La protección de datos personales en la era de los leaks

Noticias

Por José Soto Galindo

La protección de datos personales en la era de los leaks. El portal Filtraciones Digitales quiere que cualquier persona con información sobre una vulneración tenga la posibilidad de alertar sobre el problema.


El concepto leaks en la era digital, que refiere a las filtraciones de información para su exposición pública, ha llegado al terreno de la protección de los datos personales. Filtraciones Digitales, un emprendimiento mexicano auspiciado por la Associated Whistleblowing Press (AWP), quiere que cualquier persona con información sobre una vulneración que ponga en riesgo los datos de carácter personal tenga la posibilidad de alertar sobre el problema a través de esta plataforma. “Queremos contribuir a la protección de la privacidad de las personas”, dijo Cédric Laurant, abogado experto en protección de datos personales y responsable de Filtraciones Digitales.

Pongamos tres casos relevantes ocurridos recientemente:

1. Información confidencial de clientes de Banorte estuvo expuesta por un tiempo no precisado entre finales del 2014 y principios del 2015.

2. La base de datos de los clientes de Liverpool fue vulnerada por un ataque cibernético según información difundida por la empresa a sus accionistas en diciembre del 2014.

3. Un error de configuración en el servicio de correo electrónico de Prodigy en el 2013 colocó en Google el contenido de comunicaciones privadas de sus usuarios.

En ningún caso estas compañías informaron a sus usuarios del peligro que representó la vulneración. Banorte fue un caso ejemplar: la firma telefoneó sólo a sus clientes más acaudalados para advertirles sobre el problema y nunca precisó si la vulneración ocurrió a toda su base de clientes (la firma es la cuarta entidad financiera de México por el valor de activos que administra, de casi 900,000 millones de pesos). Liverpool notificó sobre la vulneración sólo a sus inversionistas en la Bolsa Mexicana de Valores (BMV); Prodigy de América Móvil guardó silencio.

La regulación mexicana es vanguardista en la materia: el artículo 20 obliga a los responsables del tratamiento de los datos de carácter personal a informar a los titulares, la persona física a quien corresponden los datos personales, de vulneraciones a la seguridad ocurridas “en cualquier fase del tratamiento”. Para ponerlo en palabras llanas: quienes administran datos personales deben informar a las personas relacionadas con esos datos cuando existe alguna afectación que pueda poner en riesgo su información. Ni Banorte ni Liverpool ni Prodigy, para seguir con el ejemplo, cumplieron con la normativa. La lista podría ser enorme.

De acuerdo con Cédric Laurant, de Filtraciones Digitales, debe producirse un cambio en la mentalidad de quienes representan a las corporaciones para que informen sin miedo sobre las vulneraciones a la privacidad de sus clientes y consumidores. La vulneración de base de datos personales afecta más a los titulares de esa información que a las compañías que la resguardan. “La ley en México obliga a las empresas a notificar. En California, donde se creó la primera regulación que exige esto, al principio las empresas se negaron a hacerlo, a notificar, porque pensaban que eso significaría informar que su seguridad estaba mal o que los clientes se cambiarían de compañía. ‘Nos van a denunciar o van a contratar servicios de otra empresa’. Pero es importante que informen, por la seguridad de sus clientes”, dijo Laurant. Se trata, en sus propias palabras, de evitar “la política del avestruz, de no decir nada y dejar pasar”.

Filtraciones Digitales busca que empleados de las compañías, contratistas y también los propios clientes y consumidores puedan compartir documentos sobre las vulneraciones no notificadas por las corporaciones. “No sólo es el caso del hacker que entra a la base de datos de una empresa; también puede ser una vulneración dentro de la propia empresa, porque no implementa la seguridad adecuada”, dijo Laurant.

Las resoluciones de la autoridad

Desde el 22 de diciembre del 2012, cuando entró en vigor el reglamento de la ley de protección de datos personales, el INAI (antes IFAI), ha emitido 38 resoluciones con sanción que suman un total de 139.6 millones de pesos. Casi 4 de cada diez sanciones (34.2%) han sido contra entidades del sector financiero, principalmente por la entrega indebida de datos personales a terceros con motivos de cobranza.

Banorte y Banamex son dos casos a destacar. El Grupo Financiero Banorte tiene el primer lugar en sanciones por monto económico, con un total de 36 millones de pesos; la mayor sanción se resolvió en junio del 2015, por el tratamiento injustificado de datos sensibles de una persona (el estado de salud, concretamente). No existe todavía resolución de las autoridades sobre la exposición de información de sus clientes ocurrida entre el 2014 y el 2015. De acuerdo con Jaime González Aguadé, presidente del regulador financiero citado por Jeanette Leyva en El Financiero el 28 de junio del 2015, el caso de Banorte “es grave si es información confidencial que no debe estar en manos de nadie más que de los dueños que son los usuarios y del banco para sus operaciones”.

