Buró de Crédito y filtración de datos personales: feliz aniversario

Hace un año la empresa privada Buró de Crédito informó a la ciudadanía del robo de datos personales de sus clientes, los cuales fueron puestos a la venta en internet. Se trató de una filtración de información personal, patrimonial y financiera de personas obligadas a entregar sus datos a esta agencia de evaluación y calificación de riesgos crediticios para recibir servicios financieros.

El aviso de Buró de Crédito al público se realizó el 2 de febrero de 2023, aunque el robo se detectó en diciembre de 2022. Los datos eran parte de un repositorio de 2016 en posesión de Buró de Crédito. La compañía alertó a la Comisión Nacional Bancaria y de Valores (CNBV) y esta oficina tardó semanas en comunicar a la ciudadanía sobre el incidente sin ofrecer claridad y certidumbre sobre su papel como autoridad financiera.

No fue un hackeo, me dijo en su momento el vocero de esta compañía, Wolfgang Erhardt Varela: “No hay evidencia de que la infraestructura de seguridad informática históricamente, y en particular de 2016 a la fecha, haya sido vulnerada; es decir no hay evidencia de un hackeo”.

El asunto quedó en manos de autoridades ministeriales y judiciales. El Inai, la agencia especializada en garantizar el derecho humano a la protección de datos personales, quedó al margen: la ley de protección de datos personales excluye a las sociedades de información crediticia, como Buró de Crédito y las otras empresas del sector, como Círculo de Crédito, propiedad de Banco Azteca de Grupo Salinas, y Dun & Bradstreet.

La condición de Buró de Crédito como entidad libre del cumplimiento del régimen de protección de datos impidió a los ciudadanos gozar de algunas medidas para la defensa de sus derechos ante una vulneración de seguridad, como el derecho a ser notificados, a saber con exactitud el tipo de datos personales que estuvieron en riesgo y el derecho de presentar una denuncia ante una autoridad especializada como el Inai.

Esta situación también privó a las personas afectadas de la posibilidad de exigir una reparación por los daños sufridos por la vulneración, como prevé el artículo 58° de la ley de datos en posesión de particulares: “Los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley por el responsable o el encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes”.

La regulación financiera prevé pocas vías para sancionar vulneraciones a la seguridad de la información, así se trate de información tan sensible como los datos financieros de las personas, que las pone en riesgo de suplantación o robo de identidad o, en el caso más grave, de secuestro.

Es urgente “incluir de manera expresa en el ámbito legislativo” a las sociedades de información crediticia al régimen de protección de datos personales, me dijo la doctora María Solange Maqueo, directora de la Facultad de Derecho de la Universidad La Salle e investigadora del CIDE, consultada sobre las reformas urgentes a la ley. Se trata de “hacer un sistema jurídico congruente y ya la Corte se ha pronunciado al respecto, pero también porque tratándose de derechos humanos necesitamos ser acordes a los tratados internacionales y a los instrumentos internacionales de los que formamos parte”.

La profesora Solange se refirió así al Convenio 108+ del Consejo de Europa, al que México se adhirió en 2018 y cuyos principios deben ser aplicables a cualquier entidad que trate datos personales, incluidas las agencias de evaluación y calificación crediticia como Buró de Crédito.

Nada cambió en el régimen de privacidad en un año. La prioridad del Estado, como se ve, no es garantizar a los ciudadanos el disfrute pleno de derechos. Feliz primer aniversario de la filtración de datos de Buró de Crédito.

Acá mi cobertura sobre el robo de datos a Buró de Crédito:

• Hackear al Buró de Crédito (2 de febrero)
• ¿El Inai puede actuar contra el Buró de Crédito? (7 de febrero)
• ¿Cómo bloquear llamadas de los bancos? (9 de febrero) 
• Buró de Crédito, CNBV y la ley de la selva (19 de febrero)
• Buró de Crédito: sálvese quien pueda (21 de febrero) 
• CNBV sabía de la filtración en Buró de Crédito desde diciembre de 2022 (22 de febrero)
• CNBV sobre Buró de Crédito: sin acuse de recibo (26 de febrero)
• Que se reforme la ley de datos y se incluya al Buró de Crédito, exige la Barra Mexicana Colegio de Abogados (28 de febrero)
• Buró de Crédito lo confirma: no fue hackeo (5 de marzo)
• ¿Cómo tramitar un amparo contra el buró de crédito? (12 de marzo)
• CNBV sobre el robo a Buró de Crédito: ayudar a consumidores toca a Condusef (23 de abril)
• Guardia Nacional sobre Buró de Crédito: preguntas y respuestas (7 de mayo)
• Buró de Crédito debe cumplir con la ley de datos personales, propone MC en Diputados (13 de septiembre)
• Buró de Crédito y filtración de datos personales: feliz aniversario (3 de febrero de 2024)

Entrevistas en YouTube:

• ¿Cómo tramitar un amparo contra el buró de crédito?
• Buró de Crédito: datos personales y secreto bancario
• Buró de Crédito: ¿qué puede hacer la agencia de privacidad?