Banco Santander enfrentará una sanción por parte del INAI debido a una vulneración de seguridad que expuso los datos personales de sus clientes.

El INAI descubrió en Twitter (ahora X) una publicación con datos personales sensibles de 73 clientes de Santander, incluyendo nombres y números de tarjetas bancarias. 

En su defensa, el Banco argumentó que los hechos fueron consecuencia de acciones de terceros y que no existen elementos que justifiquen su responsabilidad. Además, señaló que el requerimiento de información por parte del INAI carecía de fundamentos válidos, ya que la Comisión Nacional Bancaria y de Valores (CNBV) era la autoridad competente. Asimismo, alegó que era imposible contar con un inventario de datos personales por la cantidad de clientes y que, además, no era necesario proporcionarlo.

Tras un análisis, el INAI identificó que muchas de los procedimientos y políticas para proteger la información personal presentados para acreditar las medidas de seguridad, fueron emitidos después del incidente. Esto significa que no se acreditó que al momento de la vulneración se contara con las medidas de seguridad necesarias. Además, el INAI determinó que varios de los procedimientos y políticas presentados por el Banco no cumplían con los requisitos establecidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Este incumplimiento, junto con la falta de medidas de seguridad adecuadas al momento del incidente, demuestra la vulneración del deber de seguridad por parte de Santander y, en consecuencia, un incumplimiento de los principios de Responsabilidad y Licitud.

El INAI también subrayó que, aunque el acceso o tratamiento indebido de los datos fue realizado por un tercero no autorizado, el incumplimiento de las medidas de seguridad por parte del Banco facilitó la posibilidad de que tales conductas se llevaran a cabo con éxito. En otras palabras, un cumplimiento estricto de las normativas de seguridad podría haber reducido significativamente el riesgo de un acceso no autorizado a los datos personales bajo su resguardo.

Este caso destaca la importancia crucial de contar con medidas de seguridad robustas y en conformidad con la LFPDPPP. No es suficiente implementar políticas y procesos de protección de datos personales después de un incidente; es esencial que estos estén vigentes y adecuadamente documentados desde el principio. 

La falta de cumplimiento no solo expone a las organizaciones a sanciones legales, sino que también compromete la confianza de los clientes y pone en riesgo la integridad de sus datos personales. Proteger la información personal no es solo una obligación legal, sino un pilar fundamental para la sostenibilidad y reputación de cualquier empresa en la era digital.