El caso de AT&T y Teleperformance deja a la vista lo mucho que sigue pendiente en materia de protección de datos personales, a casi ya 5 años de estar vigente la ley en la materia.   Por Rodrigo Orenday Serratos Eventos recientes muestran lo mucho que falta por hacer en materia de protección de datos personales para que México logre el reconocimiento de “puerto seguro” del que gozan otros países para una materia esencialmente internacional y de derechos humanos, pero además han hecho mella en su imagen en el exterior y continúan inhibiendo el desarrollo de negocios e inversiones. Apenas en marzo hubo una controversia entre la Comisión Europea y el SAT por la intención de este último en obtener, en términos no conformes con la regulación europea de privacidad, el Código Localizador de Registro para los pasajeros transportados del extranjero a territorio nacional y viceversa por las aerolíneas de aquel continente, lo cual las exponía al riesgo de multas en ambos extremos del Atlántico. El caso está en pausa mientras ambos organismos negocian al respecto. Tratándose del sector privado, el regreso de la Pascua trajo la noticia de la histórica sentencia consentida entre la Federal Communications Commission y AT&T por US$25M, consecuencia de la vulneración de los datos de más de 68,700 usuarios estadounidenses originada en un call center en Monterrey entre noviembre de 2013 y abril de 2014. El expediente refleja que 3 empleados de Teleperformance habrían sido pagados por terceros para obtener los nombres y números de seguridad social de los usuarios de la telefónica para utilizarlos en solicitudes de desbloqueo de equipos móviles. El hecho se repitió en Filipinas y Colombia, pero lo que nos interesa es que haya sucedido en nuestro país; llama la atención que fuera en Monterrey, pues en 2014 la policía de McAllen detuvo a una pareja regiomontana en posesión de arjetas de crédito vinculadas con el ataque a Target en 2013. El caso ilustra las implicaciones de uno de los principios torales de la protección de datos: el de Responsabilidad, que obliga al Responsable (del Tratamiento de Datos Personales) a velar y responder por el Tratamiento de aquellos Datos bajo su custodia o posesión, incluso habiéndolos remitido a un Encargado, como es el caso del call center, dentro o fuera de México. Para ello, el Responsable debe asegurarse de que tales proveedores queden contractualmente obligados a tratar los datos personales únicamente como lo instruya aquél, bajo medidas de seguridad acordes con la normatividad aplicable, conservarlos como confidenciales y no comunicarlos a terceras personas no autorizadas o facultadas para ello, debiendo suprimirlos una vez terminada la relación con el Responsable. El IFAI ha iniciado una investigación de oficio, pues el Reglamento de la Ley lo hace aplicable aunque el Responsable no se haya establecido en México, pero utilice medios situados aquí para realizar dicho Tratamiento, como es el caso de un call center, particularmente las disposiciones sobre medidas de seguridad; ya existe el precedente de sanciones respecto de tales Encargados, como las multas impuestas en 2014 a Seguros Banamex, como Responsable, y Revoware, como su Encargado, por la violación a los principios de responsabilidad, información y licitud. Esta investigación se suma a su investigación oficiosa de la vulneración a El Puerto de Liverpool, revelada en la Nochebuena del 2014. Además de la investigación de la autoridad, éste es un caso que necesariamente debería ser revisado internamente por Teleperformance, pero también por la Asociación Mexicana de Centros de Contacto, puesto que si bien los hechos se presentaron antes de que los actuales parámetros para el correcto desarrollo de esquemas de autorregulación vinculante estuvieran vigentes y el IFAI implementara el Registro correspondiente, hoy día la normatividad sobre protección de datos personales no sólo brinda los medios para implementar los controles debidos, sino también para contar con recursos que brinden mayor certeza a los clientes y al público en general, como los sellos de confianza que podrán implementarse mediante dichos esquemas. Esto deja lecciones importantes, no sólo para los Responsables del Tratamiento de Datos Personales, por el riesgo reputacional y “riesgo de contraparte” en que podrían incurrir al contratar proveedores de servicios para sus procesos de dicho Tratamiento, sino también para esos proveedores, puesto que el riesgo reputacional derivado de casos como éstos los alcanza también a ellos aunque sus clientes sean los más visibles y pueden significarles pérdidas cuantiosas: AT&T terminó su contrato con Teleperformance en septiembre de 2014, y además de aforntar el costo monetario resultante de la multa sufrió su impacto en el valor de sus acciones en la bolsa. Para zanjar el caso, la FCC le impuso en la sentencia consentida la obligación de designar a un gerente corporativo senior facultado para ser Oficial de Cumplimiento, quien no sólo deberá tener conocimiento de la legislación de telecomunicaciones, sino además de principios y prácticas para implementar los requisitos de seguridad de la información convenidos y también estar cetificado en privacidad por una entidad certificadora, lo cual enfatiza la importancia actual de los profesionales certificados en protección de datos personales. También ilustra que el cumplimiento normativo en materia de protección de datos personales no se limita a redactar y tener disponible un aviso de privacidad; AT&T deberá llevar a cabo una valoración de riesgos y ejecutar un programa de seguridad de la información debidamente documentado, que incluya un manual de cumplimiento y sea monitoreado permanentemente, además de capacitar a sus empleados y proveedores de servicios de call center. En concluisión, el caso de AT&T y Teleperformance deja a la vista lo mucho que sigue pendiente en materia de protección de datos personales a casi ya cinco años de estar vigente la ley en la materia, y la apremiante importancia de que las empresas se ocupen no sólo en implementar su cumplimiento normativo, sino en cerciorarse de que sus proveedores hayan hecho lo propio, so pena de cuantiosos costos financieros y reputacionales.   Rodrigo Orenday Serratos es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.   Contacto: Twitter: @OrendayAbogados Blog: Orenday Serratos Abogados   Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

 

Siguientes artículos

El derecho humano de acceso a la información
Por

Con la Ley de Transparencia se busca fomentar la cultura de la rendición de cuentas, el acceso a la información y la par...