El PANAUT del AEPT

De acuerdo con el artículo publicado por Christopher Calderón el lunes pasado, se reportó una filtración de datos personales de 17 millones, 986 mil, 377 cuentas de clientes de Telmex. La información fue proporcionada por el CEO de la empresa de ciberseguridad Silikn, Víctor Ruiz, quien informó que los datos vulnerados incluyen nombres, números telefónicos y direcciones de los clientes. De acuerdo con la fuente, “es indispensable que los usuarios de Telmex se mantengan alertas”, pues la filtración conlleva el riesgo de que los datos puedan ser utilizados para cometer delitos como robo de identidad, fraude financiero, acceso no autorizado a cuentas mediante ataques de credential stuffing, campañas de ingeniería social y extorsión, entre otros. Me imagino que ya todos los usuarios se quedaron tranquilos. 

El hecho confirma que los temores y reacciones que se generaron cuando se pretendió implementar el Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT) eran fundados, y que cualquier vulneración a la seguridad de una base de datos de esta naturaleza y dimensión, implica riesgos de gran escala para los titulares de los datos personales involucrados. Después de cientos de amparos, recursos judiciales, advertencias de expertos, y con la valiente resistencia del Poder Judicial, la industria y la sociedad por fin ganaron la batalla para evitar que se creara el PANAUT, y resulta que el daño se produjo desde las bases de datos del propio agente económico preponderante (AEPT).

Mientras el juez Juan Pablo Gómez Fierro madrugaba completando tests de proporcionalidad y analizando la apariencia del buen derecho, los datos personales de casi 18 millones de usuarios de servicios de telefonía se encontraban ya en riesgo.

Más allá de las diferencias específicas que puedan existir entre el caso del PANAUT y la filtración de Telmex, y de la ironía que los vincula, la realidad es que el incidente no es menor y tanto el AEPT como las autoridades en la materia (o lo que queda de ellas) deben tomar cartas en el asunto.

Telmex, como todo particular que lleve a cabo el tratamiento de datos personales, estaba obligado a implementar medidas de seguridad adecuadas para proteger sus bases de datos. El incumplimiento de esta obligación implicaría una violación al artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), y al principio de responsabilidad previsto en su Reglamento. Asimismo, el AEPT también tiene la obligación legal de notificar de forma inmediata a los titulares de los datos, cuando ocurra cualquier vulneración de seguridad que afecte de forma significativa sus derechos patrimoniales o morales.

Si, como lo manifestó Ruiz, la filtración podría derivar en delitos como el robo de identidad o la extorsión, Telmex tendría que haber avisado a sus clientes sobre el incidente. Espero que no se hayan enterado gracias a la solidaria advertencia del CEO de Silikn, difundida por Calderón.

Por otra parte, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), tiene facultades para iniciar de oficio un proceso de verificación a Telmex, en términos del artículo 59 de la LFPDPPP, cuando se presuma una violación a la Ley. Considerando que los clientes afectados representan casi el 15% de la población nacional, valdría la pena que el Instituto evaluara la posibilidad de tomar acciones legales.

Es cierto que los particulares afectados pueden iniciar sus propios procedimientos ante el INAI, sin embargo es difícil que estos sepan si se encuentran entre los usuarios afectados, pues incluso si sufrieran algún daño, no tendrían manera de comprobar si éste es consecuencia de la filtración de Telmex. Dependen de su voluntad de cumplir la Ley. Desafortunadamente, la reducción del presupuesto del INAI y su inminente extinción, no auguran un buen pronóstico para los afectados.