El  Instituto Nacional de Transparencia, Acceso a la información y Protección de Datos (Inai) 113 empresas a sancionado pro violar la Ley de Protección de Datos desde el 2012

Bancos, hoteles e incluso hospitales y escuelas están entre las instituciones que hicieron mal uso de los datos de la gente en México y fueron sancionadas en el periodo de 2012 a 2016, de acuerdo con el INAI.

De acuerdo con datos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) –encargado de recibir las denuncias y llevar los procesos–de 2012 a 2016,  hubo 113 empresas que hicieron mal uso de los datos de usuarios y fueron sancionadas.

Aunque las instituciones financieras son las que más incurren en violaciones a la ley, también lo hicieron escuelas, hospitales, hoteles, tiendas departamentales, entre otras, exponiendo datos personales sin el permiso de los usuarios.

Esto derivó en multas que suman 275 millones 533 mil pesos impuestas a diversas empresas en los últimos cuatro años; sin embargo sus nombres no pueden difundirse porque aún están impugnando la resolución en tribunales y, por tanto, los procedimientos aún siguen en curso, explicó en entrevista el comisionado del INAI, Francisco Javier Acuña.

Aunque los usuarios proporcionan sus datos de forma voluntaria, las empresas están obligadas a usar esa información sólo para lo que fue recabada.

Sin embargo existen prácticas “indebidas” como la venta de cartera vencida de bancos y el tráfico de bases de datos en el mercado negro, explica el comisionado Acuña, por eso es que los datos pueden terminar en manos de gestores de cobranza u otros bancos.

Cuando los usuarios proporcionan sus datos, tiene derecho a cuestionar a las empresas y saber quién será el responsable de guardarlos, cómo los protegerán, quién o quienes tendrán acceso a ellos y cuánto tiempo los tendrán.

Hasta el momento, sólo las instituciones privadas son sujetos obligados para cuidar los datos personales, pero el Legislativo aprobó la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados en diciembre pasado y en los próximos el presidente Enrique Peña Nieto la promulgará en el Diario Oficial de la Federación.

Todas las instituciones del gobierno estarán obligadas a cumplir los parámetros de cuidado de la información que recaba sobre los ciudadanos y el INAI estará facultado para investigar los casos en los que se incumpla.

Fuente: animalpolitico.com

Los Bancos buscan certificarse en protección de datos personales

La certificación es el último de los eslabones para comprobar ante las autoridades que están haciendo la tarea, pero en el camino tienen que implementar controles que les aseguren que la información está segura y no es susceptible de robo.

En agosto de 2015, la firma de telecomunicaciones Telefónica México recibió la primera certificación en protección de datos personales que emite Normalización y Certificación Electrónica (NYCE), el organismo acreditador autorizado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y la Secretaría de Economía.

Desde entonces, sólo 10 empresas, en su mayoría del sector de tecnologías de la información, han obtenido esta certificación al demostrar que cumplen con los requisitos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Sólo una institución bancaria, Compartamos Banco, del Grupo Gentera, ha recibido esta certificación.

En entrevista, Salvador Sánchez Abarca, director de Operaciones de Tecnologías de NYCE, adelantó que dos bancos más ya están en proceso de certificación, por lo que en un periodo de dos a tres meses podrían sumarse a la lista. Los nombres aún son confidenciales puesto que no han concluido los procesos de certificación.

“La certificación es el último de los eslabones para comprobar ante las autoridades que están haciendo la tarea, pero en el camino tienen que ir implementando los controles que les aseguren que la información está segura y no es susceptible de robo o al menos tienen controles para evitar eso. Estamos todavía en pañales; debemos seguir haciendo esfuerzos importantes”, consideró.

El proceso de certificación consiste en la revisión de políticas y procesos del área de Privacidad de la Información; entrevistas internas para validar el seguimiento a las políticas y procesos; validación de la implementación de hallazgos detectados durante la pre-auditoría y el otorgamiento del certificado por parte de la Comisión Técnica de NYCE.

Si bien la certificación de las empresas en materia de protección de datos es voluntaria, lo cierto es que los ataques a las empresas que buscan vulnerar la seguridad de los datos personales va en crecimiento.

De acuerdo con el Informe de Defensa en Ciberamenazas para 2016 de CyberEdge Group, el 74.6% de las empresas mexicanas manifestaron que sus redes informáticas estuvieron comprometidas entre noviembre del 2014 y noviembre 2015. Esto coloca a México como el séptimo país con el mayor número de firmas que han sufrido ataques cibernéticos a nivel global.

Además, el 53% pronosticaron que serían víctimas de al menos un ciberataque el año siguiente.

“Quizás es más fácil protegerse de un ataque físico porque tienen redundancia de los datos que manejan, pero cibernéticamente es donde ha crecido la delincuencia que es donde han encontrado los mayores golpes a la seguridad de la información”, dijo el experto de NYCE.

A nivel global, CyberEdge Group calcula que los sectores de salud, educación y financiero han sufrido los mayores golpes económicos producto de los ciberataques con un costo per cápita de 355, 246 y 221 dólares, respectivamente.

En enero, El Economista reportó, con base en un reporte de SonTusDatos, el programa de la asociación civil Artículo 12, que la mayoría de las empresas mexicanas fallan en la notificación de los usuarios en caso de que sus datos sean vulnerados. Y Sánchez Abarca, de NYCE, coincide en este diagnóstico.

“Hay opacidad en la declaración si tenemos una falla o no. Justamente por eso a Liverpool le pusieron una multa millonaria. Algo en lo que hay que estar trabajando constantemente es en la cultura de la denuncia y la cultura de la transparencia”, reconoció.

Los Bancos, los más vulnerables

De acuerdo con un análisis realizado por la compañía de ciberseguridad Trend Micro a empresas de más de 1,000 usuarios del sector retail, financiero y gobierno principalmente en México, el 98% de sus redes internas están comprometidas. Sin embargo, el sector bancario es uno de los objetivos más atractivos para los ciberdelincuentes.

“En el sector financiero se ha detectado que reciben el mayor número de ataques y es más vulnerable que otras industrias, que se entiende por lo sensible de los datos. Hemos encontrado que ha aumentado la cantidad de ciberdelitos y muchas veces porque se busca el beneficio económico; la industria financiera es el que más ataques ha recibido y si no llevan un sistema de gestión de protección de datos personales, son presa fácil de los ciberataques y de los hackeos”, advirtió Sánchez Abarca.

Compartamos Banco es el único del sector bancario que cuenta con certificación, y segundo del sector financiero junto con la jalisciense Toka Internacional, una sociedad financiera de objeto múltiple (sofom).

“Sabemos que muchos bancos implementan controles para la protección de datos personales pero en algunos casos no les interesa la certificación, que es un sistema voluntario”, justificó.

Fuente:eleconomista.com.mx