La protección de datos personales en la era de los leaks

El concepto leaks en la era digital, que refiere a las filtraciones de información para su exposición pública, ha llegado al terreno de la protección de los datos personales. Filtraciones Digitales, un emprendimiento mexicano auspiciado por la Associated Whistleblowing Press (AWP), quiere que cualquier persona con información sobre una vulneración que ponga en riesgo los datos de carácter personal tenga la posibilidad de alertar sobre el problema a través de esta plataforma. “Queremos contribuir a la protección de la privacidad de las personas”, dijo Cédric Laurant, abogado experto en protección de datos personales y responsable de Filtraciones Digitales.

Pongamos tres casos relevantes ocurridos recientemente:

1. Información confidencial de clientes de Banorte estuvo expuesta por un tiempo no precisado entre finales del 2014 y principios del 2015.

2. La base de datos de los clientes de Liverpool fue vulnerada por un ataque cibernético según información difundida por la empresa a sus accionistas en diciembre del 2014.

3. Un error de configuración en el servicio de correo electrónico de Prodigy en el 2013 colocó en Google el contenido de comunicaciones privadas de sus usuarios.

En ningún caso estas compañías informaron a sus usuarios del peligro que representó la vulneración. Banorte fue un caso ejemplar: la firma telefoneó sólo a sus clientes más acaudalados para advertirles sobre el problema y nunca precisó si la vulneración ocurrió a toda su base de clientes (la firma es la cuarta entidad financiera de México por el valor de activos que administra, de casi 900,000 millones de pesos). Liverpool notificó sobre la vulneración sólo a sus inversionistas en la Bolsa Mexicana de Valores (BMV); Prodigy de América Móvil guardó silencio.

La regulación mexicana es vanguardista en la materia: el artículo 20 obliga a los responsables del tratamiento de los datos de carácter personal a informar a los titulares, la persona física a quien corresponden los datos personales, de vulneraciones a la seguridad ocurridas “en cualquier fase del tratamiento”. Para ponerlo en palabras llanas: quienes administran datos personales deben informar a las personas relacionadas con esos datos cuando existe alguna afectación que pueda poner en riesgo su información. Ni Banorte ni Liverpool ni Prodigy, para seguir con el ejemplo, cumplieron con la normativa. La lista podría ser enorme.

De acuerdo con Cédric Laurant, de Filtraciones Digitales, debe producirse un cambio en la mentalidad de quienes representan a las corporaciones para que informen sin miedo sobre las vulneraciones a la privacidad de sus clientes y consumidores. La vulneración de base de datos personales afecta más a los titulares de esa información que a las compañías que la resguardan. “La ley en México obliga a las empresas a notificar. En California, donde se creó la primera regulación que exige esto, al principio las empresas se negaron a hacerlo, a notificar, porque pensaban que eso significaría informar que su seguridad estaba mal o que los clientes se cambiarían de compañía. ‘Nos van a denunciar o van a contratar servicios de otra empresa’. Pero es importante que informen, por la seguridad de sus clientes”, dijo Laurant. Se trata, en sus propias palabras, de evitar “la política del avestruz, de no decir nada y dejar pasar”.

Filtraciones Digitales busca que empleados de las compañías, contratistas y también los propios clientes y consumidores puedan compartir documentos sobre las vulneraciones no notificadas por las corporaciones. “No sólo es el caso del hacker que entra a la base de datos de una empresa; también puede ser una vulneración dentro de la propia empresa, porque no implementa la seguridad adecuada”, dijo Laurant.

Las resoluciones de la autoridad

Desde el 22 de diciembre del 2012, cuando entró en vigor el reglamento de la ley de protección de datos personales, el INAI (antes IFAI), ha emitido 38 resoluciones con sanción que suman un total de 139.6 millones de pesos. Casi 4 de cada diez sanciones (34.2%) han sido contra entidades del sector financiero, principalmente por la entrega indebida de datos personales a terceros con motivos de cobranza.

Banorte y Banamex son dos casos a destacar. El Grupo Financiero Banorte tiene el primer lugar en sanciones por monto económico, con un total de 36 millones de pesos; la mayor sanción se resolvió en junio del 2015, por el tratamiento injustificado de datos sensibles de una persona (el estado de salud, concretamente). No existe todavía resolución de las autoridades sobre la exposición de información de sus clientes ocurrida entre el 2014 y el 2015. De acuerdo con Jaime González Aguadé, presidente del regulador financiero citado por Jeanette Leyva en El Financiero el 28 de junio del 2015, el caso de Banorte “es grave si es información confidencial que no debe estar en manos de nadie más que de los dueños que son los usuarios y del banco para sus operaciones”.

