·       Si trató los datos personales de la denunciante y su cónyuge en contravención a los principios de información, proporcionalidad y licitud al presuntamente: (i) omitir poner a disposición de la denunciante un aviso de privacidad; (ii) dar tratamiento a los datos de su cónyude sin que resultaran necesarios, adecuados y relevantes en relación con las finalidades para las que se obtuvieron; y (iii) no ajustarse a la normatividad aplicable.

 ARGUMENTOS DE DEFENSA DEL INFRACTOR:

·       El Infractor señaló que los datos personales sensibles del cónyuge de la denunciante no fueron requeridos ni tratados al no ser parte del trámite crediticio.

·       Así mismo señaló que el IFAI daba por hecho de que el cónyuge había proporcionado personalmente sus datos y que fue la denunciante quien requisitó de su puño y letra la solicitud de crédito y cruzó los recuadros del cuestionario médico.

·       También señaló que la información que requiere en la solicitud de crédito es proporcional y lícita y que se encuentra relacionada con el riesgo que corre al otorgar un crédito automotriz y con lo establecido en el artículo 65 de la Ley de Instituciones de Crédito que permite, entre otros puntos, la realización de un estudio de viabilidad económica de los proyectos de inversión.

·       Dentro de sus argumentos mencionó que en ningún momento la ley ni el reglamento señalan que el aviso de privacidad deba entregarse en mano a los solicitantes y que éstos firmen de recibido sino poner a disposición, situación que dijo cubrir en forma amplia al tener el aviso de privacidad a disposición de sus clientes y usuarios de forma permanente en la página de Internet. En sus alegatos mencionó también que el aviso de privacidad se daba a conocer de forma verbal a los clientes antes de completar la solicitud de crédito.

 RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

Incumplimientos de gravedad alta

·       Recabar datos personales sensibles relativos al estado de salud presente y futuro del cónyuge de la denunciante sin haber obtenido su consentimiento expreso y por escrito.

·       Contar con bases de datos personales realtivos al estado de salud presente y futuro de persona ajena a la denunciante sin que dicha situación se encuentre justificada legalmente.

Incumplimientos de gravedad media

·       Omitir poner a disposición de la denunciante su aviso de privacidad en el que informara los datos personales obtenidos y para qué fines al momento en que obtuvo sus datos personales (principio de información).

·       Dar tratamiento a los datos del cónyuge sin que resultaran necesarios, adecuados y relevantes (principio de proporcionalidad).

·       No ajustarse a la normatividad aplicable (principio de licitud).

Consulte la resolución en http://inicio.ifai.org.mx/pdf/resoluciones/2014/PS%2016.pdf

SANCIÓN: $32’006,691.00 M.N.

Se desconoce si el Infractor impugnó la resolución.

DURACIÓN: (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 17 meses

LECCIÓN DE ESTE CASO: -No es suficiente tener a disposición de los titulares en la página de Internet el aviso de privacidad o darlo a conocer de forma verbal, debe ponerse a disposición del titular previo a que se le recaben los datos siendo la carga de la prueba del cumplimiento de lo anterior del responsable.
– Se requiere consentimiento expreso y por escrito para recabar datos sensibles, además de una finalidad que justifique su tratamiento.
– Debe existir una justificación para contar con bases de datos personales sensibles.

CASO RADIOMOVIL DIPSA, S.A. DE C.V. (TELCEL) (SEPTIEMBRE 26, 2013)

Síntesis Ejecutiva

INFRACTOR: Radiomovil Dipsa, S.A. de C.V.

