Economía

Bancos deben avisar
a afectados por robo de datos, afirman expertos

Banorte cometió dos violaciones claras a la ley de Protección de Datos, puesto que el robo de datos que sufrió debió ser notificado tanto a las autoridades como a los usuarios afectados, además de que debió eliminar los datos de aquellos que ya no son sus usuarios, coincidieron especialistas. 
Jeanette Leyva
30 junio 2015 0:8 Última actualización 30 junio 2015 5:5
Banorte

Banorte incurrió en dos violaciones graves con el robo de datos que sufrió, señalan especialistas. (Cuartoscuro)

CIUDAD DE MÉXICO.- El Grupo Financiero Banorte tuvo que haber notificado a cada una de las personas que estaban registradas en el listado en “desuso” que fue sustraído por hackers y al no hacerlo infringió la ley de datos personales, indicaron expertos.

El problema, coinciden especialistas, no es la vulneración de sus sistemas, ya que no hay ningún sistema cien por ciento seguro en el mundo, sino que después de la violación no cumplan con la normatividad en políticas y procedimientos de protección de datos.

De acuerdo con especialistas en materia de protección de datos personales, aceptar que fue sustraída esa información implica que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) proceda a una inspección, esto en el caso de que Banorte no haya notificado del hecho, como sí lo hizo a la Comisión Nacional Bancaria y de Valores (CNBV).


Guillermo Antonio Tenorio, director del Instituto de Investigaciones Jurídicas de la Universidad Panamericana, explicó que hay dos violaciones claras a la ley de Protección de Datos por parte de Banorte.

El marco jurídico indica que cuando hay una vulneración a la seguridad de datos personales, lo que cualquier empresa tiene que hacer es avisar a las autoridades que regulan, en este caso a la CNBV y también al INAI.

“Pero con motivo de la ley de datos personales se tiene que dar a aviso a todos aquellos usuarios que estaban en esa base de datos, no sólo basta con avisarle a la autoridad, sino a todos los que estaban en ese listado decirles que fue hackeada”, señaló.

La segunda falla, es que también la ley marca que las bases de datos o listados como menciona la institución financiera que ya no son utilizadas deben ser eliminadas.

Oscar de los Reyes Heredia, director del Departamento de Derecho del Tec de Monterrey Campus Santa Fe, coincidió que el banco tiene la obligación de mantener la seguridad de los datos, aún de personas que ya no sean clientes en activos o un listado en desuso.

“El hecho de tener esa información deben tenerla en resguardo aunque no sean clientes, cuando exista una situación de riesgo debe de informar a los titulares de los derechos”, agregó.