Una Sociedad Financiera será sancionada por dejar públicos datos personales de sus clientes en su sitio de internet.

El INAI, mediante acciones de monitoreo en el internet, localizó que en el dominio de una SOFOM eran públicos diversos datos personales de sus clientes, entre los cuales estaba su nombre, CURP, RFC, número de seguridad social y datos de salud.

La SOFOM manifestó que no reconocía como propios los vínculos de internet en los que se hacía pública la información; sin embargo, la información contenida en ellos eran responsabilidad de ésta y entregados con el carácter de confidencial por los clientes para cumplir con finalidades específicas y por ende, debió realizar las acciones necesarias para mantenerla en tal carácter, con la objetivo de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, es decir, la posibilidad de elegir qué información de la esfera privada de la persona puede ser conocida y cuál debe permanecer en secreto. Por ello, se acreditó que no cumplió con el deber de confidencialidad.

Asimismo, la SOFOM incumplió con el principio de lealtad, ya que no trató los datos personales de sus clientes de manera legítima y controlada, ya que no fueron tratados conforme a la expectativa razonable de privacidad, lo cual resultó evidente al observar que parte de los datos personales en su resguardo fueron divulgados en su sitio web.

Además, la Responsable incumplió con el principio de responsabilidad, toda vez que se cuenta con elementos suficientes para presumir que en el caso concreto no se tomaron las medidas necesarias para garantizar el debido tratamiento de los datos personales que se encontraban bajo custodia de la Responsable.

En el presente caso, el Pleno del INAI omitió analizar el deber de seguridad el cual consiste en la obligación de la SOFOM en establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

En este caso, la SOFOM debió contar con Políticas de Privacidad y Seguridad de la Información en las que se establezca de manera periódica pruebas de penetración (PENTEST) para identificar las debilidades de seguridad en sus sistemas y generar Evaluaciones de Impacto a la Privacidad que permita identificar si cumple con la Ley de Protección de Datos Personales. Adicional a ello, debió establecer procesos de auditoría que garanticen que los procesos de evaluación y verificación se cumplan.

Es importante recordar que las empresas deben establecer todas las medidas que garanticen que no exista acceso no autorizado a la información personal. Además, debemos recordar que la carga de la prueba recae en las empresas, las cuales deben contener los requisitos exigidos por la Ley de Protección de Datos Personales y cumplir con las leyes del sector respectivo.