SECTOR: Telecomunicaciones

AUTORIDAD: IFAI

ANTECEDENTES:
I. El 30 de agosto de 2012 el IFAI recibió denuncia en contra del Infractor por presuntas violaciones a la Ley dirigidas a la cobranza de un adeudo de la titular a través de llamadas telefónicas y mensajes de texto a terceros cuyos números frecuentemente marcaba la titular.
II. Con fecha 6 de febrero el IFAI ordenó iniciar un procedimiento de verificación por lo que dos días después se requirió al Infractor remitir documentación y registros relacionados con el tratamiento de datos personales de la titular y el consentimiento respectivo.
III. El 26 de febrero de 2013 el Infractor hizo manifiestaciones relacionadas con el requerimiento de información, señalando que diversas solicitudes estaban fuera del objeto y alcance del procedimiento de verificación (aun cuando dio respuesta a todas ellas haciendo alusión al principio de buena fe) así como a que el IFAI debió haber actuado de última instancia y guiar a la titular a presentar una solicitud de limitación y/o divulgación de los datos.
IV. Derivado del procedimiento de verificación el IFAI resolvió iniciar el procedimiento de imposición de sanción con fecha 24 de abril de 2013 al considerar que presuntamente el Infractor: (i) violó lo dispuesto en el artículo 12 de la Ley y 40 del Reglamento al utilizar los datos personales de la denunciante para gestiones de contacto y cobro a terceros a través de llamadas telefónicas y mensajes de texto a terceros (los números frecuentes más marcados) sin que la finalidad se encontrara prevista en el aviso de privacidad; (ii) violación a lo previsto en el artículo 21 de la Ley, al divulgar datos personales de la titular a terceros para realizar gestiones de contacto y cobro a través de llamadas telefónicas y mensajes de texto; y (iii) violación a los principios de finalidad, información, lealtad y proporcionalidad previstos en los artículos 6, 7, 12, 13 y 15 de la Ley, así como 23, 40, 44 y 45 del Reglamento.

PUNTOS CONTROVERTIDOS:

• Si el Infractor presuntamente violó los principios de finalidad, información, lealtad y proporcionalidad, en virtud de que:

“a. Dio tratamiento a los datos personales de la Titular para un fin distinto al señalado en el aviso de privacidad, sin haber obtenido nuevamente su consentimiento, ya que si bien en el aviso de privacidad la presunta infractora establece como finalidad la de gestión de cobranza de adeudos, lo cierto es que dicha actividad no implica utilizar los datos personales de la Titular para realizar gestiones de cobro a través de terceras personas, diferentes de la persona señalada por ésta como contacto de pagos.[…]
b. Omitió poner a disposición de la titular el aviso de privacidad, aun cuando una vez entrada en vigor la obligación de poner a disposición de la titular el aviso de privacidad realizó de manera personal la renovación de plazo forzoso.[…]
c. Utilizó y divulgó los datos personales de la Titular a terceros, para realizar gestiones de contacto y cobro, a través de llamadas telefónicas y mensajes de texto, sin que la finalidad se encontrara consentida previamente por su Titular, en detrimento de los intereses y de la privacidad de la misma, y vulnerándose la expectativa razonable de su privacidad. […]
d. Utilizó los datos personales de la Titular para realizar gestiones de contacto y cobro a través de terceros, mediante llamadas telefónicas y mensajes de texto, sin que, en su caso, la finalidad se encontrara consentida previamente por la Titular, fuera de los casos permitidos por la ley, con lo cual se dejó de observar el deber de tratamiento a los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.[…]

• Presuntamente violó lo previsto en el artículo 21 de la Ley […], toda vez que divulgó los datos personales de la Titular a terceros para realizar gestiones de contacto y cobro, a través de llamadas telefónicas y mensajes de texto, en detrimento de los intereses y de la privacidad de la misma, incumpliendo con el deber de confidencialidad.[…]

• Presuntamente violó lo previsto en el artículo 12 de la Ley […], en relación con lo dispuesto en el artículo 40 de su Reglamento, en virtud de que utilizó los datos personales de la denunciante para realizar gestiones de contacto y cobro a través de terceros, mediante llamadas telefónicas y mensajes de texto, sin que dicha finalidad se encontrara prevista en el aviso de privacidad.
Ello es así, toda vez que si bien en su aviso de privacidad el Responsable establece como finalidad la de gestión de cobranza de adeudos, lo cierto es que dicha actividad no implica utilizar los datos personales de la denunciante para realizar gestiones de contacto y cobro a través de terceros, mediante llamadas telefónicas y mensajes de texto. Máxime que los datos de contacto de los números celulares de terceros no le fueron proporcionados, sino generados en un momento posterior por la presunta infractora con motivo de la proveeduría del servicio contratado, es decir, que derivado del servicio que provee obtuvo información respecto de los números marcados con mayor frecuencia por parte de la Titular y seleccionó diversos números telefónicos para realizar gestiones de contacto y cobro, divulgando datos personales a terceros.”

