Comentario emitido por: Nombre de usuario no publico

Aclaraciones a la respuesta dada por la Comisión Nacional Bancaria y de Valores al comentario con número de referencia B000182717, realizado el 1 de agosto de 2018. En la respuesta proporcionada por la Comisión Nacional Bancaria y de Valores (CNBV), dicha autoridad manifiesta lo siguiente: “1. Toda vez que, durante el periodo electoral del 2018, el INE no estuvo en posibilidad de brindar a las instituciones de crédito el servicio de pruebas para implementar los mecanismos tendientes a verificar la identidad de sus clientes porque los recursos de dicho instituto se estuvieron utilizando para atender el proceso electoral, se está proponiendo una prórroga de cuatro meses para las instituciones de crédito estén en aptitud de cumplir con las obligaciones en materia de identificación de sus clientes”; de la respuesta proporcionada se desprende que la CNBV cuenta con los canales institucionales de comunicación pertinentes, que le permiten afirmar que el Instituto Nacional Electoral (INE) careció de los recursos suficientes para brindar a los bancos el servicio de pruebas para implementar mecanismos tendientes a verificar la identidad de sus clientes, ya que de no contar con dichos medios para corroborar sus afirmaciones, en el caso concreto que nos ocupa el argumento contenido en la respuesta al comentario consistente en que el INE no tuvo la solvencia necesaria para atender a los bancos por ser el 2018 un año electoral, estaríamos ante un error de la CNBV, en el mejor de los casos, o bien una falsedad. En la siguiente liga se puede consultar el oficio número INE/DERFE/STN/T/1331/2018, de fecha 21 de agosto de 2018, mediante el cual el INE da contestación a una solicitud vía transparencia, en la que se da cuenta de que dicho instituto prestó el servicio de pruebas para la verificación de datos contenidos en la credencial para votar, desde el 01 de enero de 2018 a la fecha del oficio, al menos a 11 (once) instituciones bancarias (https://drive.google.com/file/d/18_XMkaadVnA3QZ5nu9KF_HVV9oxX6FB_/view?usp=sharing), lo cual contradice el dicho de la CNBV en la respuesta al comentario con número de referencia B000182717. Ahora bien, más allá de que resulte preocupante el error o la falsedad cometida por la CNBV en su respuesta, es también inquietante que dicha comisión pretenda retrasar la entrada en vigor de una disposición regulatoria que busca reducir el robo y la suplantación de identidad de los clientes de las instituciones bancarias a través de engaños, pues el INE atendió a bancos que seguramente están interesados en la seguridad de sus clientes, más allá de los esfuerzos demostrados por la CNBV en ese rubro.

Fecha: 23/08/2018 13:10:01

Comentario emitido por: Nombre de usuario no publico

Artículo Segundo, modificaciones al artículo Tercero transitorio, parte final primer párrafo. Al respecto la Comisión Nacional Bancaria y de Valores (CNBV) pretende modificar los plazos de devolución de los montos correspondientes en caso de reclamación, una vez entrada en vigor la Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito (excepciones a acciones de verificación de identidad), que establecía un plazo de 48 (cuarenta y ocho) horas pasando al plazo de 20 (veinte) días después de presentada la reclamación. Resulta en sí mismo incomprensible que en el supuesto de entrada en vigor de la presente Resolución con la verificación de los datos de la Identificación Oficial y la Clave Única de Registro de Población (CURP), con un sistema interno entre las Instituciones de Crédito, incluso con la colaboración con “otras autoridades” se resuelva hasta dentro del plazo de veinte días una devolución de los montos correspondientes a dichas reclamaciones. Esta modificación presupone, no la verificación de la identificación de las personas, sino un beneficio, implícito para demorar la devolución de montos a los clientes, preponderando el actuar tardío de las Instituciones de Crédito con respecto de los clientes, así mismo tampoco se pone de manifiesto ningún beneficio económico, en lo que concierne a la esfera patrimonial del Cliente, en este orden de ideas no justifican de forma alguna la ampliación del plazo, menos aún de que se trate de que el procedimiento de verificación la identidad presuponga a las Instituciones de Crédito la inversión de mayor tiempo. Todo lo anterior en contravención a lo estipulado por los artículos 7, fracción I y 8, fracción VI de la Ley General de Mejora Regulatoria.

