En México la vulneración de datos personales está alcanzando niveles nunca antes vistos y ocasiona afectaciones a millones de ciudadanos. Los bancos, los hoteles, las telefónicas, las escuelas, los hospitales violan de manera continua la Ley de Protección de Datos Personales en Posesión de Particulares.
Lo peor es que sólo una cuarta parte de la población sabe que existe esa ley, y a 53% —según una encuesta nacional presentada por el Inegi a fines del año pasado—, la existencia de dicha ley le importa “poco, algo o nada”.
Mientras tanto las instituciones financieras y de servicios se dan grandes banquetes con la información que los ciudadanos han puesto bajo su custodia.
Existen casos para ponerse a temblar.
Al recibir en su domicilio un estado de cuenta bancario, un cliente advirtió un faltante de cien mil pesos. Según el documento enviado por la institución, había realizado transferencias electrónicas por dicha cantidad a cuentas bancarias de terceros.
El cliente se presentó a reclamar. Alegó que los cargos eran improcedentes. Tropezó con una pared. El banco respondió que las transacciones se habían llevado a cabo con las “llaves” o contraseñas que sólo el cliente poseía: el factor criptográfico de autentificación conocido como “token”.
El cliente comprendió que esas “llaves” habían sido vulneradas, que el banco no había cuidado su información adecuadamente, y en consecuencia, alguien —¿quién?— le había ocasionado un quebranto económico de consideración.
Se sintió absolutamente vulnerable. Temió que una nueva transferencia acabara con su patrimonio.
Expuso su caso en el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, Inai. Según la encuesta del Inegi a la que me he referido líneas arriba, este organismo es conocido sólo por 7.7% de la población.
El Inai inició un procedimiento de verificación. El banco indicó que las medidas de seguridad de su sistema de banca por internet eran inviolables, y afirmó que la única manera de realizar operaciones en línea era mediante los parámetros de seguridad que se hallaban en poder del cliente.
Pero el banco no logró documentar esta información.
Se realizó entonces una visita a las oficinas de la institución financiera para verificar las medidas de seguridad de las que ésta se mostraba tan confiada. El banco no permitió que el Inai –una autoridad nacional en materia de protección de datos personales— corroborara lo que había señalado por escrito.
El hecho, calificado como obstrucción de los actos de verificación, es sancionado con una fuerte multa.
De acuerdo con información del Inai, entre julio de 2011 y junio de 2017, 71 instituciones del sector financiero han sido sometidas a procesos de verificación por mal uso de datos personales. Más de 110 empresas —escuelas, hospitales, tiendas departamentales, hoteles, etcétera— han sido multadas por violaciones a la Ley de Protección de Datos Personales.
De 2014 a la fecha, las multas suman cerca de 300 millones de pesos.
Los números no son para presumirlos en el libro Guinness de los récords: expresan, sin embargo, lo alejados que estamos del sentido de protección de nuestros datos personales. Entregamos nuestro nombre, nuestro domicilio, nuestro teléfono, nuestro número de tarjeta.
No se nos ocurre preguntar a las empresas a las que se los entregamos, quién tendrá acceso a ellos, cómo piensan protegerlos, cuánto tiempo los mantendrán en su poder.
Jamás preguntamos tampoco por el “aviso de privacidad” que las empresas que recaban estos datos están obligadas a tener.
El tráfico de datos personales ha alcanzado niveles nunca vistos en México: se venden en las carteras vencidas, se venden de un banco a otro, se venden en hospitales, clínicas, funerarias.
Un lector me relataba ayer que en cuanto uno de sus familiares fue desahuciado en el hospital, él recibió una llamada procedente de cierta funeraria.
A todos nos ofrecen tarjetas, promociones, viajes. Es el imperio de la ilegalidad.
Dicen en el Inai que todo esto se puede acabar. Depende de nosotros.
