Les sugiere Oé: “La mejor actitud que pueden adoptar los seres de otro planeta cuando son apresados y mostrados a la curiosidad pública como bestias enjauladas, es convertirse en objetos inanimados como las piedras, las flores o los árboles; es decir, dejar que los observen”.

Economicón es la newsletter de privacidad y sociedad de la información de México. La escribo yo, José Soto Galindo. Bienvenidos a la edición 100°


Frodo, herido por el Señor de los Nazgûl, en El Señor de los Anillos.
Frodo, herido por el Señor de los Nazgûl, en El Señor de los Anillos.

75 millones de pesos en multas contra los bancos

Las sanciones de la autoridad deben funcionar como la herida de Frodo con la daga de un Nazgûl: deben ser dolorosas y memorables.

  • Las sanciones deben dejar una marca profunda en el infractor, para evitar reincidencias, y tener un efecto disuasorio en los demás regulados.

La agencia de privacidad en México, conocida por el acrónimo Inai, ha logrado imponer 17 multas en 13 años por un total de casi 75 millones de pesos (unos 4 millones de dólares) contra empresas del sector financiero: bancos, aseguradoras, administradoras de fondos de retiro, proveedores de crédito. (El Economista)

No está fácil para el Inai defender sus sentencias en los tribunales frente al ejército de abogados de los bancos, un sector que en 2022 produjo 12,000 millones de dólares en utilidades.

  • El Inai impuso un centenar de sanciones y apercibimientos contra empresas financieras entre 2010 y 2023.
  • Logró confirmar en tribunales apenas 17, de acuerdo con la revisión de los expedientes y las respuestas del Inai a solicitudes de información de Economicón y disponibles en la Plataforma Nacional de Transparencia. (Economicón)
  • La ley de protección de datos personales en posesión de privados entró en vigor en julio de 2010; su reglamento, en diciembre de 2011.

El sistema de protección de datos en México no contempla la compensación económica para las personas cuyos derechos fueron vulnerados. 

  • Toca al Servicio de Administración Tributaria (SAT) cobrar el dinero de las multas, que se integra al tesoro del Estado.
  • 👼 Las personas afectadas, que se conformen con la sensación espiritual de justicia.

En Economicón:

Las sanciones deben ser un escarmiento, un recordatorio para que los privados eviten el lado oscuro y se conduzcan con absoluto apego a la ley.

  • 🧌 La sanción debe ser como la herida de un Nazgûl, aunque los castigados con el acero de Morgul no sean precisamente unos inocentes hobbits.
Multas por al sector financiero por violaciones de datos personales: Banorte ha sido el más castigado
Sanciones efectivamente cobradas al sector financiero por violaciones de datos personales | En pesos y % del total
Actor Sanciones % del total
Banorte $39,720,442.37 53%
BBVA $11,011,588.00 15%
HSBC $5,719,650.00 8%
Tarjetas Citibanamex $4,565,000.00 6%
Afore Coppel $4,206,000.00 6
Inbursa $3,566,370.00 5%
Exitus Credit $3,021,321.00 4%
Kapitalmujer $1,234,445.00 2%
Afirme $1,207,804.00 2%
Banco Ahorro Famsa $591,624.00 1%
Total: $74,844,244.37
Fuente: Inai, sanciones a responsables privados, sector financiero, 2010-2022

17 sanciones contra 10 empresas financieras entre 2010 y 2022

  1. Banorte es la institución más castigada por monto económico: en tres multas suma casi 40 millones de pesos (unos 2 millones de dólares).
  2. BBVA tiene el mayor número de sanciones: 4 en 2017 y 2 en 2018, por un total de 11 millones de pesos (unos 550,000 dólares).
  3. HSBC sólo tiene una sanción, pero es la segunda multa individual más alta que ha impuesto el Inai: 5.7 millones de pesos (unos 290,000 dólares). 
Multas por al sector financiero por violaciones de datos personales, por monto de sanción
Año Expediente Banco Multa cobrada
2014 PS.0016/14 Banorte $36,424,892
2015 PS.0006/15 HSBC $5,719,650
2017 PS.0002/17 Tarjetas Citibanamex $4,565,000
2016 PS.0010/16 Afore Coppel $4,206,000
2015 PS.0009/15 Inbursa $3,566,370
2015 PS.0022/15 Exitus Credit $3,021,321
2013 PS.0018/13 Afore XXI Banorte $2,804,850
2017 PS.0001/17 BBVA Seguros $2,775,520
2017 PS.0009/17 BBVA $2,629,440
2017 PS.0017/17 BBVA $2,629,440
2018 PS.0069/18 BBVA $1,477,188
2020 PS.0035/20 Kapitalmujer $1,234,445
2018 PS.0008/18 BBVA $1,207,840
2017 PS.0061/17 Afirme $1,207,804
2017 PS.0006/17 Banco Ahorro Famsa $591,624
2017 PS.0033/17 Banorte $490,700
2017 PS.0029/17 BBVA $292,160
    Total $74,844,244
Fuente: Inai, sanciones en pesos a responsables privados, sector financiero, 2010-2022
  1. La primera sanción del Inai es de 2013 contra Afore XXI por dar tratamiento ilegítimo a datos personales de carácter financiero de otro cliente sin su consentimiento. Afore XXI es una administradora de fondos para el retiro de los trabajadores propiedad de Banorte.
  2. Los años con mayor número de sanciones fueron 2017, con 8 sanciones en total, y 2015, con 4.
  3. La sanción más reciente es de 2020 contra Kapitalmujer, una proveedora de crédito que publicó en un periódico regional el rostro y los datos personales de una exempleada para “contactarla”.
Multas por al sector financiero por violaciones de datos personales: 17 sanciones a 10 empresas
Sanciones efectivamente cobradas al sector financiero por violaciones de datos personales por año
Año Sanciones
2013 Afore XXI Banorte
2014 Banorte
2015 HSBC
2015 Inbursa
2015 Exitus Credit
2016 Afore Coppel
2017 BBVA Seguros
2017 Tarjetas Citibanamex
2017 Banco Ahorro Famsa
2017 BBVA
2017 BBVA
2017 BBVA
2017 Banorte
2017 Afirme
2018 BBVA
2018 BBVA
2020 Kapitalmujer
* La primera sanción se impuso a los tres años de creada la ley de datos personales, en 2013, contra Afore XXI Banorte. Fuente: Inai, sanciones a responsables privados, sector financiero, 2010-2022