Fecha: 22/08/2018 14:57:52

Comentario emitido por: Nombre de usuario no publico

Artículo 51 Bis 2, fracción III. En la propuesta de modificación del artículo 51 Bis 2, fracción III, se pretende establecer que las instituciones de crédito puedan acudir a “verificar que las huellas dactilares de la persona coinciden con los registros de alguna autoridad mexicana, siempre que estos registros cumplan al menos con los requerimientos del Anexo 71 de las presentes disposiciones”. Al respecto, cabe hacer mención que de conformidad con el sistema jurídico mexicano, en específico con la Ley General de Población, capítulo VI Registro Nacional de Población, artículo 85, es la Secretaria de Gobernación quien tiene a su cargo el registro y la acreditación de la identidad de todas las personas residentes en el país, por lo que no se podría permitir a los bancos, o a cualquier otra institución pública o privada, acudir a verificar la identidad de alguna persona, lo cual se logra, entre otras formas, a partir de lo estipulado en el artículo 86 de la mencionada ley, disposición que establece que el Registro Nacional de Población tiene como finalidad registrar a cada una de las personas que integran la población del país, con los datos que permitan certificar y acreditar fehacientemente su identidad. Si bien es cierto, que hay dependencias y entidades gubernamentales, tanto municipales, estatales y federales, que han implementado bases de datos que les permiten autenticar la identidad de los ciudadanos, dichas bases de datos tienen su origen y razón de ser a partir de las competencias de cada una de dichas dependencias y entidades gubernamentales, además de los servicios públicos que ofrecen y a los cuales están obligadas, no a registrar y acreditar la identidad de los ciudadanos, pues ello es competencia única y exclusivamente de la Secretaria de Gobernación, tal y como se ha mencionado. Ahora bien, es preciso destacar que la propia Ley General de Población prevé la existencia de una cédula de identidad ciudadana (Capítulo VII Registro Nacional de Ciudadanos y Cédula de Identidad Ciudadana, artículos 97 a 112), como medio de identificación nacional, documento que a la fecha no se ha implementado, no obstante ello, el Decreto que reforma y adicona diversas disposiciones a la Ley General de Población, publicado en el Diario Oficial de la Federación el 22 de julio de 1992 (http://www.dof.gob.mx/nota_detalle.php?codigo=4678146&fecha=22/07/1992), prevé en su artículo cuarto transitorio que en tanto se expida la cédula de identidad ciudadana la credencial para votar expedida por el Instituto Nacional Electoral podrá servir como medio de identidad personal. En tal virtud, si ninguna otra autoridad, que no sea la Secretaría de Gobernación está facultada para registrar y aceditar la identidad de todas las personas residentes en el país, con base en el artículo cuarto transitorio mencionado, no es posible que algún ente, ya sea público o privado, pretenda verificar la identidad de alguna persona que no sea través del Registro Nacional de Población o los registros a cargo del Instituto Nacional Electoral, por lo que permitir a las instituciones de crédito acudir con alguna autoridad mexicana a verificar huellas dactilares de sus clientes, y con ello acreditar su identidad, resulta no solo ilegal sino peligroso ya que cualquier otra autoridad que no sea la Secretaría de Gobernación y/o el Instituto Nacional Electoral poseen faclutades expresas para ello.

