En el mercado negro de compra-venta de datos personales, por 100, 200 pesos (o menos) se adquiere el teléfono de una persona, correo electrónico, CURP, ingresos, cuentas bancarias, número de tarjetas de crédito, cargo laboral, cédula profesional, temas más visitados en la Red, preferencia sexual, cuántos hijos se tienen, color del iris, palma de la mano, religión, pertenencia a un sindicato, de acuerdo con un estudio de la Asociación de Internet en México. Pese a la existencia de leyes de protección de datos personales, la compra-venta en el mercado negro puede encontrarse hasta en Facebook.

Sin necesidad de navegar en la deep web (red profunda), en un grupo abierto de Facebook de compra y venta de datos personales, un usuario ofrece base de datos bancarios, de teléfono, de viajes o del Instituto Nacional Electoral (INE).

Los datos personales de los ciudadanos, que van desde números a imagen o sonido, llegan a venderse hasta en menos de 100 pesos en el mercado ilícito, de acuerdo con el informe “Valor Económico de los Datos Personales” (2016), de la Asociación de Internet de México y la Secretaría de Economía, basado en entrevistas a individuos y empresas, hambrientos de lucrar con datos de contacto, financieros, laborales, académicos, de entretenimiento, sexuales, ambiente familiar, salud, características físicas, situación jurídica, ideología y origen étnico.

Una compañía puede pagar 217 pesos por un correo electrónico; 184 pesos por una firma electrónica; 171 pesos por un número telefónico; 147 pesos por un domicilio o la CURP; 130 pesos por una fotografía; o 109 pesos por el lugar de nacimiento, estimó el estudio retomado a la fecha por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Si se interesa por temas principales consultados en la red da 208 pesos, por el cargo laboral 211 pesos o 228 pesos por la cédula profesional.

Llamadas de extorsión o secuestro exprés, llamadas insistentes o correos electrónicos de empresas para ofrecer un producto, oferta de regalos fraudulentos, publicidad personalizada, bullying… La mayoría de los ciudadanos ha entregado datos vía internet o personal a una institución pública o privada para hacer un trámite u obtener algún servicio, sin saber en qué manos (físicas o cibernéticas) terminan.

Estimado de precio de datos personales de contacto. Gráfica: Estudio de AMIPCI.

A partir del día en que María fue al banco para solicitar su estado de cuenta, impreso por una ejecutiva, comenzó a recibir llamadas por teléfono al celular y al de su casa “que rozaban en el acoso” para ofrecerle una tarjeta de crédito. Aunque su respuesta siempre era negativa, las llamadas no cesaron hasta que bloqueó los números. El banco le dio la opción de darse de alta en un padrón de usuarios “que no desean ser molestados con publicidad, promociones, entre otros, por parte de las instituciones financieras en sus prácticas mercadológicas”.

Las empresas llegan a comprar por 186 pesos los ingresos financieros de una persona, 157 pesos por bienes inmuebles y por solo 107 pesos adquieren el número de tarjeta bancaria, calcula el informe de la Asociación de Internet en México.

Una semana después le llegó otra llamada de número desconocido: una empresa telefónica le ofrecía cambio de compañía y el interlocutor argumentó que obtuvo su celular de la base del Instituto Federal de Telecomunicaciones (Ifetel).

“De entrada es un delito la venta de datos personales”, aseguró en entrevista el Comisionado de INFODF y académico de la Facultad de Derecho de la Universidad Nacional Autónoma de México (UNAM), Arístides Rodrigo Guerrero García.

La Ley de Protección de Datos Personales (en posesión de particulares y de sujetos obligados), así como el artículo 16 constitucional establecen el derecho a la privacidad y protección de datos personales.

Por 107 pesos una empresa puede saber el número de tarjeta de crédito.

