No avisan a usuarios si sus datos personales fueron robados

A casi siete años de expedirse la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), las empresas mexicanas aseguran ante el público y las autoridades que cumplen con la legislación al contar con un aviso de privacidad; pero detrás de sus puertas permea una opacidad en el manejo de los datos personales que están en su poder y los procedimientos de reacción ante un robo o una filtración de la información.

Este es el cuadro que dibuja la Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado realizada por SonTusDatos, el programa de la asociación civil Artículo 12, dedicado a la defensa, promoción y protección de los derechos a la privacidad y datos personales de los usuarios de Internet. La opacidad que retrata el reporte pone entre dicho el compromiso de las empresas con la protección de los datos de los usuarios.

Algunas sí mostraron una voluntad real de dar información sobre sus prácticas de notificación de las vulneraciones de datos personales, y con esto, su compromiso con la protección de los datos personales. Pero la gran mayoría -más del 80% de los responsables encuestados- no mostró un compromiso efectivo para tomar en serio el fenómeno cada día más preocupante de las vulneraciones de datos en México , dijo Cédric Laurant, director del programa SonTusDatos de Artículo 12.

Para la elaboración del estudio, se seleccionaron siete empresas de siete sectores (venta de medicamentos; comercio al por menor de mercancías; transportes, correos y almacenamiento; servicios financieros; servicios educativos; servicios de salud; y telecomunicaciones). En total se consideraron 49 firmas que representan los sectores más importantes de la economía nacional.

NOTICIA: Ley de datos personales sale hoy, prevén

El análisis de las políticas de protección de datos, la organización utilizó dos elementos: la información publicada en sus avisos de privacidad y los resultados de una encuesta enviada electrónicamente a las empresas estudiadas. Sin embargo, el reporte destaca que sólo ocho firmas, que equivalen al 16.32% del total de la muestra, contestó la encuesta.

Varios factores explican la baja participación: la falta de conocimiento dentro de la empresa sobre el tema de la protección de datos, la falta de atención efectiva a los clientes de la empresa cuando llaman para obtener información del departamento de protección de datos, datos de contacto que no funcionan o llamadas a las que nadie contesta o da seguimiento, falta de capacitación adecuada del personal sobre el tema de la protección de datos, inexistencia en muchos casos de la persona a cargo de la materia o falta de implementación de las medidas preventivas para notificar vulneraciones , explicó Laurant.

Las encuestas se levantaron entre el 4 y el 21 de octubre del año pasado. Las empresas que la contestaron fueron: Farmacias del Ahorro, Farmacias Especializadas, Coppel, Transportes ETN, Scotiabank, Universidad de Monterrey, Telcel y AT&T.

NOTICIA: IFAI urge aprobación de Ley General de Datos Personales

¿Notifican vulneraciones?

La legislación mexicana obliga a las empresas que tratan con datos personales, a notificar vulneraciones de los datos de los titulares, proporcionando información respecto a la naturaleza del incidente, los datos personales comprometidos, las recomendaciones de las medidas que puede adoptar, las acciones correctivas realizadas de forma inmediata y los medios donde puede obtener más información.

De las ocho firmas que respondieron la encuesta, seis afirmaron que siempre avisarían a los propietarios de los datos vulnerados. Una empresa, la Universidad de Monterrey (UDEM), notificaría sólo en casos críticos. En contraste, Transportes ETN aseguró que sería innecesaria la notificación pues arreglarían inmediatamente la vulneración.

Cinco empresas aseguraron tener más de un procedimiento y varias personas encargadas del proceso de notificación; tres empresas (Transportes ETN, la UDEM y Scotiabank) señalaron que poseen sólo un procedimiento y una persona encargada de dicha labor.

Para el resto de las empresas analizadas por SonTusDatos resulta imposible saber con certeza las condiciones de notificación ya que ninguna de las compañías analizadas las menciona en su aviso de privacidad, ya que no están obligadas por la Ley.

