Investigación al hackeo a Mercado Libre: la empresa es responsable por no cumplir con la Ley de Protección de Datos Personales de México.

En el 2022 Mercado Libre admitió que parte del código fuente de su plataforma sufrió un acceso no autorizado, lo que permitió el acceso ilegal a 300,000 usuarios de América Latina, entre ellos 171,593 titulares mexicanos.

La empresa de comercio electrónico manifestó que los datos personales de los titulares mexicanos no se encontraban en su resguardo de manera directa cuando ocurrió la vulneración, sino que se encontraban en poder de una persona moral extranjera, la cual se cuenta presuntamente con un acuerdo para efectos de almacenamiento.

Sin embargo, durante la verificación, Mercado Libre no pudo demostrar ante el INAI que el tercero extranjero era efectivamente su Encargado, en términos de la normatividad mexicana de protección de datos personales. Esto se debe a que el contrato firmado con el tercero no contenía expresamente la obligación de cumplir con las obligaciones contractuales conforme al aviso de privacidad de Mercado Libre. Tampoco fue posible corroborar que el tercero extranjero tuviera conocimiento de las finalidades establecidas en el aviso de privacidad de Mercado Libre, ni de las obligaciones que le corresponden como Encargado según la normatividad mexicana de protección de datos personales. Asimismo, el documento no indicaba que los datos personales bajo resguardo del tercero extranjero debían ser tratados conforme a la legislación mexicana, ni que las obligaciones serían homologadas a la normatividad referida.

En ese sentido, el Pleno del INAI determinó que la Responsable no demostró que contrató al tercero extranjero en calidad de su encargado en términos de la LFPDPPP.

Aunado a ello, es preciso señalar que la empresa de comercio electrónico no demostró que ella o el tercero extranjero relacionado directamente con la vulneración en materia de seguridad tuvieran implementadas un inventario de datos personales y de los sistemas de tratamiento; las funciones y obligaciones de las personas que traten datos personales;  un análisis de riesgos de datos personales; el establecimiento de medidas de seguridad aplicables a los datos personales identificando aquellas implementadas de manera efectiva; un análisis de brecha; un plan de trabajo para la implementación de medidas de seguridad faltantes derivadas del análisis de brecha;  revisiones o auditorías sobre datos personales;  capacitación del personal que efectúe tratamiento de los datos personales; el registro de los medios de almacenamiento de los datos personales; así como relación de las medidas previamente citadas.   Por ello, el INAI determinó que incumplió con el deber de seguridad.

Asimismo, dentro de la verificación se observó que en la plataforma de la Responsable usa datos biométricos, patrimoniales y financieros; sin embargo, no acreditó contar con el consentimiento de los Titulares para tratar sus datos personales, ni mucho menos acreditó una relación jurídica con ellos para invocar una excepción al consentimiento.

Además, la empresa de comercio electrónico no exhibió medios probatorios que permitan establecer con precisión la identidad de los titulares relacionados con los hechos, así como los tipos de datos personales, patrimoniales, financieros o sensibles que recabó de cada uno de ellos, las fechas en que los recabó, así como evidencia de que consintieron el aviso de privacidad vigente y previamente a su recolección. 

Por lo anterior, la Responsable actualizó incumplimientos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento, debido a que los datos personales de diversos titulares en su resguardo fueron objeto de una vulneración de seguridad; lo que se presumió que fue a causa de la falta de medidas, controles y/o acciones del Responsable y de su encargada tendientes a garantizar el debido tratamiento de los datos personales en su resguardo, conforme a la legislación de la materia; así como por la omisión y cumplimiento de sus obligaciones relativas a velar por un tratamiento legítimo, ordenado, controlado e informado de los datos personales, patrimoniales, financieros y sensibles de los titulares de quienes realiza su tratamiento con independencia de la vulneración que originó el procedimiento.

Por ello, es de crucial importancia que todas las empresas cuenten con contratos con sus Encargados en términos de la LFPDPPP, así como generar las pruebas que demuestren el cumplimiento de los principios y deberes previstas en dicha norma, esto mediante Políticas y programas de cumplimiento normativo en temas de privacidad y de protección de datos personales, con lo que evitarán un riesgo reputacional y sanciones económicas millonarias.