En el caso del manejo de datos personales por parte de sujetos obligados públicos –poder ejecutivo, legislativo, judicial, partidos políticos, órganos autónomos, tribunales y fideicomisos– “más que venta de datos personales llegan a cometer errores en el tratamiento de los datos, es decir, que no los resguardan con efectividad”, expuso el Comisionado de INFODF, Rodrigo Guerrero García. “Por querer proteger el derecho a la información no cuida los datos personales”.

Ante ello, un particular puede interponer un recurso de revisión de manera directa o vía electrónica para que sean protegidos, de acuerdo con la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la CDMX, la cual establece como sanciones a los funcionarios la amonestación pública y una multa (que no puede ser pagada con recursos públicos) por el mal manejo de los datos personales.

El Comisionado presidente del INAI, Francisco Acuña Salas, dijo que la “competencia complementaria” del órgano autónomo además de garantizar el acceso a la información pública es defender el derecho a la privacidad.

“En la era digital el mundo global nos obliga a colocar los telescopios y microscopios hacia la internet para vigilar el curso, el destino y la permanencia de nuestros datos personales, sobre todo aquellos que tienen la calidad de sensibles”, afirmó en el evento del Día Internacional de Protección de Datos Personales a inicios de este año.

Entre los datos sensibles, de acuerdo con el estudio de la Asociación de Internet de México, resalta que una compañía puede saber por 135 pesos si una mujer está embarazada o por 107 pesos cuántos hijos tiene alguien. El tipo de sangre vale unos 27 pesos, el color del iris otros 17 pesos y la palma de la mano 31 pesos. La identidad completa de un individuo está bajo acecho.

Usuario busca comprar CURP de ciudadanos. Imagen: Facebook.

“Contamos con referencias”, garantiza una vendedora. Imagen: Facebook.

Otra oferta de base de datos. Imagen: Facebook

Frente a la compra-venta de datos personales y bajo el concepto “economía de datos justa”, surgió Tegger, una plataforma tecnológica que permite a los usuarios tomar el control de sus datos y obtener recompensas (tiempo aire de celular, boletos de cine, cupones promocionales, criptomonedas) a cambio de compartirlos de forma voluntaria.

La plataforma distribuye el valor de esta información a los sitios y creadores de contenido para que generen experiencia de usuario, contenido y publicidad. Uno de sus clientes fue Cultura Colectiva, portal investigado por el INAI por el posible mal manejo de datos personales de usuarios de Facebook.

“Cuando navegas en internet, constantemente dejas un rastro de información personal valiosa que muy a menudo no se maneja, comunica o vende de manera ética o transparente.Aunque tú eres dueño de esta información mucho sitios la registran y recolectan sin tu consentimiento o conocimiento y te ofrecen muy poco a cambio”, justifica Tegger en su página oficial.

En otros casos, vía correo electrónico, compañías ofrecen cursos de protección de información bancaria o personal… a cambio de responder con datos personales.

En correo electrónico se solicitan datos personales a cambio de un supuesto curso para protección de datos. Foto: Especial.

ENTREGA DE EMPRESAS DE TELECOM

Entre 2016 y 2017 los concesionarios y autorizados de telecomunicaciones reportaron haber recibido poco más de 140 mil solicitudes de acceso a datos conservados y de localización geográfica, de las cuales dio 40 mil 839 a autoridades no facultadas e indeterminadas para ejercer vigilancia, entre ellas, al gobierno del Estado de México o a la Secretaría de Marina, reportó la organización R3D en el informe ¿Quién no defiende tus datos? (2018).

“Sugiere violaciones sistemáticas al derecho a la privacidad y la protección de datos personales por parte de empresas de telecomunicaciones, al otorgar acceso a datos personales de los usuarios a autoridades no facultadas en el ejercicio de la vigilancia”, acusó R3D.

“Es necesario que el Instituto Federal de Telecomunicaciones (IFT) y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), en cumplimiento de sus obligaciones, lleven a cabo los procedimientos de investigación y verificación correspondientes, de manera que queden establecidas las posibles violaciones a la ley y, en su caso, se apliquen las sanciones correspondientes”.

SinEmbargo