El Grupo Financiero Banamex es ejemplar por otro motivo: ha impugnado las tres resoluciones del INAI en su contra ante el Tribunal Federal de Justicia Fiscal y Administrativa: contra su división de banca múltiple, Banamex, por 16.1 millones de pesos (expediente PS 0005/12, votado el 7 de agosto del 2013); seguros, por 3.9 millones de pesos (expediente PS 0004/12, votado el 14 de agosto del 2013), y tarjetas, por 9.8 millones de pesos (expediente PS 0007/13, votado el 28 de agosto del 2013). En total, acumula casi 30 millones de pesos en sanciones.

“Hasta ahora para ninguno de casos Banorte, Teleperformance y Liverpool han dado información. A mí y a varios colegas que estábamos en una reunión [con autoridades en la materia] el 8 de febrero nos dijeron que la investigación a Teleperformance la hicieron, que no había ninguna violación de la ley. Pero no hubo comentario ni comunicado de prensa de parte del INAI. Un año después tampoco tenemos información sobre Liverpool. No han comunicado nada. Queremos que [las autoridades] hagan su trabajo”, dijo Laurant. En Estados Unidos, una filtración de datos de los clientes de AT&T, en la que pudo estar involucrada la filial mexicana de Teleperformance, motivó a las autoridades a sancionar a la firma de telecomunicaciones con 25 millones de dólares en abril del 2015; AT&T anunció que realizaría una investigación de sus procesos y contratistas.

La era de los leaks

Filtraciones Digitales se suma a una tendencia de plataformas en línea dedicadas a difundir informaciones producto de filtraciones: desde el decano en la materia, WikiLeaks de Julian Assange hasta el local MéxicoLeaks o el más joven de la camada, Offshore Leaks, donde el Consorcio Internacional de Periodistas de Investigación (ICIJ, por su sigla en inglés) colgó en la red los 2.5 millones de documentos que conforman los llamados Panama Papers. El espíritu de Filtraciones Digitales es el cumplimiento de las empresas con la legislación de datos personales en México. “No somos un proyecto de portal de denuncia tipo MéxicoLeaks. Nos enfocamos particularmente en personas que podrían tener información sobre una vulneración que ocurrió en una empresa o en una persona moral o física y que saben que fue grave, fue seria, y lo pueden comprobar”, explió Laurant.

Puso como ejemplo la base de datos con el listado nominal del Instituto Nacional Electoral (INE) colgada en la nube de Amazon. En este caso, dijo Laurant, no se trató de una vulneración ni de un hackeo, como alegó el partido Movimiento Ciudadano, responsable de poner a disposición pública los datos personales de millones de votantes mexicanos. Se trató de un mal procedimiento interno, que puede poner en riesgo la privacidad de las personas. Las informaciones que quiere atraer el portal Filtraciones Digitales “pueden ser sobre la negligencia de un banco o de un partido político, que pueden favorecer al secuestro” u otros ilícitos.

México está construyendo su propia arquitectura jurídica sobre la privacidad de las personas. Ya existen la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su reglamento y el Congreso de la Unión trabaja en una ley que incluya también a las entidades de gobierno en la protección. “La privacidad, sin duda alguna, representa un cambio cultural en nuestro país, el cual requiere de tiempo, participación, inversión, esfuerzos y exibilidad para aceptar esta nueva cultura que hasta la aparición de la Ley, era ignorada”, escribió la consultora Deloitte en su segunda edición del estudio Termómetro: Privacidad y Protección de Datos en México 2014. En ese documento, documentó que sólo 6 de cada 10 corporaciones conocen “las sanciones penales y económicas que impone la autoridad en los casos de tratamiento indebido o fuga de información de datos personales”.

La instauración de ese cambio cultural está comenzando. Filtraciones Digitales, de Cédric Laurant y la Associated Whistleblowing Press, es una contribución más para que el cambio se produzca con mayor rapidez. De acuerdo con Deloitte, existe “un déficit en el entrenamiento al interior de las organizaciones para el cumplimiento, dado que únicamente un 7% menciona haber realizado un entrenamiento sobre el tema”. En su Termómetro, la firma destacó que entre los beneficios que perciben los ejecutivos de corporaciones de cumplir con la ley se encuentran acrecentar la confianza de los clientes, mejora en la calidad y precisión de la información y reducción de la violación de los datos. Para Laurant, “es importante que las personas se enteren [sobre las medidas para la protección de sus datos personales] y es importante que las empresas actúen con responsabilidad”.

RESOLUCIONES CON SANCIÓN

La obligación legal para los particulares de proteger los datos personales en México es relativamente nueva. La ley en la materia se publicó el 5 de julio del 2010 y su reglamento entró en vigor el 22 de diciembre del 2011.

