¿Qué esperar del INAI en este Día Internacional de Protección de Datos Personales?

SonTusDatos investigó y dio seguimiento a distintos temas de competencia del INAI durante el 2016. Instamos al Instituto a pronunciarse al respecto.

Cartel del evento: Día Internacional de Protección de Datos Personales 2017, organizado por el INAI y el InfoDF. Tomado del perfil de FB del INAI.

El próximo 28 de enero se conmemora el Día Internacional de Protección de Datos Personales y, desde SonTusDatos, consideramos que no hay mejor momento para que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) se pronuncie sobre ciertos asuntos que ameritan su pronta intervención.

A continuación destacamos algunos de los temas a los que les hemos dado seguimiento el año pasado y sobre los que creemos hace falta que el INAI se pronuncie.

1. El incumplimiento de las empresas mexicanas con su obligación de notificar vulneraciones de datos personales a sus titulares.

La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) establece que las empresas responsables del tratamiento de datos personales están obligadas a informar a sus usuarios/as en caso de que sus datos personales sean vulnerados. Sin embargo, a través de la realización de nuestra reciente Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado, descubrimos que las empresas no cumplen con dicha obligación, careciendo así de un claro compromiso con la seguridad y transparencia en el tratamiento de los datos que manejan.

  • Hacemos un llamado para que el INAI emita lineamientos sobre la manera en la cual los responsables de tratamiento de datos personales deben notificar las vulneraciones de datos personales a sus titulares.

2. La existencia de un mercado negro que trafica con los datos personales de las y los usuarios de los servicios de telecomunicaciones en el país.

En nuestro “Estudio sobre el sector de telecomunicaciones en México” evidenciamos la existencia de un mercado negro en donde se ofrecen servicios ilegales de intervención activa de comunicaciones privadas y señalamos que, aún cuando probablemente esto se realiza sin el conocimiento de las empresas de telefonía móvil, estos servicios se llevan a cabo utilizando la propia infraestructura de los operadores. Esto es posible, entre otras cosas, debido a la intermediación de empleados/as corruptos y por la falta de implementar las medidas de seguridad adecuadas por parte de las empresas de telecomunicaciones en el tratamiento de los datos de sus usuarios/as.

  • Llamamos al INAI a asegurarse de que las empresas de telecomunicaciones en el país cumplen cabalmente con la normatividad en la materia y a asegurarse de que adopten las medidas de seguridad adecuadas para impedir cualquier acceso o uso no autorizado a sus bases de datos.

3. Los millones de pesos en multas que han evadido pagar diversas empresas por mal uso de datos personales.

Si bien las multas que ha impuesto el INAI por violaciones a la LFPDPPP en los últimos cuatro años ascienden a 263 millones de pesos, después de realizar diversas solicitudes de acceso a la información descubrimos que el INAI desconoce quiénes han pagado sus multas y omite revelar los millones que nunca se pagarán – ya sea porque fueron anuladas debido a errores procedimentales o porque están bajo juicios de nulidad.

  • Instamos al INAI no sólo a vigilar el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, sino también a asegurarse de que las sanciones que impone, se paguen efectivamente.

4. Obstáculos para acceder a datos personales.

Aún cuando el INAI dictaminó en julio de 2016 que los metadatos son datos personales y que, por tanto, las y los titulares tienen el derecho a acceder a los mismos, hemos constatado que tanto empresas de telefonía celular como proveedores de acceso a Internet, obstaculizan el proceso de solicitud de entrega de datos a sus clientes y no comparten información precisa. Incluso, en algunos casos, las compañías admiten no estar preparadas para recopilar y resguardar los metadatos, a pesar de que la Ley los obliga a cumplir con esas obligaciones.

  • Instamos al INAI a supervisar el funcionamiento de las empresas de telecomunicaciones que operan en el país y a asegurarse de que éstas facilitan a sus clientes el ejercicio de su derecho de acceder a los metadatos de sus comunicaciones.

5. Sobre el hackeo masivo que sufrió el sitio Ashley Madison en 2015, y que afectó a más de un millón de personas en México.

En SonTusDatos examinamos la información filtrada a raíz del hackeo de AshleyMadison.com para mostrar el impacto que tuvo para las y los usuarios de dicho sitio en México. El análisis nos llevó a concluir, entre otras cosas, que de los más de 36 millones de cuentas que fueron vulneradas, 1 millón 33 mil correspondían a cuentas registradas en México, cuyas datos expuestos fueron: correos electrónicos, ubicaciones, fechas de nacimiento, estatura y peso. Asimismo, se filtró información sobre el tipo de relación buscaban, preferencias sexuales, entre otros.

  • Es responsabilidad del INAI investigar el caso con objeto de evaluar el impacto que dicha filtración masiva tuvo para las y los usuarios del sitio en México  y emitir algún pronunciamiento o recomendaciones al respecto.

6. Sobre el hackeo a Liverpool del año 2014 que derivó en la filtración de información privada y datos personales de personal y clientes de la empresa.

Una vez que se comprobó que Liverpool no implementó las medidas de seguridad adecuadas para proteger los datos personales de sus clientes, además de fallar en notificar a las personas afectadas sobre la vulneración a sus datos personales, el INAI inició una investigación preliminar sobre el caso, el cual, en efecto, derivó en la realización de un procedimiento de verificación y el principio de un procedimiento de imposición de sanciones. Sin embargo, de acuerdo con una solicitud de acceso a la información realizada por SonTusDatos, el INAI detalló que dicho procedimiento de imposición de sanciones se encuentra suspendido en virtud de que Liverpool decidió impugnar el procedimiento de verificación.

Los detalles del caso fueron clasificados como reservados por el INAI debido a que el procedimiento sancionatorio aún se encuentra en trámite y porque consideró que el expediente contiene información confidencial de la empresa que no puede hacerse pública.

  • Ante la incertidumbre sobre la cantidad de datos personales y financieros que podría tener en su poder el grupo de cibercriminales que llevó a cabo el hackeo, el riesgo para las y los usuarios permanece latente, por lo que instamos al INAI a que brinde los elementos para esclarecer las condiciones del ataque.

7. ¿Qué hay del tratamiento de datos de mexicanos/as que realizan empresas y compañías que carecen de un establecimiento físico en México?

Tal es el caso de empresas como WhatsApp que, aún cuando no cuentan con oficinas en el país, tratan datos personales de sus usuarios en México. Dado que WhatsApp recientemente actualizó sus términos de servicio y política de privacidad para poder compartir con Facebook los datos de sus usuarios/as con fines publicitarios, los más de 33 millones de clientes de esta aplicación en México han visto afectados sus derechos a la protección de datos personales y a la privacidad, sin que el INAI se pronuncie al respecto.

  • Es preciso que el INAI garantice el cumplimiento de la normatividad en materia de protección de datos personales, tanto para empresas que residen en México, como para todas aquellas que, a pesar de que no cuenten con oficinas en el país, lucran con la información de usuarios/as en México.

Esperamos que este Día Internacional de Protección de Datos Personales se convierta, más que en una fecha conmemorativa, en un incentivo para que el INAI atienda estos y otros tantos asuntos prioritarios que forman parte de su misión como dependencia encargada de proteger nuestros datos personales y de garantizar el cumplimiento de la Ley en la materia, tanto por parte del sector público como del privado. 

Comentarios (0)

Deja un comentario...