Fecha: 09/08/2018 11:09:15

Comentario emitido por: Nombre de usuario no publico

MIR de Impacto Moderado. ANEXO Acciones regulatorias, beneficios, costos (para numerales 9 y 10) Dentro del Anexo en cuestión la Comisión Nacional Bancaria y de Valores (CNBV) establece en el MIR de Impacto Moderado, que los impactos en los costos serían: En el Cuadro 1. Acción Regulatoria; Relativo al Artículo Segundo Transitorio primer párrafo de la Propuesta de Regulación, respecto de la aprobación de Plan de Trabajo para el desarrollo de distintos mecanismos para conformar una base de datos propia, considera la CNBV que hay cifras proporcionadas por el Instituto Nacional Electoral (INE) que sirven de base para estimar los costos de verificación de los datos contenidos en la credencial para votar representando un costo anual (para el sector bancario) de $235’200.000.00, cantidad que traducen a un ahorro para las instituciones de crédito. Al respecto, podemos observar que la propia CNBV deja de manifiesto que no es una autoridad experta para la determinación de los impactos en costos asociados, toda vez que no esgrime argumentos diversos a los precios que el INE ha establecido para el servicio de verificación de datos de la credencial para votar, sin tomar en cuenta los costos en que implicaría para las instituciones de crédito la instalación de la infraestructura que el propio INE exige para la prestación del servicio, o bien, los costos de las comunicaciones que deben establecerse en para que los bancos puedan tener acceso al servicio prestado por el INE. Todo lo anterior sin olvidar las inversiones en desarrollos de programas de cómputo, capacitación del personal involucrado, compra de equipo que permita la captura de datos biométricos (huellas dactilares) que solicita el INE, adecuaciones a los sistemas y plataformas tecnológicas de las instituciones bancarias, ello sin dejar a un lado todas las medidas, ya sean lógicas, administrativas y físicas, que deberán tomarse para el adecuado tratamiento de datos personales, materia, esta última, en la que también la CNBV deja ver su incapacidad y desconocimiento ya que en el Anexo en comento no refleja dichos impactos en costos. Aunado a lo anterior, la propia CNBV desesitma las exigencias de la regulación en la que debería ser experta, pues no contempla los costos asociados al cumplimiento de los artículos de las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito correspondientes a las exigencias técnicas que la propia autoridad reguladora de las instituciones de crédito les impone. Por lo anterior, con fundamento en el artículo 72 de la Ley General de Mejora regulatoria, se hace una atenta sugerencia a la Comisión Nacional de Mejora Regulatoria de incorporar a expertos en el análisis de la presente Manifestación de Impacto Regulatorio, ya que la CNBV no es una autoridad experta en aspectos de carácter técnico, tecnológico, de comunicaciones, de protección de datos -especialmente los biométricos-, y de seguridad de la información, ya que en sus Anexo Acciones regulatorias, beneficios, costos (para numerales 9 y 10) no contempla los impactos en costos asociados al cumplimiento de las materias mencionadas. Baste como ejemplo de lo anterior, la actividad desplegada por el INE en relación con el servicio de validación de datos de la credencial para votar, ya que dicho instituto cuenta con un la Opinión Especializada del Instituto Nacional de Transparencia y Acceso a la Información (INAI), antes Instituto Federal de Transparencia y Acceso a la Información (IFAI) de fecha 11 de febrero del 2015 de los alcances de la aplicación del Servicio de Verificación de Datos de la Credencial para Votar que garantiza el derecho a la Protección de Datos Personales de los ciudadanos, contenidos en el Padrón Electoral (véase http://www.dof.gob.mx/nota_detalle.php?codigo=5432730&fecha=12/04/2016), algo que la CNBV no ha realizado.

