KPMG en la mira, podría recibir una multa por exposición de datos de sus clientes

Imagen de Bigstock
  • KPMG habría incurrido de forma negligente a la base de datos del SAT para obtener información de sus clientes

  • La información quedó almacenada en una base de datos sin control de seguridad

  • El Inai investiga si fue una mala práctica de la firma o de sus empleados

Desde El Economista se dio a conocer que la consultora KPMG se encuentra en la mira de las autoridades mexicanas ya que podría hacerse acreedor a una sanción de hasta 30 millones de pesos por la exposición de miles de datos extraídos de comprobantes fiscales de 41 de sus clientes.

Cynthia Solís, socia del despacho especializado en Tecnologías de la Información Lex Inf, en declaraciones para el medio, indicó que las sanciones dependerán de que el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (Inai) determine, mediante un procedimiento de verificación, que la firma incumplió con sus responsabilidades en el tratamiento de datos de sus clientes así como de sus ingresos.

De acuerdo con El Economista, KPMG México reconoció hace unos días, mediante un comunicado confidencial enviado a sus clientes, que un pequeño grupo de sus empleados había utilizado los accesos al SAT confiados por estos, con la finalidad de descargar información fiscal. Los datos extraídos se almacenaron en una base de datos del servicio de nube Microsoft Azure que estaba expuesta en internet sin ningún control de seguridad.

En tanto, el Inai aseguró que desde febrero pasado había llegad a un acuerdo para iniciar una investigación sobre este incidente, misma que podría conducir a un procedimiento de verificación y a la imposición de sanciones.

Según Solís y, de igual forma con lo establecido en diversas fracciones del artículo 63 de la Ley de Datos Personales en Posesión de Particulares, las sanciones contra KPMG podrían ir de 100 a 160 mil UMAs (8 mil 449 a 13 millones 518 mil 400 pesos) o de 200 a 320 mil UMAs (16, 898 a 27 millones 36 mil 800 pesos).

Diferencia entre firma y empleados.

Solís señaló que, en caso de que KPMG demuestre dentro del procedimiento de verificación que pueda emprender el Inai, que cumplió con los requerimientos a los que la ley obliga, entonces quienes tendrían que ser sancionados serían sus empleados y no la consultora en sí.

Por lo que ahora, la firma deberá de destinar sus esfuerzos en limpiar su nombre y reputación hacia sus clientes ya que esté caso, la fiabilidad de su modelo de negocio hacia sus socios está en riesgo, incluso cuando esta mala práctica sea atribuida a los trabajadores.

Dentro de las firmas que vieron sus datos expuestos se encuentran ArcelorMittal, Thyssenkrupp, ITESO, Aeroméxico, Profuturo GNP, la Operada de Hospitales Ángeles así como el club Gallos Blancos, entre otras empresas.