El papel de los ciudadanos y el valor de la denuncia

La participación ciudadana es indispensable para garantizar el uso legítimo de los datos personales y para presionar al Inai a ejercer su papel vigilante y sancionador.

  • Ninguna de las 17 sanciones contra empresas financieras se produjo por iniciativa propia de la agencia (“de oficio”, como se dice).
  • 15 de las 17 sanciones se originaron por denuncias de las personas afectadas contra los infractores.
  • Las otras 2 sanciones fueron producto de otro mecanismo de control que requiere ser accionado por el ciudadano presuntamente afectado. A este mecanismo se le conoce como “procedimiento de protección de derechos”.

La ley permite denunciar “presuntas violaciones” cuando el motivo de queja está fuera del procedimiento de protección de derecho, por ejemplo:

  1. Cuando a un proveedor lo hackean y le roban nuestros datos.
  2. Cuando comete una imprudencia y provoca una vulneración de la información bajo su resguardo.
  3. Cuando realiza una transferencia no autorizada y luego nos enteramos que el de enfrente también tiene nuestros datos.

A pesar de su relevancia, la denuncia tiene nula promoción del Inai. Creo que es urgente fortalecerla y difundirla como un medio de defensa estratégico:

  • Porque “¿Qué le queda a un ciudadano cuando tiene la certeza de que sus datos personales fueron filtrados por hackeo, descuido o negligencia?”, escribí en diciembre de 2022. (Economicón)

🙋🏻 Sin el ejercicio activo de los ciudadanos, ninguna sanción del Inai al sector financiero habría sido posible.


George Costanza, ¿nervioso?
George Costanza, ¿nervioso?

🏇 El Inai resolvió 557 expedientes en 82 minutos

La junta general del Inai resolvió 557 reclamos por negativas de acceso a la información pública o por presuntas violaciones a la ley de protección de datos personales en su sesión del 6 de septiembre de 2023.

  • El Inai estuvo en la congeladora 5 meses hasta que la Suprema Corte intervino y le permitió sesionar con 4 comisionados en su pleno, en lugar del número mínimo de 5 que le obliga la ley. (Economicón)
  • Esta agencia de transparencia y privacidad está bajo fuego del Senado, controlado por el partido del presidente, que ha impedido el nombramiento de nuevas personas comisionadas para cubrir 3 vacantes de su junta general.

La sesión duró 82 minutos (Inai en YouTube) y se votó la siguiente cantidad de asuntos, según una persona de su equipo de prensa:

  • 417 en materia de derecho de acceso a la información.
  • 114 en materia de protección de datos personales.
  • 26 recursos de inconformidad.

🏎️  Hablamos de 1 asunto resuelto cada 9 segundos. Supera eso, Verstappen.


Conecta con la comunidad Economicón

  • Conecta con los profesionales del derecho, la tecnología y los medios.
  • La newsletter Economicón te ayuda a pulir tus ideas y a comunicarlas a la comunidad correcta.

Revisa aquí mi política de publicidad.


  • ¿Tienes información sobre filtraciones de datos?
  • ¿Quieres anunciarte en Economicón?

Escríbeme a soto.galindo@gmail.com

Newsletters anteriores:


Otras noticias

América

  • México: Guadalajara: En la mira de un sistema de reconocimiento facial para la búsqueda de personas (El Occidental)
  • México: El plan para crear el registro único de biométricos queda a la deriva (Expansión)
  • Uruguay: ¿Te eliminaron un contenido o te bloquearon la cuenta injustamente? Apelatrón te ayuda a apelar la decisión (Observacom)
  • Argentina: El estratega de Macri analiza las redes sociales de Milei (Crisis)
  • Estados Unidos: Nueva York declara el principio del fin de Airbnb (El Economista)
    • NYC’s new Airbnb rules are bigger than the Big Apple (Axios)
  • Estados Unidos: The Decomposition of Rotten Tomatoes (Vulture)

Europa

  • Facebook’s unloved ‘News’ tab is going away in Europe (The Verge)
  • Big Tech’s core businesses face overhaul under European Union tech rules (Reuters)
    En Economicón:
  • España: Un ciberataque tumba al Ayuntamiento de Sevilla y piden un rescate millonario (El Confidencial)
    • Sevilla no consigue resolver el bloqueo informático seis días después del ciberataque (La Vanguardia)
  • Reino Unido: IBM promised to back off facial recognition — then it signed a $69.8 million contract to provide it (The Verge)
  • Francia: Deezer and Universal Music sign deal to focus royalties on big artists (The Guardian)

Mis redes sociales

YouTubeFacebook y Twitter.

Comentarios

economicon