NOTICIA: Superan los 100 mdp las multas por violar ley de datos personales

El 51% de las firmas consideradas para el estudio tampoco aclara detalla si cuenta con un oficial de protección de datos o un departamento para dicho fin,

Las empresas en México no han notificado hasta ahora a sus clientes, usuarios, empleados o contratistas de las vulneraciones que hayan sufrido y esta encuesta muestra claramente que, en la mayoría de las más grandes empresas de México, no se prevé notificarlas, ni se planea hacerlo, ni se han implementado las medidas necesarias para quedar preparado para hacerlo; más que todo, las empresas tratan de esconder las de que se percatan para evitar de cumplir con sus obligaciones , señaló el experto.

Persiste el silencio

En el último año no se dio a conocer públicamente que alguna de las empresas seleccionadas sufriera alguna vulneración. En los últimos cinco años se conocieron sólo tres casos que fueron divulgados ya sea por la misma empresa o por un tercero: El retailer El Puerto de Liverpool, el banco Banorte y el call center Teleperformance.

NOTICIA:Multan con 263 mdp a empresas por mal uso de datos personales

Y ninguna de las empresas ha pagado alguna multa a raíz de una vulneración de datos personales.

La explicación viene de la actitud todavía muy tímida que tienen las compañías en reconocer que sufrieron de una vulneración, esto por la mala publicidad que les podría traer y el daño a su reputación. Que se hagan públicas las más significantes de esas vulneraciones es muy importante, ante todo para que los titulares afectados puedan enterarse y desarrollar medidas preventivas para protegerse contra ataques informáticos , consideró Laurant.

El reporte retoma el caso de Liverpool, que cotiza en la Bolsa Mexicana de Valores (BMV). El 24 de diciembre del 2014, la firma reportó a la Comisión de la Bolsa Mexicana de Valores (CNBV) que había sido víctima de un intento de extorsión que supuestamente buscaba dañar su reputación , asegurando que los atacantes lograron acceder a los correos electrónicos del personal y también obtuvieron información de algunos clientes .

Esta notificación la realizó únicamente a la CNBV acorde a la Ley del Mercado de Valores, por lo que incumplió con la LFPDPPP al omitir la notificación de las vulneraciones de datos personales a los titulares. El caso fue investigado por el INAI quien, tras haber realizado un proceso de verificación, determinó que se encontraron elementos suficientes para sancionar a la empresa.

Las autoridades iniciaron así la etapa de imposición de sanciones, pero Liverpool impugnó el proceso de verificación, por lo tanto el procedimiento de imposición de sanciones quedó suspendido. Liverpool fue una de las empresas consultadas por SonTusDatos, pero no respondió la encuesta.

NOTICIA: IFAI inicia procedimiento contra Google México

El bajo nivel de notificaciones y divulgación de robos y accesos no autorizados a los datos personales en posesión de las empresas contrasta con la tendencia creciente a las vulneraciones.

De acuerdo con la Encuesta sobre la Situación Global de la Seguridad de la Información 2017, elaborada por PwC, el 87% de las empresas en México han tenido incidentes relacionados con la seguridad de la información, un nivel 13% superior al promedio global.

En México, el 44.5% de las empresas atribuyen los incidentes de seguridad a ex empleados. En segundo lugar, los atribuyen a los hackers, seguidos por los competidores, los empleados actuales y antiguos proveedores.

Mientras que un reporte de CyberEdge Group, citado en el informe de SonTusDatos, señala que el 53.5% de las empresas mexicanas estiman que en los próximos 12 meses sufrirán un ciberataque.

Pretender que no es necesario notificar vulneraciones si se arreglan inmediatamente, no constituye una interpretación correcta de la Ley y, por ello, violaría los derechos de las personas afectadas. Muchas de las vulneraciones que se reportan en otros países en particular en Estados Unidos donde existen obligaciones de notificaciones casi nunca se descubren inmediatamente y se enteran por terceros, cibercriminales incluidos, por lo cual es crucial para las empresas notificar una vulneración, tomando en cuenta los intereses de las personas afectadas , destacó Laurant.

NOTICIA: México, octavo país con mayor robo de identidad

julio.sanchez@eleconomista.mx

mfh