ALEGACIONES DEL INFRACTOR:
Entre otros argumentos señaló:
1. Que el aviso de privacidad puesto a disposición de la titular establece como una de las finalidades del tratamiento la gestión y cobranza de adeudos.
2. Que toda persona tiene un derecho legítimo al cobro de sus deudas, y que su labor de cobranza es acorde con el Código de Ética de las Obligaciones para los Deudores y Público en General que reconoce que la única forma de localizar a un deudor que dolosamente se esconde es a través de terceras personas, por lo que dicha actividad es legítima y proporcional.
3. No requería el consentimiento de la titular para el cumplimiento de la finalidad primaria de la relación contractual.
4. Tenía la obligación de hacer todo aquello necesario para informarle a la titular de sus opciones para encontrar una salida a su situación financiera y evitarle un daño a su persona y bienes por lo que ante la imposibilidad de contactarla, se puso en contacto con las personas ofrecidas como referencias de contacto y/o pago por la titular. Ante la falta de respuesta, utilizó información generada automáticamente por la titular (números aleatorios) obtenidos como consecuencia de la prestación del servicio dentro del espíritu entendible de que serían los números donde se podría localizar con más probabilidad.

RESOLUCIÓN:
(i) El IFAI consideró como una conducta de gravedad alta el que el Infractor haya divulgado datos personales de la titular a terceros para realizar gestiones de contacto y cobro a través de mensajes de texto vía celular.
(ii) Asimismo consideró como una conducta de gravedad alta haber realizado dicha conducta sin que la finalidad se encontrara determinada clara y sin lugar a dudas en el aviso de privacidad.

SANCIÓN: $6,264,169.00 M.N.
Desconocemos si el Infractor impugnó la resolución del IFAI.

CASO TARJETAS BANAMEX, S.A. DE C.V., SOFOM, E.R. (AGOSTO 28, 2013)

SÍNTESIS EJECUTIVA

INFRACTOR: Tarjetas Banamex, S.A. de C.V., SOFOM, E.R.

SECTOR: Financiero

AUTORIDAD: IFAI

ANTECEDENTES:
I. El 12 de junio de 2012 el IFAI recibió denuncia en contra del Infractor por presuntas violaciones a la Ley, misma que posteriormente fue ampliada.
II. IFAI hizo un requerimiento de información a Consorcio Jurídico de Cobranza Especializada, S.A. de C.V., el cual manifesto tener celebrado contrato de prestación de servicios de cobro y recuperación de adeudos vencidos con Banamex derivado del cual ésta le proporcionó el número telefónico y nombre del deudor para realizar gestiones de cobranza. IFAI pidió original y copia de dicho contrato.
III. IFAI hizo requerimiento de información al Infractor, el cual no fue atendido por argumentar el Infractor que estaba legalmente impedido.
IV. Consecuentemente, el 14 de noviembre de 2012 el IFAI ordenó iniciar un procedimiento de verificación.
V. Derivado del procedimiento de verificación el IFAI resolvió que presuntamente: (i) el Infractor había obstruido la verificación al no proporcionarse la información solicitada; (ii) mantuvo datos inexactos del denunciante no obstante sus solicitudes de rectificación y cancelación; (iii) continúo con el uso ilegítimo de datos del Titular, y (iv) violentó los principios de consentimiento, calidad y responsabilidad.
VI. Sustanciado el procedimiento de verificación, el IFAI inició el procedimiento de imposición de sanción que dio origen a la resolución que se comenta.

PUNTOS CONTROVERTIDOS:
• La obstrucción o no de los actos de verificación de la autoridad;
• El mantenimiento o no de datos inexactos del Titular, y el efectuar o no acciones para la rectificación o cancelación de los mismos;
• El haber continuado o no con el uso ilegítimo de los datos personales del Titular, a pesar de que éste solicitó que fueran rectificados y cancelados, y
• La violación o no de los principios de consentimiento (al no haberlo recabado por escrito), calidad (al no contar con datos exactos) y responsabilidad (por la gestión de cobranza realizada por el Encargado con datos equivocados).