Fecha: 09/08/2018 09:46:17

Comentario emitido por: Nombre de usuario no publico

Artículo Segundo, modificaciones a los artículos Segundo, Cuarto, Quinto y Sexto transitorios. Al respecto el Proyecto de Modificación puntualiza en el Artículo Segundo Transitorio que para tener acceso a la prorroga en el cumplimiento de los artículos 51 Bis, 51 Bis 1 y 51 Bis 4, las instituciones de crédito deberán presentar un “plan de trabajo” que especifique las acciones que se seguirán para desarrollar los mecanismos a que se refiere el artículo 51 Bis 3, plan que será aprobado por la Comisión Nacional Bancaria y de Valores (CNBV) en los diez días hábiles siguientes a la presentación, si no hay manifestación al respecto (sin ser clara de qué clase o tipo de manifestaciones), y deberá referirse a: (i) las actividades concretas a desarrollarse; y (ii) las fechas de realización de cada una de las acciones para el desarrollo de tecnologías que permitan la confirmación de la identidad de sus empleados y clientes. En este caso, es de destacarse que el artículo 51 Bis 3 prevé no un “plan de trabajo”, sino la presentación de: “I. La descripción detallada del mecanismo, el cual deberá ser aprobado por su Consejo (el artículo se refiere al consejo de administración de la institución), así como de la infraestructura tecnológica empleada en cada parte del proceso; y II. La descripción de los medios necesarios para la transmisión y resguardo de la información que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación, así como su adecuada conservación y disponibilidad.” En este sentido vemos con preocupación que de las instituciones de crédito deban presentar un simple “plan de trabajo” con actividades y fechas de conformidad con la propuesta de modificación, cuando los mecanismos a que se refiere el artículo 51 Bis 3, se refieren a la captura, tratamiento y conservación de datos biométricos de los clientes de dichas instituciones, tan importante resulta dicha actividad, que el propio artículo en comento estipula que el mecanismo que proponga la institución bancaria deberá estar aprobado por su consejo de administración, lo anterior a sabiendas de la trascendencia que tendrá para la misma institución la implementación y puesta en marcha de un mecanismo para conformar una base de datos de huellas dactilares o de cualquier otro dato biométrico. Es probable que el “plan de trabajo” para tener acceso a la prórroga no excluya el cumplimiento de lo dispuesto en el artículo 51 Bis 3 (que dicho sea de paso su contenido no es alterado en la propuesta de modificación), sin embargo la disposición del Artículo Segundo Transitorio no es clara y permite un sesgo de preocupación en relación con la seriedad que la misma CNBV le exige a sus regulados para con los mecanismos para conformar una base de datos de huellas dactilares o de cualquier otro dato biométrico. Aunado a lo anterior, las modificaciones propuestas podrían contraponerse a lo establecido por las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito mediante la cual se establece en los Artículos 318, 326, 327 y demás relativos, que las Instituciones contarán con un “Informe” previo aviso con 20 días hábiles a la fecha de contratación de servicios o comisiones a la CNBV esto para la administración de una base de datos y sistemas informáticos, en donde especificarán: a) los procesos operativos o de administración de bases de datos y sistemas informáticos de los servicios o comisiones a contratar, b) los criterios y procedimientos para seleccionar al tercero, orientados a evaluar la experiencia, capacidad técnica y recursos humanos del tercero que prestará el servicio con niveles adecuados de desempeño confiabilidad y seguridad, c) un informe técnico en el caso de la utilización de infraestructura tecnológica o de telecomunicaciones, d) la forma de dar cumplimiento al Anexo 52 (aspectos operativos, de seguridad y de auditoria y supervisión) de las Referidas Disposiciones, e) medidas de implementación de criterios que puedan afectar cualitativa o cuantitativamente las Operaciones de la Institución por contingencias, controles internos, requerimientos regulatorios, la suspensión del servicio, participación en el sistema de pagos y la vulnerabilidad de la información de los clientes, f) protección de datos personales por el tercero comisionista, g) manifestación de ubicación de las Oficinas de las Instituciones en territorio mexicano, h) suscrito por subdirector general e; i) la documentación que acredite los anteriores incisos. Es decir pasamos de un Informe con previo Aviso con veinte días hábiles a la CNBV de por lo menos nueve requerimientos de forma y fondo, a un “Plan de Trabajo” aprobado por la CNBV en diez días hábiles con sólo dos requerimientos de fondo, omitiendo en todo caso aspectos fundamentales como lo son un informe técnico, el incluso el desuso de los lineamientos mínimos de operación y seguridad para la contratación de servicios de apoyo tecnológico del Anexo 52 vigente, (que resulta ser inaplicable por no recaer en la figura de Informe), la protección de datos personales y la vulnerabilidad de la información, por mencionar algunos.

