Institución Educativa filtra CVs de sus postulantes: Pone en peligro sus datos personales.

De una búsqueda realizada por el INAI en Internet, se identificó una institución educativa con una bolsa de trabajo que tenía expuestas al público las bases de datos de CV.

Dentro del procedimiento de verificación, la institución educativa declaró que carecía de procesos, manuales y medidas necesarias para la protección de los datos personales. Asimismo, indicó que se encontraba implementando las medidas de seguridad físicas, administrativas y técnicas para proteger los datos personales, y que por el momento carecía de los inventarios de datos personales y sistema de tratamiento. Ante ello, la Responsable solicitó una prórroga para su implementación, lo cual no fue concedida.

Consecuencia de lo anterior, el Pleno del INAI indicó que se cuenta con elementos indubitables para acreditar que la institución educativa expuso los datos personales de las personas titulares, lo cual se generó debido a la falta de medidas de seguridad para evitar que existiera un acceso no autorizado a los datos personales de las personas titulares, por lo que se puede advertir que cualquier persona podía tener acceso a dichos datos, por lo que incumplió con los deberes de seguridad y de confidencialidad.

Aunado a ello, al considerar que la institución educativa trató datos personales en calidad de postulantes a posibles vacantes, debió cumplir con todos los principios establecidos en la LFPDPPP; no obstante, no acreditó la puesta a disposición el Aviso de Privacidad, por lo que incumplió con el Principio de Información, y tampoco acreditó la obtención del consentimiento, incumpliendo con su principio.

En relación con el principio de Lealtad, se determinó que la Responsable no cumplió con éste, debido a que los datos personales no fueron tratados conforme a la expectativa razonable de privacidad, lo cual resulta evidente al observar que los Cv´s quedaron expuestos.

Por su parte, la Responsable no acreditó todas aquellas medidas que le permitieran garantizar la aplicación de los principios de protección de datos personales, como pudo ser  políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determinara adecuado para tales fines, situación que no ocurrió en el caso concreto, incumpliendo con el Principio de Responsabilidad, y considerando que no cumplió con lo previsto en la LFPDPPP, también incumplió con el principio de Licitud. Por todo ello, el Pleno del INAI determinó iniciar el procedimiento de sanción correspondiente.

Este caso nos enseña que la protección de datos personales no es un tema que deba tomarse a la ligera. Las empresas deben implementar medidas de seguridad robustas para proteger la información de sus clientes y empleados, y asegurarse de que sus prácticas cumplan con los deberes y principios previstos en la Ley Federal de Protección de Datos Personales, lo que incluye pruebas de seguridad en sus sitios web, para determinar que la información personal no es accesible para el todo el público sin la debida autorización.

Debemos recordar que el costo de prevenir una fuga de información personal siempre será menor que el de remediarla, por lo que no se debe esperar a que sea demasiado tarde a obtener una multa millonaria o tener un daño reputacional irreparable.

Gustavo Montaño Alvarez