ALEGACIONES DEL INFRACTOR:
Entre otros argumentos señaló:
1. Que obtuvo el número de teléfono derivado de una relación juridica con una persona distinta al denunciante. [Más adelante manifestó que podía haberlo obtenido de una fuente de acceso público y por tal razón no requería del consentimiento del titular].
2. Que el denunciante no puede modificar los datos que el Infractor tenía registrados bajo el nombre de otro titular en su base de datos, al no ser el titular de los mismos.
3. Que en ningún momento se presentó una solicitud de rectificación o cancelación de datos personales que cumpliera lo dispuesto por la ley por parte del titular.
4. Que al haber sido los datos proporcionados directamente por el titular se consideraron exactos y verídicos.
5. Que tiene celebrado contrato con el Encargado (de cobranza) y que le solicitó suspendiera las gestiones de cobranza.
6. Que no cuenta con un procedimiento para hacer efectivas las rectificaciones y cancelaciones con terceros que tratan datos personales al no haber sido necesario hasta el momento.

RESOLUCIÓN:
(i) El IFAI consideró como una conducta de gravedad media el incumplimiento por parte del Infractor a los principios de consentimiento, calidad y responsabilidad, que causó molestias en el titular de datos personales, al recibir llamadas telefónicas innecesarias en su domicilio, a través de las cuales se hacían gestiones de cobranza cuando no existían constancias de las que se desprendiera que él era un deudor moroso del Infractor.
(ii) Asimismo consideró como una conducta de gravedad media el que el Infractor mantuviera datos inexactos del Titular y no efectuara la rectificación o cancelación de los mismos, no obstante que resultaba legalmente procedente.
(iii) Calificó como una conducta de gravedad alta el que el infractor haya obstruido los actos de verificación de la autoridad, al no proporcionar la información y documentación que le fue requerida y al no haber proporcionado los documentos mediante los cuales el titular ejerció sus derechos de rectificación y cancelación.
(iv) Finalmente, la conducta consistente en que el Infractor continuó con el uso ilegítimo de los datos personales del Titular a pesar de que éste le solicitó que fueran rectificados y cancelados, se consideró de gravedad alta por la afectación que con ello causó al titular.

SANCIÓN: $9’848,140.00.
Desconocemos si el Infractor impugnó la resolución del IFAI.

CASO OPERADORA OCEÁNICA INTERNACIONAL, S.A. DE C.V. (AGOSTO, 2013)

SÍNTESIS EJECUTIVA

INFRACTOR: Operadora Oceánica Internacional, S.A. de C.V.

SECTOR: Salud

AUTORIDAD: IFAI

ANTECEDENTES:
l. El 23 de mayo de 2011 el IFAI requirió al Infractor rindiera un informe relacionado con presuntas violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley”) derivadas de una nota periodística de fecha 18 de mayo de 2011 en la que se publicaron un conjunto de datos personales correspondientes a una persona identificada que presuntamente fue paciente del Infractor.
II. El 12 de julio de 2011, al no recibir respuesta del requerimiento formulado, el IFAI emitió un segundo requerimiento de información que tampoco fue contestado por el Infractor.
III. El 5 de septiembre de 2011, el IFAI inició el procedimiento de verificación a Grupo Oceánica y/o Operadora Oceánica Internacional, S.A. de C.V.
IV. IFAI realizó una visita de verificación en dos domicilios diferentes. En uno de ellos, no se atendió la visita por no encontrarse el representante legal y en el otro se señaló que no era el domicilio. El IFAI ordenó una nueva visita de verificación al primer domicilio, teniendo el mismo resultado.
IV. Consecuentemente, el IFAI ordenó iniciar procedimiento de imposición de sanción.
V. El Infractor inició juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa, dictándose una sentencia el 8 de abril de 2013 que permitió continuara el procedimiento de imposición de sanción.

PUNTOS CONTROVERTIDOS:
• Si el Infractor obstaculizó a la autoridad.

ALEGACIONES:

• El Infractor no compareció al procedimiento de imposición de sanción.

RESOLUCIÓN:
El Infractor impidió el ejercicio de las atribuciones legales conferidas a la autoridad verificadora previstas en el artículo 39, fracción 1, de la Ley, obstruyendo las visitas domiciliarias que el Pleno del IFAI había ordenado efectuar para vigilar y verificar el cumplimiento de las disposiciones de la Ley de la materia.

SANCIÓN: $2,493,200.00.
Desconocemos si el Infractor impugnó la resolución del IFAI.