Telcel, AT&T, Movistar y Altán Redes (en el caso de Bait y de otros operadores móviles virtuales) están obligados a destruir de manera inmediata los datos biométricos que solicitan a sus clientes cuando éstos realizan la vinculación de su línea celular a la Clave Única de Registro de Población (CURP), aseguró David Pizaña, vicepresidente de Comercio Electrónico de la Asociación Mexicana de Internet.
El también abogado especializado en privacidad de datos y derecho digital, expuso en entrevista con La Jornada que las empresas telefónicas piden los biométricos para asegurarse que los usuarios son quien dicen ser a través de su identificación oficial (del Instituto Nacional Electoral o pasaporte), pero que una vez que obtienen esos datos para hacer la vinculación, deben destruirlos.
Este diario constató en sucursales de Telcel –la cual tiene casi 60 por ciento del mercado de líneas celulares– que el personal solicita fotografía de frente y de perfil del rostro del usuario, o sus huellas digitales de los dedos índices.
Sin embargo, las empresas no informan ni dan evidencia de que no se quedarán con sus datos biométricos. “Es probable, y es casi seguro, que lo estén haciendo (destruir los biométricos), el problema es que al no ser transparentes o al no comunicar este proceso, generan dudas”, comentó Pizaña. “¿Por qué es casi seguro? Obviamente no lo podemos afirmar, pero todas las compañías telefónicas están bajo un alto nivel de observación técnica y legal, con un elevado nivel de cumplimiento operativo, no solamente de normas nacionales, de la Comisión Reguladora de Telecomunicaciones. Es decir, durante todos los procesos, son industrias de alta regulación y de alto seguimiento con multas muy fuertes, el compliance es parte de ellos”, indicó.
Compliance (o cumplimiento normativo) es el conjunto de políticas, procedimientos y prácticas que implementa una organización para garantizar que todas sus operaciones se ajusten a las leyes, regulaciones y estándares éticos aplicables.
Su objetivo principal es anticipar riesgos legales, evitar sanciones y fomentar una cultura de integridad.
Falla en el protocolo
El especialista advirtió sobre el riesgo de que el personal de las empresas de telefonía tome los biométricos de rostro con su celular y no con el del usuario que se registra.
“El riesgo viene cuando esa persona que te hizo un levantamiento, tomó la foto con su celular (…) tu dato está expuesto porque alguien ya lo tiene. Y seguramente, a lo mejor a su empresa, sí le va a entregar una copia o el archivo, pero él también se queda con una copia de tus datos”, comentó.
“Esos puntos de filtración es donde hemos detectado que se está rompiendo la seguridad, porque las compañías, principalmente en este momento, no están siguiendo buenos protocolos”, mencionó el analista. El jueves pasado, el gobierno federal por conducto de la Comisión Reguladora de Telecomunicaciones (CRT) amplió al 31 de diciembre el plazo para vincular las líneas de celular –tanto de prepago como de pospago– a la CURP. El organismo emitió un calendario con las fechas límite para realizar la vinculación conforme al último dígito del número de línea celular.
