El Órgano Interno de Control de Banco del Ahorro Nacional y Servicios Financieros (Bansefi) deberá sancionar al responsable de exponer los datos personales de un ciudadano en su página de internet, instruyó el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
“Al actualizar el portal se descuidó en la configuración dicha información, dejándola a la vista de todos los usuarios de internet que entraban a esta página, aunque a la fecha ya bajó la información, lo cual podría ser un atenuante en caso de que así lo considere su Órgano Interno de Control, desafortunadamente los datos personales del titular ya fueron divulgados”, señaló el comisionado Oscar Guerra Ford, al presentar el asunto ante el Pleno.
El particular denunció ante el INAI que la información entregada a Bansefi para el trámite de una queja estaba visible en el portal del sujeto obligado, en el sitio web de Quejas y Denuncias.
Bansefi reconoció que los datos personales se encontraban en sitio web de quejas y denuncias recibidas en 2013; sin embargo, argumentó que la información fue publicada antes de que entrara en vigor la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO)
El INAI verificó que los datos personales del denunciante: nombre, domicilio, correo electrónico, número de su cuenta bancaria y nombre de su hija eran públicos; acreditando infracciones al deber de confidencialidad, así como los principios de responsabilidad, calidad y licitud, pues los datos personales del particular fueron expuestos en el vínculo electrónico de 2013 a 2018
Es decir, los datos continuaban expuestos en enero de 2017, cuando entró en vigor la LGPDPPSO, que obliga a los responsables a cumplir con los deberes y principios desde la recolección de los datos personales hasta la conclusión de su ciclo de vida, es decir hasta la supresión de estos o su envío al Archivo Histórico.
En este caso al dejar de utilizar secciones de un portal mediante el cual que se recaban datos personales, se debió tener especial cuidado para evitar dejar información visible en la red; además, al suprimir los datos personales de los titulares se deben establecer políticas, métodos y técnicas orientadas a la suspensión definitiva de éstos, de tal manera que la probabilidad de recuperarlos, reutilizarlos de forma indebida sea mínima o nula.
Por lo anterior, el INAI dio vista al Órgano Interno de Control de Bansefi, a efecto de que, en el ámbito de sus atribuciones, imponga o ejecute sanción por las conductas que encuadren en lo previsto en el artículo 163, fracción III de la LGPDPPSO, que determina interponer sanciones a quienes usen, sustraigan o divulguen de manera indebida datos personales que se encuentren bajo su custodia o los cuales tengan acceso, conocimiento con motivo de su empleo, cargo o comisión.
Las sanciones de carácter económico, que en su caso imponga el Órgano Interno de Control, no podrán ser cubiertas con recursos públicos.