Falla Inai en protección de datos personales

18 de Diciembre de 2024

Falla Inai en protección de datos personales

05 INAI 102

Aunque el Instituto divulga las sanciones que impone por el mal uso de datos, ni el SAT ni el Tribunal de Justicia Administrativa informan en qué terminan los casos

En seis años, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (Inai) cumplió con el manual y sancionó a personas físicas y morales por el uso indebido de datos personales, pero fue insuficiente para cumplir plenamente con la ley. El 98% de sus resoluciones fueron impugnadas o no han sido cobradas por el Servicio de Administración Tributaria (SAT). Sólo cuatro de 191 sanciones lograron consumarse.

De los 362 millones 576 mil 574 pesos de multas que ha impuesto el Instituto, del 6 de enero de 2012 al 20 de marzo de 2018, el SAT sólo ha podido cobrar el 2.4 por ciento; es decir, nueve millones 57 mil 999 pesos, de acuerdo con una respuesta a una solicitud presentada por ejecentral.

› Aunque el Inai ha informado en diferentes boletines la imposición de sanciones, lo que no ha explicado es que se cumple parcialmente con la ley, porque la mayoría de los casos están en litigio, debido a que las empresas han impugnado las resoluciones del Instituto o bien la ejecución del SAT para cobrarlas.

A pesar de la ineficacia en el cumplimiento de sanciones que ordena la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), hace unas semanas el Instituto inició a una batalla en la que se enfrenta con monstruos transnacionales. El pasado 10 de abril el Inai informó que inició una investigación de oficio para “corroborar el cumplimiento” de la LFPDPPP por parte de las empresas involucradas en el caso Cambridge Analytica, la cual accesó a la información de 87 millones de usuarios mexicanos de Facebook, para beneficio de campañas electorales, una de ellas del candidato republicano Donald Trump.

La pesquisa liderada por la Dirección General de Investigación y Verificación del Sector Privado del INAI analiza los aspectos técnicos que permitan corroborar qué empresas mexicanas vulneraron la Ley de Protección de Datos Personales, debido a su relación con la aplicación Pig.gi, la cual presuntamente intentó utilizar Cambridge Analytica para obtener datos de mexicanos y colombianos, y que ofrece internet gratuito, boletos para el cine y descuentos en Facebook a través de “piggiencuestas”.

Para María Solange Maqueo, profesora investigadora del Centro de Investigación y Docencia Económicas (CIDE) y especialista en protección de datos personales, si bien es positivo que el Inai abriera una investigación sobre el caso Cambridge Analytica, las facultades de la institución están rebasadas, ya que la vulneración de los datos pudo darse extraterritorialmente, es decir, escapa de la normatividad mexicana de la protección de los datos.

“Estamos en pañales, porque cómo se va a multar a una empresa que no tiene un establecimiento en México, lo que hace muy difícil hacer efectiva la multa. Quedamos en un estado de indefensión. Por ello, es fundamental promover mecanismos de colaboración internacional en este sentido. Porque muchas de las vulneraciones ya se están dando desde afuera”, expresó.

Lento mecanismo

Pese a que en boletines del Inai se da cuenta de las multas impuestas a los infractores por manejo inadecuado de los datos personales, en realidad el Instituto no da un seguimiento real al cobro de las multas.

De los 191 casos abiertos en seis años sólo cuatro han podido ser cobrados por el SAT, dependencia que desde el 9 de noviembre de 2015 es la encargada de controlar y llevar a cabo la recaudación de multas que se impongan a los sujetos regulados por la LFPDPPP, según lo establece el Convenio de Colaboración que firmaron el SAT y el INAI.

Y desde abril de 2016, las administraciones desconcentradas de recaudación del SAT son los encargadas del cobro de las multas, según el domicilio en el que se ubiquen los infractores.

Pero conocer qué empresas sí han pagado sus multas y cuáles no, es otro de los aspectos que quedan en el vacío, porque el SAT no está obligado a reportárselo y menos aún definir a dónde se destina ese dinero, que por ahora supera los nueve millones de pesos.

“Tampoco es posible desprender que en caso de que dichas multas sean pagadas por los particulares las autoridades recaudatorias tengan que informar a este Instituto el destino de las mismas”, respondió el Inai a este semanario.

Los motivos

Una de las causas de la baja recaudación de las multas, explicó Solange Maqueo, radica en que las empresas impugnan las resoluciones del Inai, lo que inmediatamente remite el caso ante el Tribunal Federal de Justicia Administrativa. “De ello depende en mucho la posibilidad de hacer o no efectivas esas multas, pues depende del fallo de ese Tribunal”.

Es por eso, añadió la especialista en protección de datos personales, que uno de los temas a debate es el porqué el Tribunal de Justicia Administrativa es el órgano competente que resuelve estos recursos, si el Inai ya es un órgano autónomo que no depende de la administración pública federal, pues a decir de la especialista, el nivel de especialización del tema de la protección de datos personales demanda que los casos se resuelva en tribunales judiciales para darles mayor celeridad y certeza.

“La Ley Federal de Protección de Datos Personales en Posesión de Particulares es de 2010 con antelación a la conversión del entonces Ifai a Inai, como órgano constitucional autónomo, y la competencia del Tribunal tenía lógica cuando el IFAI tenía una naturaleza dentro de la administración pública, al dejar de estar inserto como órgano autónomo, es discutible que este Tribunal sea la instancia adecuada para conocer de estos recursos”, agregó.

Otra problemática, añadió la especialista, es que actualmente el seguimiento del cobro de las multas queda en el limbo pues al rastrear los asuntos en el Tribunal no se puede dar seguimiento al caso, ni mucho menos saber cómo se resolvió.

Grandes peces, poca pesca

Estos son algunos de los casos más significativos de sanciones impuestas por el Inai sin registros de que hubieran sido cobradas:

Radiomóvil Dipsa, empresa propietaria de Telcel y subsidiaria de América Móvil, usó datos particulares sin consentimiento del titular. Sanción impuesta el 9 de abril de 2014 por 9 millones 940 mil 660 pesos.

BBVA Bancomer, manejo inadecuado de los datos de un ciudadano al utilizarlos para tramitar servicios no autorizados. Sanción impuesta el 23 abril de 2014 por seis millones 637 mil 900 pesos.

Obses de México, señalada como una empresa que dotó a la Procuraduría General de la República (PGR) de tecnología Finfisher y Hunter Punta Tracking/Locsys utilizada para espionaje, usó datos particulares sin consentimiento del titular. Sanción impuesta el 26 de marzo de 2014 por un millón 295 mil 200 pesos.