Fecha: 06/08/2018 09:57:56

Comentario emitido por: Nombre de usuario no publico

Artículo Segundo, modificaciones al artículo Segundo transitorio, último párrafo. En la prórroga que prevé la propuesta de modificaciones vemos cierto desinterés y desidia por parte de la Comisión Nacional Bancaria y de Valores (CNBV), ya que soslaya el problema del robo y suplantación de identidad en el sector financiero que padece México. Baste para ello, hacer mención de los datos que la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) publica regularmente con la estadística y el impacto económico que dicho problema genera. Las últimas cifras publicadas por la CONDUSEF (https://www.condusef.gob.mx/gbmx/?p=estadisticas), muestran un crecimiento anual preocupante en el número total de casos por robo de identidad: En el año 2013 con 14,612 casos totales; en el año 2014 con 21,365 casos totales que corresponde al 46.22% en incremento porcentual respecto del 2013; en el año 2015 con 24,738 casos totales que corresponde al 15.79% en incremento porcentual respecto del 2014; en el año 2016 con 16,085 casos totales que corresponde a menos 34.98% en decremento porcentual respecto del 2015; y el año 2017 con 19,004 casos totales que corresponde al 18.15% incremento porcentual respecto del 2016. Si bien es cierto, los casos totales que se han presentado en 2016 y 2017 no igualan al número de casos ocurridos en 2015, tan solo en primer trimestre de 2018, la CONDUSEF ha reportado 18,748 casos, con lo que, de seguir la tendencia, se cerraría el año con más de 70,000 quejas presentadas ante dicha dependencia solo por robo de identidad. En este tenor, es de llamar la atención, que la CNBV busque retrasar la entrada en vigor de la obligación de las instituciones bancarias de verificar los datos de la credencial para votar ante el Instituto Nacional Electoral hasta el próximo 1 de enero de 2019, cuando para el cumplimiento de esa obligación se otorgaron 12 meses, precisamente para que las instituciones bancarias contarán con el tiempo necesario para la implementación y puesta en marcha de lo que se requiriera, por lo que prorroga propuesta no toma en cuenta el daño a los clientes y usuarios de los servicios financieros en años recientes y, particularmente, en el primer trimestre de este año. Se considera necesario que se tomen en cuenta lo estipulado por los artículos 7, fracción I y 8, fracción VI de la Ley General de Mejora Regulatoria, pues los beneficios (ahorros) presentados por la CNBV para justificar los cambios que pretenden, solo benefician a los sujetos regulados (en este caso los bancos), pero de ninguna manera mejoran la calidad de los servicios que reciben los usuarios de los servicios bancarios, ni su seguridad patrimonial o la de sus datos personales.

Fecha: 01/08/2018 14:56:59

Comentario emitido por: Nombre de usuario no publico

Artículo Segundo, modificaciones al artículo Segundo transitorio. Con las modificaciones pretendidas al artículo Segundo transitorio, se estaría otorgando una prorroga para el cumplimiento a lo establecido en los artículos 51 Bis, 51 Bis 1 y 51 Bis 4, siempre y cuando se presente a la Comisión Nacional Bancaria y de Valores un plan de trabajo en el que se especifiquen las acciones que seguirán las instituciones de crédito para desarrollar los mecanismos a que se refiere el artículo 51 Bis 3. Ahora bien, el artículo 51 Bis 3 prevé el uso de mecanismos distintos a los señalados en el Artículo 51 Bis 2 para conformar una base de datos de huellas dactilares o de cualquier otro dato biométrico, siempre que las instituciones bancarias acrediten que la tecnología utilizada permite confirmar la identidad de la persona física ante el Instituto Nacional Electoral o ante alguna potra autoridad emisora de identificaciones oficiales. En este sentido, se considera necesario se revisen las condiciones para la prorroga, toda vez que la misma, si es tomada por las instituciones bancarias ante la inminente entrada en vigor de las disposiciones (29 de agosto próximo, de conformidad con la regulación vigente, o 1º de enero de 2019 de acuerdo a lo pretendido el proyecto de modificaciones), dicha prorroga implicará un mayor gasto para las instituciones crediticias ya que deberán contemplar la creación de una base de datos de huellas dactilares o de cualquier otro dato biométrico, lo cual representa erogaciones por los conceptos de infraestructura, desarrollo de programas de cómputo, licenciamiento de programas de cómputo, operación y costos indirectos, y también, deberán contemplar las erogaciones que generaría el verificar la identidad de la persona con el Instituto Nacional Electoral o cualquier autoridad emisora de identificaciones oficiales por los mismos conceptos anteriormente señalados.

