KPMG podría hacerse acreedor a una sanción de hasta 30 millones de pesos por la exposición de miles de datos extraídos de comprobantes fiscales de 41 de sus clientes. De acuerdo con Cynthia Solís, socia del despacho especializado en Tecnologías de la Información Lex Inf, las sanciones dependerán de que el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (Inai) determine, a través de un procedimiento de verificación, que la firma consultora incumplió con sus responsabilidades en el tratamiento de datos de sus clientes y de sus ingresos.

El domingo 14 de abril, El Economista dio a conocer que KPMG México reconoció, a través de un comunicado confidencial enviado a sus clientes, que un pequeño grupo de sus empleados había utilizado los accesos al SAT confiados por estos, con el fin de descargar información fiscal. La información extraída de estas descargas fue almacenada en una base de datos del servicio de nube Microsoft Azure que estaba expuesta en internet sin ningún control de seguridad.

El Inai aseguró que desde el pasado 26 de febrero pasado había llegado a un acuerdo para iniciar una investigación sobre este incidente, la cual podría conducir a un procedimiento de verificación y a la imposición de sanciones.

De acuerdo con Cynthia Solís y según lo establecido en diversas fracciones del artículo 63 de la Ley de Datos Personales en Posesión de Particulares, las sanciones contra KPMG podrían ir de 100 a 160,000 UMAs (8,449 a 13 millones 518,400 pesos) o de 200 a 320,000 UMAs (16,898 a 27 millones 36,800 pesos).

“Como estamos en presencia de varias fracciones del artículo 63 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, por ejemplo, dar tratamiento a datos personales en contravención a los principios de la ley o incumplir el deber de confidencialidad, puede ser una multa de las grandes. Yo creo que estamos hablando de una multa millonaria, de entre 20 y 30 millones de pesos, porque además se acumulan”, dijo Solís en entrevista.

La abogada aseguró que las sanciones también se estiman en función de las utilidades del sujeto responsable. “Imagínate las utilidades de KPMG, entonces creo que sí estamos hablando de una multa millonaria”, dijo. De acuerdo con los resultados del año fiscal terminado en septiembre del 2018, la firma ingresó a nivel mundial 29,000 millones de dólares de ganancias, 7.1% más a lo obtenido durante el año fiscal 2017.

Para Solís, no obstante, si KPMG demuestra, en el procedimiento de verificación que pueda emprender el Inai, que estaba en cumplimiento de los requerimientos a los que la ley la obliga, quienes tendrían que ser sancionados son sus empleados y no la firma en sí.

“Todo está sujeto al procedimiento de verificación y, en su caso, si KPMG demostrara que como entidad responsable sí tenía implementadas todas las medidas físicas, técnicas y administrativas y contaba con la autorización para la obtención de estos datos, en ese caso no sería sujeto de ninguna sanción y esta iría para el empleado, que si se demostrara que fue quien llevó a cabo de manera dolosa o negligente la vulneración de los datos personales, se estimaría en función de sus propios ingresos”, dijo.

De acuerdo con la abogada, en principio, en este caso KPMG funge como el encargado de los datos de sus clientes. “De entrada, hay una presunción fundada de que KPMG no aplicó correctamente las medidas físicas, técnicas y administrativas para salvaguardar estos datos”, añadió.

De acuerdo con la investigación del especialista en ciberseguridad Bob Diachenko, las firmas afectadas por la vulneración de datos de KPMG México pueden ser ArcelorMittal, Thyssenkrupp, el ITESO, Aeroméxico, Profuturo GNP, la Operadora de Hospitales Ángeles y el club de futbol Gallos Blancos, ambos propiedad del Grupo Empresarial Ángeles; así como las farmacias FarmaCon, propiedad de FEMSA. KPMG México no ha confirmado los nombres de las corporaciones afectadas, por motivos de confidencialidad y de que la investigación interna sobre la vulneración sigue en curso. La información vulnerada, publicó Diachenko, incluye información de empleados de estas empresas como su RFC (Registro Federal de Contribuyentes), CURP (Clave Única de Registro de Población), NSS (Número de Seguridad Social), números de cuentas bancarias, salarios o periodo de antigüedad.

Según Francisco Javier Acuña, comisionado presidente del Inai, hasta la fecha, en el sector privado, el instituto ha podido fincar multas desde 8,000 hasta 32 millones de pesos, de acuerdo con los ingresos de la empresa en cuestión.

[email protected]