Inai sancionará a AT&T por actuar con negligencia en un caso de datos personales
Nicolás Lucas
14 agosto, 2016La autoridad mexicana de protección de datos personales resolvió que AT&T pudo haber violado la Ley de Protección de Datos Personales en la tramitación de una solicitud de un particular relacionada con el artículo 190º de la Ley de Telecomunicaciones. La sanción puede superar los 11 millones de pesos.
El 10 de agosto pasado, la autoridad de protección de datos personales notificó a la compañía telefónica AT&T y a un particular del contenido de una resolución que sienta un precedente en la protección de los datos personales y las telecomunicaciones en México. El Inai resolvió que la información recabada por las operadoras por obligación del artículo 190º de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) son datos personales y que los particulares pueden tener acceso a ellos. Además, ordenó iniciar un proceso de imposición de sanciones contra AT&T por su presunta negligencia en la tramitación de la solicitud del particular.
Se trata de la primera vez que la autoridad de protección de datos de México resuelve un expediente relacionado con el polémico 190º de la LFTR, cuya constitucionalidad fue ratificada por la Suprema Corte de Justicia de la Nación el 4 de mayo pasado. Este artículo obliga a todas las operadoras a recabar y resguardar datos sobre las comunicaciones de todos sus clientes (casi 110 millones en todo el país), con los que se pueden hacer inferencias sobre la vida privada de las personas.
En la resolución al expediente PPD.0050/16 firmada por el pleno el 13 de julio, el Inai ordena a AT&T, el tercer operador de telefonía móvil en México por número de usuarios, a entregar a su cliente todos los datos mencionados en el 190º en un plazo de 10 días. De confirmarse la violación de AT&T del artículo 63º de la Ley de Protección de Datos Personales, “por su presunta negligencia en la tramitación y respuesta de la solicitud de acceso de datos personales”, la compañía de origen estadounidense podría recibir una sanción superior a los 11 millones de pesos. AT&T puede recurrir la resolución ante el Tribunal de Justicia Fiscal y Administrativa.
Este caso puede impactar a toda la industria de telecomunicaciones, pues el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) validó que es legítimo que un consumidor, y no sólo las autoridades, acceda a los datos relacionados con el 190º de la LFTR. Implícitamente se establece que los demás operadores deberán responder a sus consumidores cuando se le presenten casos similares. Se garantiza la facultad del consumidor para conocer datos básicos de su línea telefónica; tipos, origen y destino de sus comunicaciones; fecha, hora, duración, generales del teléfono (terminal), y ubicación geográfica de la línea a través del tiempo.
AT&T, la primera operadora móvil del mundo por volumen de ingresos y de reciente arribo a México con la compra de Iusacell-Unefon y de Nextel entre los años 2014 y 2015, envió su postura vía correo electrónico en la que se lee: “Respecto a este caso específico, se ha dado respuesta y seguimiento oportuno. Reiteramos que se trata de un proceso en curso, no definitivo, por lo que al momento no podemos hacer comentarios al respecto”.
En esa comunicación, enviada el viernes 12 de agosto, la compañía afirma que la privacidad de sus usuarios es una prioridad:
“En AT&T México tomamos muy en serio la privacidad de nuestros clientes; es un compromiso fundamental para la manera en que hacemos negocios a nivel mundial. Los datos personales que recaba AT&T México se utilizan estrictamente para cumplir con las finalidades previstas en nuestro aviso de privacidad, el cual brinda información clara y directa. Estamos convencidos de que la confianza es vital para entablar una relación duradera con nuestros usuarios y clientes, por lo que desde la firma del contrato se les proporciona toda la información necesaria para ejercer sus derechos ARCO”.
Comunicación de AT&T, enviada el viernes 12 de agosto.
Los derechos ARCO refieren a los derechos de acceso, rectificación, cancelación y oposición, protegidos por la Ley de Protección de Datos Personales y su reglamento.
El Instituto Federal de Telecomunicaciones (IFT) declinó hacer comentarios sobre el tema de la resolución, por considerar que se trata de una competencia del Inai.
Relación de hechos
7 de enero del 2016: Un particular pide vía e-mail a AT&T acceso a su información, con base en la fracción II del artículo 190 de la LFTR.
15 de febrero: AT&T responde con datos generales del particular, como nombre, dirección y fecha de contratación de servicio. Metadatos, sólo en centros de servicio, le informa.
24 de febrero: El particular acude a un centro de atención de AT&T, donde en una primera instancia le niegan acceso a su información.
26 de febrero: AT&T envía por e-mail un archivo de 755 páginas con datos de comunicaciones como fecha, duración o destino, sin especificar el significado de siglas y códigos.
