El acceso no autorizado y robo de datos a la empresa de telecomunicaciones AT&T y a la minorista El Puerto de Liverpool, así como la aplicación del “derecho al olvido” (cancelación y oposición de datos de un titular) solicitada por un particular a Google México se han convertido en casos emblemáticos para la protección de los datos personales dentro de la jurisdicción mexicana.
Estos casos han puesto a prueba las capacidades de las autoridades mexicanas, bajo el mando del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), para garantizar el resguardo adecuado y la seguridad de los datos personales de los ciudadanos y su derecho a la privacidad en la era digital desde la promulgación del Reglamento a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) en diciembre del 2011.
En entrevista con El Economista, el comisionado del IFAI Francisco Javier Acuña informó que se inició de oficio una investigación preliminar a la empresa Teleperformance en México por el presunto robo de información de clientes a AT&T. En Estados Unidos, la operadora fue multada con 25 millones de dólares por el regulador.
Un proceso similar en contra de la mexicana Liverpool, que arrancó en enero del 2015 debido a un hackeo que derivó en el robo de información confidencial y de clientes, está por concluir por lo que en algunas semanas se determinará si se inicia un proceso de verificación que determinará si la empresa podría ser sancionada.
Google México, empresa a la que el IFAI resolvió iniciar un procedimiento de sanción por no dar respuesta a la solicitud de un particular para ejercer sus derechos de cancelación y oposición, interpuso recursos de amparo por lo que la imposición de sanciones quedó suspendida hasta que el Poder Judicial determine si son admitidos los argumentos de la compañía, dijo Acuña, miembro de la Comisión de Datos Personales en el IFAI.
Esto apenas es el inicio de un mayor número de procedimientos que podrían emerger conforme aumente la conciencia sobre el control y protección de los datos personales y la privacidad.
“Estamos en una etapa inicial. Es muy fresca la emergencia a esta ley, que sale en el 2011. Son cuatro años escasos y en este tiempo los casos que se han atendido no son pocos pero no todos han llegado a la última etapa que es la sanción”, explicó.
“Desde el 2011 se han presentado más de 1,000 denuncias. Son muchas, pero respecto a las que podría haber son nada, pues calculamos que hay cinco millones de sujetos obligados en el mercado que manejan datos personales, desde empresas, el club, la escuela, el hospital, la clínica, el abogado, el psicólogo”, agregó.
Lo cierto es que la aplicación de esta legislación está en una etapa temprana: “Estamos en una etapa de asimilación institucional”, reconoció el comisionado Acuña.
Google México impugnó resolución del IFAI
El 26 de enero del 2015, el Pleno del IFAI resolvió ordenar a Google México el ejercicio de los derechos de cancelación y oposición de un particular debido a la “omisión de respuesta” por parte de la filial mexicana de Google para el ejercicio de estos derechos, lo que habría significado que se desindexaran del motor de búsqueda la información referente a su persona. El IFAI también ordenó un procedimiento de sanción que podría llegar ascender a los 44 millones de pesos, según informó entonces la comisionada presidenta del instituto, Ximena Puente de la Mora.
Google buscó impugnar esta resolución ante el Tribunal Federal de Justicia Fiscal y Administrativa.
“Estamos detenidos porque a esta resolución se interpusieron amparos y con esto nos encontramos detenidos porque uno de ellos ya determinó la suspensión, para que el juez que examina el asunto resuelva en definitiva si concede o no el amparo en todos los sentidos o sólo para unos efectos. El asunto está en una circunstancia del Poder Judicial”, explicó el comisionado Francisco Javier Acuña, miembro de la Comisión de Datos Personales en el IFAI.
La resolución del 2015 revoca una resolución del 2014 en la que se resolvió “improcedente” el ejercicio de estos derechos ante Google México, con el argumento de que esta entidad no era la persona moral propietaria que presta ni administra la operación del servicio de motor de búsqueda sino Google lnc., empresa estadounidense, fuera de la jurisdicción de las autoridades mexicanas.
Si bien este caso ha marcado un precedente, pues es el primer procedimiento de sanción en contra de un gigante transnacional, lo cierto es que los procedimientos de sanción interpuestos por el IFAI tampoco han logrado ejecutarse.
“Había una estimación de que eran 100 millones de pesos equivalentes a sanciones pero no se han concretado porque se han impugnado todas. Tenemos el dato de sólo una que ya se hizo líquida a favor de la Tesorería del Distrito Federal”, aseguró Acuña. El monto de sanción comenzaba con una base de 44 millones de pesos.
OPINIÓN: Google México violó la Ley de Protección de Datos, de acuerdo con el IFAI
Prometen investigación exhaustiva por robo a AT&T
Luego de que El Economista dio a conocer que la filial de Teleperformance en Monterrey fue el origen de una vulneración que provocó el acceso no autorizado y robo de datos de clientes de la operadora estadounidense AT&T, de acuerdo con ex trabajadores de al firma, el IFAI anunció el inicio de un procedimiento de investigación.
“Es la primera de las fases de una intervención que tiene la intención de encontrar cabos sueltos que puedan servir para localizar posibles transgresiones a la LFPDPPP y si después de llegar estos indicios se encuentran elementos que podrían evidenciar posibles transgresiones, lo que podría venir es el iniciar un procedimiento de verificación, que busca imputaciones por transgresiones. Estamos todavía muy lejos de poder iniciar un procedimiento de sanciones”, explicó Acuña.
El comisionado del IFAI prefirió no dar proyecciones sobre el tiempo que tardarían estas investigaciones ni futuros escenarios en caso de encontrarse elementos que transgredan la ley, aunque aseguró que será una pesquisa “exhaustiva”.
“Lo que proporcionó la nota periodística es un indicio pero eso no significa que Teleperformance va a ser la única empresa a la que se le va a requerir información a estos efectos, pero sí a las partes involucradas”, agregó Jonathan Mendoza, director general de Verificación del IFAI.
Este caso resalta por la vulneración de datos que presuntamente habría sido perpetuada en una empresa localizada en México y que afectó a una firma extranjera, a la que ofrecía servicios tercerizados de call center.
En las modificaciones que se preparan al entramado legal en materia de seguridad pública, el sector privado cabildeó para evitar que la ley obligue a las empresas a informar sobre vulneraciones a bases de datos. “Nosotros tenemos una mayor cercanía con la influencia económica y comercial del modelo norteamericano, y las grandes firmas y compañías de telecomunicaciones hicieron valer su voz para tratar de evitar una regulación de mayor alcance”, reconoció Acuña.
Liverpool, investigación por concluir
En un evento relevante enviado a la Bolsa Mexicana de Valores (BMV) el 24 de diciembre del 2014, la tienda departamental El Puerto de Liverpool dio a conocer que fue víctima de un ataque que derivó en la intrusión de los correos electrónicos del personal y robo de información de clientes.
El 15 de enero del 2015 inició un proceso de investigación a Liverpool. “Es un tema que lleva cuatro meses de investigación, ha habido varias comunicaciones con la empresa las cuales son confidenciales”, dijo Jonathan Mendoza, de Verificación del IFAI.
En este caso fue la empresa la que proporcionó los indicios para el arranque de este proceso de investigación al informar del hackeo a las autoridades bursátiles.
“Está por concluir la investigación. Si de ese procedimiento inicia una verificación, hay elementos clarísimos de que el asunto promete, tras la verificación, llegar a otro estadio pero tampoco puede garantizarse que de la verificación se llegue a la sanción”, dijo Acuña.
El IFAI no dio mayores detalles ni resultados de las investigaciones.