Sé dónde estuviste: geolocalización y banca digital
José Soto Galindo
21 marzo, 2021La banca mexicana está lista para cumplir con las nuevas obligaciones para prevenir el lavado de dinero y el financiamiento al terrorismo, considerando sospechosos a todos los usuarios de la banca digital (se calcula que somos 13.5 millones, aunque la pandemia pudo haber acelerado ese número). Los bancos —y también las fintech y otros operadores financieros— están obligados a registrar la localización geográfica de sus clientes, información que pueden integrar a un expediente de identificación digital unificado, con el historial de transacciones y sus respectivos valores monetarios. Veamos: datos personales del cliente, ubicación precisa en el territorio y monto de sus operaciones bancarias forman un combo killer que pone en altísimo riesgo a los titulares de los datos.
La tecnología permite la geolocalización y el registro pormenorizado de los movimientos de los usuarios: cada aparato conectado a internet genera datos de geolocalización, indispensables para la comunicación y el intercambio de datos con las redes de telecomunicaciones. En el Gobierno lo saben bien y tratan de aprovecharlo sin importar que las medidas signifiquen la construcción digital de enormes repositorios de datos susceptibles de ser robados por hackers y criminales. La banca debe negar el servicio a quien se niegue a aceptar el registro de su localización geográfica.
Estas medidas son parte de una reforma a la Circular Única de Bancos (CUB) de marzo de 2019, diseñada por la Secretaría de Hacienda y la Comisión Nacional Bancaria y de Valores. El Gobierno de López Obrador aprieta las pinzas de la vigilancia digital de los ciudadanos: lo intentó con el registro fotográfico de los domicilios de los contribuyentes al momento de una visita de la autoridad fiscal, iniciativa que finalmente le fue negada al SAT, y lo intentó cuando exigió una copia de la base de datos personales de los ciudadanos registrados ante el INE. Ahora lo intenta con el nuevo padrón de usuarios de la telefonía móvil que promueve el senador Ricardo Monreal Ávila (Morena), que exigirá el registro de datos biométricos de los usuarios.
Todo, siempre, con la justificación de buscar un bien mayor restringiendo las libertades y poniendo en riesgo a la totalidad de los ciudadanos: combatir el lavado de dinero, el financiamiento al terrorismo, la suplantación de identidad. Estos delitos siguen ocurriendo sin importar las medidas de prevención. Lo que se necesita, entiéndanlo de una vez, es reducir la impunidad y no más reformas que violentan y limitan derechos ciudadanos.
Apenas en enero pasado circuló la versión de enormes bases de datos a la venta con supuesta información personal de clientes de Banamex (hoy Citibanamex), BBVA, Coppel y Santander. En su momento quise confirmar la veracidad de la información y busqué a los responsables de prensa de BBVA, que no me respondieron, y de Santander, que me aseguraron que no se había encontrado “relación con tarjetas vigentes de clientes” del banco.
Mi impresión es que se trató de información real, en muchos casos desactualizada, robada no mediante una vulneración de los sistemas de seguridad cibernética de los bancos, sino —como ocurre con mucha regularidad— a través de extracciones generadas por empleados de los bancos o pérdidas de controles derivadas de las transferencias de datos personales con los despachos de cobranza, como ocurrió el año pasado con Recremex, que filtró datos de 30,000 deudores de la banca.
Estas nuevas obligaciones de la banca para la identificación y geolocalización de sus clientes entran en vigor este 23 de marzo. Se encuentran en la llamada Circular Única de Bancos (su nombre técnico es Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito). Revisemos con detalle:
- Cada operación de los clientes en las apps de sus bancos es susceptible de generar un registro de geolocalización (incluida la simple apertura de la app, la consulta de saldo, la incorporación de un nuevo registro en el catálogo de cuentas o el pago de algún servicio público o privado). La Circular Única de Bancos (CUB) no es precisa al respecto, lo que deja la puerta abierta para que se realicen registros de geolocalización en todo momento, incluso si la app está cerrada.
- La CUB no dice cuánto tiempo los bancos deben resguardar los datos de geolocalización de sus clientes ni la manera como éstos deben ser eliminados una vez terminado el periodo para el que fueron resguardados. Sin plazo, es obvio, no se sabe cuándo termina la necesidad del tratamiento y esto implica que la huella digital de los usuarios de la banca, incluida su localización geográfica, se encontrará disponible en repositorios digitales por tiempo indefinido.
- La CUB no pone límites sobre la transferencia de información personal entre entidades del mismo grupo de empresas ni sobre la transferencia internacional de los datos personales de los usuarios mexicanos de la banca digital, que en el caso de estar integrados en un expediente de identificación digital unificado (geolocalización más datos personales e historial de transacciones con sus respectivos valores monetarios) se vuelven un combo de información de alta sensibilidad: hábitos de uso y desplazamiento en un territorio determinado, volumen de transacciones realizadas y montos económicos operados, en un periodo de tiempo sin límite.
- La CUB no pone límites sobre las autoridades que pueden acceder a los datos de “geolocalización” (a secas) y su consiguiente expediente de identificación digital unificado, a diferencia de las solicitudes de “geolocalización en tiempo real” (con apellido), que sí fueron delimitadas por la Suprema Corte (Segunda Sala, Tesis 2a. XLIV/2016 (10a.) cuando se discutieron los alcances de otras polémicas reformas para recabar datos personales de los usuarios de la telefonía móvil.
Vamos a dejarlo claro: las nuevas reglas de control y vigilancia de los usuarios de la banca son legales, diseñadas por autoridades administrativas (Hacienda y la CNBV) con facultades reglamentarias, pero su aplicación universal provoca un riesgo innecesario para la totalidad de los usuarios de la banca digital.
Por eso no todo está perdido: quienes se sientan afectados por las nuevas medidas de control y vigilancia contra todos los usuarios de la banca pueden impugnar a través del amparo indirecto dentro de los 30 días siguientes a que entren en vigor. Corre el tiempo.