La exposición de millones de datos de clientes de la firma KPMG pone en evidencia la necesidad de hacer modificaciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares para que las empresas tengan la obligación de notificar al Inai cuando experimenten un incidente como este, de acuerdo con el comisionado presidente del instituto, Francisco Javier Acuña.

El funcionario dijo en entrevista con El Economista que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) aprobó, el 26 de febrero pasado,  un acuerdo de oficio del inicio del procedimiento de investigación, la cual comenzó el 28 de febrero, esto pese a que no hubo denuncias de ninguno de los afectados por esta vulneración. A partir de esta fecha, la autoridad cuenta con un periodo de 90 días para determinar si se inicia un procedimiento de verificación en contra de KPMG, el cual podría durar hasta 180 días y, en su caso,  culminar en la imposición de sanciones.

El comisionado presidente aseguró que el incidente de seguridad que se supone ocurrió se trató de una violación de los datos de la nómina de los empleados de 41 compañías que se encontraban en posesión de KPMG México y que el 6 de marzo, la dirección general de Investigación y Verificación del Sector Privado del Inai recibió el memorándum por el cual el director general de Asuntos Internacionales del instituto hizo de su conocimiento la recepción del correo electrónico que KPMG había enviado a sus clientes que fueron afectados, en donde se les informaba de la situación.

“La Ley de Datos Personales si bien es nueva y novedosa en el ámbito del sector público, pero en el sector privado tenemos limitantes que urge que el Poder Legislativo nos ayude a resolver con una reforma que esperamos se dé pronto para la Ley de Protección de Datos Personales en Posesión de Particulares”, dijo Acuña, y añadió que una de las razones por las que se requiere esta reforma es que actualmente las empresas no están obligadas a hacerle saber al Inai que pudieron ser partícipes a un quebranto a esta ley.

Enfatizó que esta legislación quedó rebasada, porque las condiciones de la Ley General de Protección de Datos Personales que aplica al sector público van mucho más allá de las competencias que tiene el Inai en el caso del sector privado, lo que abre una oportunidad para que los legisladores consideren como parte de su agenda el hacer una serie de reformas precisas a la Ley Federal de Protección de Datos en Posesión de Particulares para darle al Inai de manera explícita mayores mecanismos para trabajar en estos casos.

“Me refiero a obligar a las empresas que vivan, por cualquier causa o motivo o situación, una vulneración de datos personales de usuarios o de clientes, a que notifiquen al Inai del incidente, para que no estemos como pasa ahora, que nos tenemos que enterar por los medios de comunicación o, como en este caso, que un investigador mexicano fue quien detectó este problema y lo hizo del conocimiento del Inai”, dijo.

La posibilidad de habilitar la portabilidad de un expediente de datos personales entre particulares, algo que ya existe en el sector público, y aquellas previsiones alrededor del derecho a la privacidad y a la protección de datos de personas fallecidas, que es una incógnita en el caso del sector privado, son otras de las limitantes que los legisladores deben tomar en cuenta a la hora de hacer una reforma a la legislación, de acuerdo con Acuña.

[email protected]