7 de marzo: El particular presenta ante el INAI una solicitud de protección de derechos. Durante el proceso, AT&T mantiene silencio y no aporta pruebas ni respuestas al Inai; tampoco acepta conciliación con el particular.
15 de junio: El Inai inicia desahogo de pruebas del particular. AT&T mantiene silencio.
1 de julio: El Inai acepta los alegatos del particular y arranca el proceso de resolución.
10 de agosto: El Inai notifica a las partes que: es procedente el reclamo del particular, obliga a AT&T a entregar la data requerida en un plazo de 10 días y ordena el inicio de un proceso de imposición de sanciones.
El silencio de AT&T
Este caso arrancó con el año, cuando el 7 de enero el particular, cliente de AT&T, le solicitó a la compañía acceso a sus datos recabados por obligación del 190º. La compañía se negó, por considerar que los datos sólo son disponibles para las autoridades, aunque después pidió al consumidor que acudiera a un centro de atención a solicitar ahí la información. AT&T envió por correo electrónico al particular un documento de 755 páginas que, de acuerdo con la resolución, no comprenden toda la información señalada por la LFTR. Además, tampoco explica los códigos, siglas y abreviaturas contenidas en el documento.
Dos meses después, el particular solicitó la protección del Inai y se inició el procedimiento de protección de derechos (PPD) que culminó en la sesión del pleno del 13 de julio pasado. Durante el proceso, en el que ambas partes, el particular y la compañía podían presentar sus posiciones sobre el caso, AT&T no hizo manifestación alguna; esta oración aparece cuatro veces en la resolución.
“Lo que me parece una señal verdaderamente de alarma es la frescura con la que AT&T simplemente ignora a la autoridad”, dijo la doctora María Marván Laborde, investigadora del Instituto de Investigaciones Jurídicas (IIJ) de la UNAM y ex comisionada del IFAI (hoy Inai). AT&T actuó con indolencia ante el Inai, algo que no haría si se tratara de un requerimiento fiscal o una solicitud del regulador de telecomunicaciones. “Le puedo asegurar que no hay nadie en el jurídico de AT&T que si hubiera llegado un citatorio del SAT o del IFT no lo hubiera atendido”, dijo Marván, consultada para comentar sobre la resolución.
Para Katitza Rodríguez, directora de Derechos Internacionales en la Electronic Frontier Foundation (EFF), AT&T es una entidad de telecomunicaciones que ofrece servicios con fines lucrativos y es un sujeto obligado por la ley de datos personales, sin que se encuentre en alguno de los casos de excepción. “AT&T maneja datos personales de sus clientes y por ende está sujeto a la aplicación de la ley. El Inai sólo confirma y aclara lo que la ley ya dejaba claro”, dijo.
La resolución es una advertencia a los operadores móviles del sector para el manejo de la información de sus clientes. También reactiva el debate público sobre el artículo 190º de la LFTR, cuestionado por distintas organizaciones civiles que lo consideran como una transgresión a la privacidad de los usuarios. Para el caso particular de AT&T, es un llamado de atención.
AT&T y la intervención de comunicaciones privadas
- 🧟♀️ Una jurisprudencia para revivir cadáveres (24 de noviembre, 2023)
- Caso AT&T en el IFT: pésimo antecedente (13 de febrero, 2023)
- ¿Qué es la intervención de comunicaciones privadas? (18 de enero, 2013)
- El fantasma de Gabriel Contreras en el IFT (9 de enero, 2023)
- AT&T: medio millón de pesos por violar la ley de datos — Newsletter 64° (27 de diciembre, 2022)
- AT&T pagará casi medio millón de pesos de multa por violar ley de datos personales (19 de diciembre, 2022)
- IFT convierte sanción contra AT&T de 432 millones de pesos en una de 4 millones (8 de diciembre, 2022)
- AT&T: intervenir comunicaciones privadas — Newsletter 62º (8 de diciembre, 2022)
- AT&T: sanción por incumplir con intervención de comunicaciones privadas (8 de diciembre, 2022)
- AT&T incumplió una resolución sobre datos personales y el Inai debe verificarlo: Tribunal (20 de octubre, 2017)
- AT&T analiza resolución del Inai en su contra (30 de agosto, 2016)
- Resolución del Inai sobre AT&T debe preocupar a la industria (20 de agosto, 2016)
- Caso AT&T en el Inai reactiva polémica sobre datos personales (15 de agosto, 2016)
- Inai sancionará a AT&T por actuar con negligencia en un caso de datos personales (14 de agosto, 2016)