Fecha: 27/07/2018 08:58:08

Comentario emitido por: Nombre de usuario no publico

Artículo Primero, modificaciones al artículo 51 Bis 2, fracción III. En el proyecto de fracción del artículo, se prevé que las instituciones bancarias verifiquen que la huellas dactilares de la persona coincidan con los registros de alguna autoridad mexicana, siempre que dichos registros cumplan con los requerimientos del Anexo 71 de las disposiciones de carácter general aplicables a las instituciones de crédito. En este tenor es importante recordar que existen otras regulaciones aplicables, al menos a autoridades federales, que fijan los requisitos de captura de datos biométricos, tales como (y) el Acuerdo por el cual se dan a conocer el Procedimiento Técnico de Captura de Información y el Procedimiento Técnico de Intercambio de Información, publicado en el Diario Oficial de la Federación el 23 de noviembre de 2009; y (z) las Disposiciones Generales que establecen los mecanismos de identificación digital y control de acceso que deberán observar las dependencias y entidades de la Administración Pública Federal y las empresas productivas del Estado, publicadas en el Diario Oficial de la Federación el 10 de mayo de 2018. Por lo anterior, se sugiere considerar si el proyecto de modificaciones no soslaya las disposiciones ya existentes y que le son aplicables a “algunas autoridades mexicanas” y, por lo tanto, revisar sino sobre regula el rubro de captura de datos biométricos para las dependencias federales, sin olvidar que éstas no necesariamente se adecuan a un estándar bancario en tanto son autoridad.

Fecha: 26/07/2018 14:36:29

Comentario emitido por: Nombre de usuario no publico

En el segundo párrafo del Anexo 71, se señala que se registrar, en primer lugar, las diez huellas dactilares de los empleados, directivos y funcionarios de las Instituciones que estarán a cargo de registrar las huellas de los clientes. En segundo lugar,los referidos empleados, directivos y funcionarios referidos, procederán a capturar al menos, seis huellas dactilares de los clientes de la Institución..... ¿Cual es la función de recabar las huellas de los empleados? sobre todo 10 huellas, si es para probar el sistema de autenticación con el INE es excesivo. Ahora bien porque se requiere recabar 6 huellas de los clientes si en el acuerdo firmado entre las Instituciones Financieras y el INE para la prestación del servicio de verificación de la credencial y la huella dactilar con la finalidad de autenticar al solicitante se señala que únicamente se va a verificar la huella de cada dedo índice. Es importante que el número de huellas se homologue ya que el INE obtuvo la opinión del INAI de que se verifique únicamente las huellas de los dedos índice con la finalidad de autenticar al cliente, y el INAI consideró que no se violaría de esa forma el principio de proporcionalidad, de recabarse un número mayor de huellas, se estaría violando el principio de proporcionalidad señalado, por lo que las Instituciones podrían ser sujetas a sanciones por parte del INAI de los principios de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, adicional a que el almacenamiento de huellas que no podrán validarse (considerando lo señalado en el acuerdo mencionado) es costoso y repercute en el costo de los servicios al público en general. Si bien las Instituciones Financieras deben tener un método alternativo para la identificación del cliente, al no poder validar las huellas distintas del dedo índice con el INE, estas no serían un método alternativo por lo que deben desarrollarse otros métodos que impliquen menor riesgo a las Instituciones y utilizar únicamente aquellos datos personales que son estrictamente necesarios y que no violan la privacidad de las personas.

Fecha: 16/07/2018 11:13:51