La Comisión Federal de Comunicaciones (FCC, en inglés) dio a conocer mediante comunicado de prensa que llegó a un acuerdo con la empresa de telecomunicaciones AT&T por fallar en su deber de proteger los datos privados de los consumidores estadounidenses.

La falla de seguridad ocurrió en tres de los centros de llamadas de AT&T y afectó unos 280,000 clientes. Como parte del acuerdo, AT&T deberá pagar una multa de US$25 millones.

Según la investigación de la Agencia de Cumplimiento de la FCC, unos empleados del centro de llamadas de AT&T en México accedieron a los récords de   los clientes, sin autorización, obteniendo sus datos personales (nombres y números de seguro social) para luego venderlos a terceras partes, quienes aparentemente traficaban celulares robados que querí­an desbloquear para venderlos.

Esta situación se extendió por 168 dí­as, entre noviembre del 2013 y abril del 2014. Durante el curso de la investigación, se descubrieron violaciones de seguridad de datos adicionales en los centros de llamadas de AT&T en Colombia y Filipinas.

“Como la agencia nacional experta en redes de comunicaciones, la Comisión no puede permanecer de brazos cruzados—ni lo hará—cuando las prácticas de seguridad de datos de un proveedor de telecomunicaciones exponen la información personal de cientos de miles de estadounidenses y los hacen vulnerables al fraude y al robo de identidad”, dijo Tom Wheeler, presidente de la FCC.

Además de la multa, AT&T deberá notificar a todos los clientes cuyos datos privados fueron accedidos de forma indebida y pagar por los servicios de monitoreo de crédito a los clientes afectados por las brechas de seguridad en Colombia y Filipinas.

Asimismo, la FCC le está exigiendo a AT&T que mejore sus prácticas de privacidad y seguridad de datos mediante el nombramiento de un gerente sénior de cumplimiento certificado en privacidad. Este gerente debe evaluar los riesgos relacionados a privacidad e implementar un programa de seguridad de información y un manual de cumplimiento.

AT&T también fue ordenada a ofrecer adiestramiento periódico a sus empleados sobre las polí­ticas de privacidad de la compañí­a y las autoridades legales aplicables; así­ como enviar reportes de cumplimiento a la FCC frecuentemente.

Esta es la acción más grande que ha tomado la Comisión para hacer cumplir sus reglamentos sobre seguridad de datos y espera que esto sirva de ejemplo a otras compañí­as de telecomunicaciones para que protejan adecuadamente los datos privados de sus clientes. También, las acciones de la FCC deben conducir a la existencia de procesos internos robustos que prevengan futuras violaciones de seguridad de los datos.