El Grupo Financiero Banamex es ejemplar por otro motivo: ha impugnado las tres resoluciones del INAI en su contra ante el Tribunal Federal de Justicia Fiscal y Administrativa: contra su división de banca múltiple, Banamex, por 16.1 millones de pesos (expediente PS 0005/12, votado el 7 de agosto del 2013); seguros, por 3.9 millones de pesos (expediente PS 0004/12, votado el 14 de agosto del 2013), y tarjetas, por 9.8 millones de pesos (expediente PS 0007/13, votado el 28 de agosto del 2013). En total, acumula casi 30 millones de pesos en sanciones.

“Hasta ahora para ninguno de casos Banorte, Teleperformance y Liverpool han dado información. A mí y a varios colegas que estábamos en una reunión [con autoridades en la materia] el 8 de febrero nos dijeron que la investigación a Teleperformance la hicieron, que no había ninguna violación de la ley. Pero no hubo comentario ni comunicado de prensa de parte del INAI. Un año después tampoco tenemos información sobre Liverpool. No han comunicado nada. Queremos que [las autoridades] hagan su trabajo”, dijo Laurant. En Estados Unidos, una filtración de datos de los clientes de AT&T, en la que pudo estar involucrada la filial mexicana de Teleperformance, motivó a las autoridades a sancionar a la firma de telecomunicaciones con 25 millones de dólares en abril del 2015; AT&T anunció que realizaría una investigación de sus procesos y contratistas.

La era de los leaks

Filtraciones Digitales se suma a una tendencia de plataformas en línea dedicadas a difundir informaciones producto de filtraciones: desde el decano en la materia, WikiLeaks de Julian Assange hasta el local MéxicoLeaks o el más joven de la camada, Offshore Leaks, donde el Consorcio Internacional de Periodistas de Investigación (ICIJ, por su sigla en inglés) colgó en la red los 2.5 millones de documentos que conforman los llamados Panama Papers. El espíritu de Filtraciones Digitales es el cumplimiento de las empresas con la legislación de datos personales en México. “No somos un proyecto de portal de denuncia tipo MéxicoLeaks. Nos enfocamos particularmente en personas que podrían tener información sobre una vulneración que ocurrió en una empresa o en una persona moral o física y que saben que fue grave, fue seria, y lo pueden comprobar”, explió Laurant.

Puso como ejemplo la base de datos con el listado nominal del Instituto Nacional Electoral (INE) colgada en la nube de Amazon. En este caso, dijo Laurant, no se trató de una vulneración ni de un hackeo, como alegó el partido Movimiento Ciudadano, responsable de poner a disposición pública los datos personales de millones de votantes mexicanos. Se trató de un mal procedimiento interno, que puede poner en riesgo la privacidad de las personas. Las informaciones que quiere atraer el portal Filtraciones Digitales “pueden ser sobre la negligencia de un banco o de un partido político, que pueden favorecer al secuestro” u otros ilícitos.

México está construyendo su propia arquitectura jurídica sobre la privacidad de las personas. Ya existen la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su reglamento y el Congreso de la Unión trabaja en una ley que incluya también a las entidades de gobierno en la protección. “La privacidad, sin duda alguna, representa un cambio cultural en nuestro país, el cual requiere de tiempo, participación, inversión, esfuerzos y flexibilidad para aceptar esta nueva cultura que hasta la aparición de la Ley, era ignorada”, escribió la consultora Deloitte en su segunda edición del estudio Termómetro: Privacidad y Protección de Datos en México 2014. En ese documento, documentó que sólo 6 de cada 10 corporaciones conocen “las sanciones penales y económicas que impone la autoridad en los casos de tratamiento indebido o fuga de información de datos personales”.

La instauración de ese cambio cultural está comenzando. Filtraciones Digitales, de Cédric Laurant y la Associated Whistleblowing Press, es una contribución más para que el cambio se produzca con mayor rapidez. De acuerdo con Deloitte, existe “un déficit en el entrenamiento al interior de las organizaciones para el cumplimiento, dado que únicamente un 7% menciona haber realizado un entrenamiento sobre el tema”. En su Termómetro, la firma destacó que entre los beneficios que perciben los ejecutivos de corporaciones de cumplir con la ley se encuentran acrecentar la confianza de los clientes, mejora en la calidad y precisión de la información y reducción de la violación de los datos. Para Laurant, “es importante que las personas se enteren [sobre las medidas para la protección de sus datos personales] y es importante que las empresas actúen con responsabilidad”.

Este artículo se publicó originalmente en El Economista el 14 de mayo de 2016.

Comentarios