Notificación de Deer Park Refining L.P. a la Fiscalía General de Texas.
Notificación de Deer Park Refining L.P. a la Fiscalía General de Texas.

La refinería Deer Park informó a la Fiscalía General de Texas de una filtración de datos que provocó la pérdida de nombres y números de seguridad social bajo su resguardo. Se desconoce el tamaño de la afectación.

La refinería Deer Park sufrió un incidente de seguridad de la información que expuso datos personales, en particular nombres y números de seguridad social, de acuerdo con la notificación que la compañía propiedad de Pemex en Texas hizo al fiscal general de ese estado en Estados Unidos.

La legislación de Texas obliga a que ciertas compañías que sufran vulneraciones en sus sistemas informáticos notifiquen a los titulares de datos por correo electrónico e informen a las autoridades cuando el volumen de texanos afectados supera las 250.

Se calcula que, al cierre de 2021, en Deer Park laboraban 1,500 empleados directos y 1,200 contratistas, aunque no fue hecho público el número total de personas afectadas por la filtración de datos personales.

La notificación de Pemex, propietaria de Deer Park Refining L.P., se publicó este jueves en el sitio de Informes de Fil­tración de Datos de la Fiscalía General de Texas.

“Esta notificación se da gracias a la iniciativa del Gobierno de Texas” para proteger a los titulares de datos afectados, dijo Hiram Camarillo, director y fundador de la firma de ciberseguridad mexicana Seekurity. Camarillo dio a conocer la notificación de Deer Park a la Fiscalía de Texas en su cuenta de Twitter.

En México podría haber consecuencias en términos de la ley general de protección de datos, incluso si la filtración ocurrió en una jurisdicción fuera de México, por tratarse de una entidad regulada por la ley mexicana. “Pemex debe responder por la licitud de ese tratamiento [de datos personales], lo que queda sujeto a la ley mexicana porque el responsable está en México”, dijo Gregorio Barco Vega, abogado senior y director de Investigación, Desarrollo e Investigación de Davara Abogados, un despacho jurídico mexicano experto en protección de datos personales.

“El inai tiene facultades y podría investigar a ambos, pero más a Pemex, y éste deberá requerir a su encargado de protección de datos que proporcione toda la información necesaria para desahogar la investigación”.

La petrolera mexicana Pemex adquirió a Shell Oil Company —una subsidiaria de Royal Dutch Shell— el 50% de su participación en la refinería en enero de 2022 para convertirse en su único dueño. Deer Park está ubicada en la zona de Houston y se dedica al procesamiento de petróleo crudo, con una capacidad de 340,000 barriles por día

Pemex es la empresa más grande de México. Es de propiedad estatal y es la decimoprimera firma en producción de crudo a escala global. Además de crudo, produce gas natural y productos refinados.

“Tras varios incidentes de seguridad en Pemex, podemos entender que no se está llevando a cabo una correcta gestión de la seguridad de la información aunque sus actividades estén reguladas por distintos países”, añadió Camarillo.

De acuerdo con la legislación texana en materia de protección al consumidor, que también protege los datos personales, Pemex debió entregar a la fiscalía “una descripción detallada de la naturaleza y las circunstancias” del incidente, además del “número de residentes de Texas afectados” y el “número de residentes afectados” a quienes ya se les notificó de la vulneración de su información personal.

La legislación también ordena informar a la Fiscalía si la Policía está involucrada en la investigación del incidente, pero estos datos no son públicos en los Informes de Fil­tración de Datos.Un representante de la Fiscalía dará seguimiento a la notificación, para proceder en términos de la Texas House Bill 3746 o Ley de Cumplimiento y Protección Contra el Robo de Identidad de Texas.

Hackeos a empresas privadas

Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon