Ciudad de México. Entre octubre de 2019 y mayo de 2021, el INAI recibió 346 denuncias por trato indebido de instituciones financieras y de seguros
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) instruyó a la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) a asumir competencia y entregar la información con la que cuente sobre instituciones de seguros en México que han registrado vulneración de datos personales y si han avisado de tal situación a los asegurados.
La Comisionada del INAI Norma Julieta del Río Venegas, quien presentó ante el Pleno el asunto, dijo que en México las instituciones de servicios financieros y de seguros registran altos niveles de vulneración de datos personales, pues tan sólo entre octubre de 2019 y el 4 de mayo de 2021, el INAI recibió 346 denuncias por tratamiento indebido de datos personales relacionadas con instituciones financieras y de seguros, se realizaron 195 procedimientos de investigación y 25 de verificación.
Comentó que durante dicho periodo se impusieron 12 sanciones en contra de entidades financieras y aseguradoras, de las cuales, 4 concluyeron con la imposición de multas; 7 están en proceso de ejecución y una está pendiente de notificación al presunto infractor. En tanto, en el caso de los asuntos concluidos en el periodo de octubre de 2019 al 4 de mayo de 2021, se impusieron multas por 18 millones 650 mil 108 pesos con 60 centavos.
Del Río Venegas añadió que los seguros son mecanismos que ofrecen alivio económico a las personas ante situaciones impredecibles, pero a largo plazo, son importantes instrumentos de captación de ahorro y ayudan al desarrollo económico y social de los países.
“Las instituciones que ofrecen estos servicios deben garantizar a sus usuarios seguridad jurídica en las operaciones que realicen y en las relaciones que establezcan con estos, lo cual incluye el debido tratamiento de los datos personales que se les confían”, aseveró.
Al preguntarse “¿qué datos personales confiamos a las instituciones aseguradoras?”, la Comisionada afirmó que la sociedad entrega a este tipo de entidades una gran cantidad de datos privados como su identidad, información sobre su patrimonio, finanzas, activos y expedientes clínicos, entre otros, cuyo proceso es cada vez más automatizado debido a la revolución digital, pues según la Asociación Mexicana de Instituciones de Seguros (AMIS), en los próximos tres años más del 90% de las organizaciones utilizarán la automatización para realizar su trabajo.
Consideró que la automatización viene acompañada de riesgos de ciberseguridad, por lo que siguiendo recomendaciones de organismos especializados como la Unión Española de Entidades Aseguradoras y Reaseguradoras, es necesario establecer mecanismos de protección de datos personales en la fase previa y durante la contratación del seguro, además de garantizar el derecho de portabilidad cuando se trasladen, copien o transmitan datos entre entidades.
El recurso
Una persona requirió a la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) conocer qué instituciones de seguros han registrado vulneración de datos personales en México y si se ha dado algún aviso de ello a los asegurados durante el periodo de enero de 2018 a marzo de 2021. En respuesta, la Condusef manifestó ser incompetente para conocer de lo requerido, sugiriendo a la persona solicitante presentar otra petición ante la Comisión Nacional de Seguros y Fianzas.
El peticionario presentó una inconformidad ante el INAI por la incompetencia manifestada por el sujeto obligado, pues en una solicitud previa la Comisión Nacional de Seguros y Fianzas indicó que la entidad competente para proporcionar la información era la Condusef. En sus alegatos, la Condusef reiteró y defendió la legalidad de su respuesta inicial. Sin embargo, al analizar el caso, el INAI determinó que ambas entidades poseen facultades genéricas para conocer informes de las aseguradoras sobre vulneraciones de seguridad.
En el análisis se advirtió que la Condusef sí está obligada a agotar el procedimiento de búsqueda de lo solicitado y proporcionar aquella información con la que se cuente, pero en caso de no contar con ella deberá declarar la inexistencia a través de su Comité de Transparencia. Además, la Condusef forma parte del Grupo de Respuesta a Incidentes de Seguridad de la Información conformado por autoridades financieras y de seguros, cuya finalidad es emitir alertas e informar la ocurrencia de incidentes sensibles de seguridad de información. Ante lo anterior, el Pleno del INAI votó por unanimidad revocar la respuesta de la Condusef y le instruyó a asumir su competencia y proporcionar la respuesta que en derecho corresponda.