Multa millonaria a la Federación Mexicana de Fútbol por manejo indebido de datos personales
El Gobierno de México, encabezado por Claudia Sheinbaum, ha impuesto una sanción de 42.8 millones de pesos (aproximadamente 2.2 millones de dólares) a la Federación Mexicana de Fútbol (Femexfut). Esta multa fue emitida debido al incorrecto manejo de los datos personales de los asistentes a los partidos de la liga nacional, en el contexto de la implementación del sistema Fan ID, que recoge información personal del público.
Infracciones detalladas
La Secretaría Anticorrupción, liderada por Raquel Buenrostro, informó sobre esta decisión en un comunicado, enfatizando que Femexfut incurrió en dos violaciones principales. En primer lugar, la federación no informó adecuadamente a los aficionados que los datos biométricos que recogía, como fotografías y otros datos sensibles, eran considerados información personal sensible según la ley. En segundo lugar, no se obtuvo el consentimiento expreso de los usuarios para el tratamiento de sus datos, lo que es un requisito legal.
Contexto del caso
El conflicto se intensificó a inicios del año pasado, cuando el anteriormente mencionado Instituto Nacional de Acceso a la Información (INAI) decidió iniciar un procedimiento de sanción contra Femexfut debido al uso poco claro de su aplicación Fan ID. Esta aplicación, a través de un tercero, recopilaba información personal de los aficionados, incluyendo nombre, teléfono, correo electrónico, fecha de nacimiento, y hasta una identificación oficial con datos de domicilio, además de un autorretrato del usuario. La federación delegó el funcionamiento de esta aplicación a la empresa Incode Technologies, conocida por su trabajo en autenticación biométrica para instituciones como el INE y la Cámara de Diputados.
Investigación y omisiones
A pesar de la investigación, el INAI decidió no incluir a Incode Technologies en el proceso. En su comunicado, la Secretaría Anticorrupción no se refiere a esta empresa. Además, se puntualiza que la ley exige el consentimiento expreso y por escrito para la recopilación de datos sensibles; sin embargo, la federación solo implementó el marcado de una casilla en un sitio web, dejando de lado otros mecanismos más seguros, como una firma autógrafa o electrónica, para garantizar que el consentimiento fuera realmente otorgado por el titular de los datos.