FECHA DE VOTACIÓN EXPEDIENTE EMPRESA SANCIONADA SANCIÓN (EN PESOS) INDUSTRIA
9/09/2015 PS 0008/15 Comunicaciones Nextel de México, S.A. de C.V. 8,483,560 Telecomunicaciones
8/07/2015 PS 0005/15 Instituto Internacional Libertad, A.C. 407,440 Educación
3/06/2015 PS 0016/14 Banco Mercantil del Norte, S.A., Institución de Banca Múltiple, Grupo Financiero Banorte 32,006,691 Financiero
16/12/2014 PS 0009/14 Alsa 21, S.A. de C.V., o Serba 21, S.A. de C.V. (Pronto Préstamo) 672,900 Financiero
26/11/2014 PS 0008/14 Corporativo Especializado en Recuperación de Cartera, S.A. de C.V. (Integra Capital) 2,169,460 Financiero
9/10/2014 PS 0005/14 IMM Internet Media México, S. de R.L. de C.V. (IMS) 4,079,880 Comunicaciones
9/10/2014 PS 0006/14 Buholegal, S. de R.L. de C.V. 34,582 Servicios jurídicos
4/09/2014 PS 0004/14 Alsa 21, S.A. de C.V., o Serba 21, S.A. de C.V. (Pronto Préstamo) 485,700 Financiero
14/08/2014 PS 0002/14 Real Estate Sellers, S.A.P.I. de C.V., SOFOM E.N.R. 1,371,260 Financiero
24/06/2014 PS 0001/14 Creaciones Textiles de Mérida, S.A. de C.V. 129,520 Vestido
11/06/2014 PS 0026/13 Radiomóvil Dipsa, S.A. de C.V. (Telcel) 10,264,460 Telecomunicaciones
12/05/2014 PS 0027/13 Taboazas, S.A. de C.V. 485,700 Muebles
23/04/2014 PS 0022/13 BBVA Bancomer S.A., Institución de Banca Múltiple, Grupo Financiero BBVA Bancomer 6,637,900 Financiero
23/04/2014 PS 0023/13 WTC Sports Clinic Ambulatorias, S.A. de C.V. 809,500 Salud
9/04/2014 PS 0021/13 Radiomóvil Dipsa, S.A. de C.V. (Telcel) 9,940,660 Telecomunicaciones
2/04/2014 PS 0024/13 Hospital de Traumatología y Especialidades Médicas Polanco, S.A. de C.V. 0* Salud
2/04/2014 PS 0020/13 Señalética y Publicidad, S.A. de C.V. 582,840 Comunicaciones
2/04/2014 PS 0016/13 Buholegal, S. de R.L. de C.V. 20,399 Servicios jurídicos
26/03/2014 PS 0025/13 Obses de México, S.A. de C.V. 1,295,200 Seguridad
5/03/2014 PS 0018/13 Afore XXI Banorte, S.A. de C.V. 2,804,850 Financiero
26/02/2014 PS 0017/13 Señalética y Publicidad, S.A. de C.V. 323,800 Comunicaciones
4/02/2014 PS 0015/13 Asterisco Auto, S.A. de C.V. 417,611 Transporte y logística
11/12/2013 PS 0019/13 UIC, Universidad Intercontinental, A.C. 1,295,200 Educación
30/10/2013 PS 0013/13 Afore XXI Banorte, S.A. de C.V 1,246,600 Financiero
9/10/2013 PS 0010/13 Solufinte, S. de R.L. de C.V. 542,271 Financiero
25/09/2013 PS 0011/13 UIC, Universidad Intercontinental, A.C. 3,428,150 Educación
25/09/2013 PS 0008/13 UIC, Universidad Intercontinental, A.C. 5,298,050 Educación
25/09/2013 PS 0009/13 Radiomóvil Dipsa, S.A. de C.V. (Telcel) 6,264,165 Telecomunicaciones
28/08/2013 PS 0007/13 Tarjetas Banamex, S.A. de C.V., SOFOM, E.R. 9,848,140** Financiero
21/08/2013 PS 0001/12 Operadora Oceánica Internacional, S.A. de C.V. 2,493,200 Salud
14/08/2013 PS 0004/12 Seguros Banamex, S.A. de C.V. 3,989,120** Financiero
14/08/2013 PS 0003/12 Revoware, S.A. de C.V. 56,097 Financiero
7/08/2013 PS 0005/12 Banco Nacional de México, S.A., integrante del Grupo Financiero Banamex 16,155,936** Financiero
10/07/2013 PS 0002/12 Centro de Educación Emocional y Servicios Psicológicos VivirLibre.org, A.C. 82,587 Salud y educación
29/05/2013 PS 0001/13 Médico particular (no se reveló el nombre) 41,874 Salud
14/11/2012 PS 0002/12 Pharma Plus, S.A. de C.V., anteriormente Grupo San Pablo 2,000,045 Salud
2/05/2012 PS 0005/12 Caja Popular Cristo Rey S.C. de R.L. de C.V. 2,181,550 Financiero
6/03/2012 PS 0004/12 Sport City, S.A. de C.V. nombre comercial Sport City 1,246,600 Salud
Total 139,593,498

* La autoridad determinó un proceso sancionatorio, que sólo representó un apercibimiento.
** Las tres sanciones relacionadas con el Grupo Financiero Banamex se encuentran impugnadas ante el Tribunal Federal de Justicia Fiscal y Administrativa.

FUENTE: INAI

vía El Economista

Deja tus comentarios

Lost Password

¡Síguenos!