La Secretaría de la Función Pública tardó 20 días en cumplir con la ley y alertar a los titulares de datos personales confidenciales que su información personal fue expuesta en internet por la dependencia, sin contraseñas ni otras medidas de seguridad, en un incidente conocido en la ley como “vulneración de seguridad”.

Además de la información pública de las declaraciones patrimoniales de 830,000 funcionarios públicos (58% de los empleados de la Administración Pública Federal), la secretaría reconoció en un correo electrónico enviado a los funcionarios públicos este lunes que estuvieron expuestos sin contraseñas ni otras medidas de protección las claves de identificación fiscal (RFC), la de registro de población (CURP) y el sexo de los funcionarios afectados, todos datos confidenciales según el Sistema Nacional Anticorrupción.

“Los únicos datos personales que pudieron haberse visto comprometidos por el incidente que estamos informando aquí fueron los siguientes: Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Sexo”, se lee en el correo de la dependencia. Función Pública reiteró, como lo hizo el 4 de julio pasado, cuando El Economista reveló este incidente de seguridad, que se encuentra “en curso” una investigación sobre el caso, que ha calificado como una “forma alternativa de acceso a datos”.

Función Pública tenía que avisar de inmediato a los titulares de datos afectados. Tardó 20 días en hacerlo. “El responsable deberá informar sin dilación alguna al titular (...) las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración”, señala el artículo 40 de la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, la ley que deben cumplir todas las oficinas públicas de los tres niveles de gobierno. La Secretaría de la Función Pública es la entidad del gobierno federal responsable de vigilar el cumplimiento del marco normativo que les aplica a los funcionarios públicos.

En su momento, la investigadora Issa Luna Pla, del Instituto de Investigaciones Jurídicas de la UNAM, señaló que este incidente de seguridad de la Secretaría de la Función Pública puso “en un gran peligro” a los funcionarios públicos afectados, pues “la información que estuvo disponible es la más susceptible para ser utilizada en el robo de identidad”.

Consultada sobre el tema, María Solange Maqueo, académica del CIDE y experta en protección de datos personales, dijo que “el indebido tratamiento adquiere una mayor gravedad cuando la naturaleza de los datos personales tratados constituyen una categoría especialmente protegida, como es el caso de los datos financieros de las personas. (...) La información financiera implica mayores riesgos para la persona, especialmente en un contexto como el de nuestro país en el que los índices delictivos son muy altos”.

El subsecretario Luis Gutiérrez Reyes, responsable de Combate a la Impunidad de la SFP, fue alertado sobre el incidente de seguridad el 30 de junio pasado mediante un correo electrónico enviado a su cuenta oficial por el analista de seguridad Bob Diachenko, quien ha revelado otras vulneraciones de datos personales de ciudadanos mexicanos. Función Pública emitió el 4 de julio una tarjeta informativa en la que reconoció que “en días recientes” su departamento de tecnologías de la información fue informado del incidente.

El ingeniero Luis Gutiérrez Reyes fue titular de la Dirección General de Tecnologías de la Dirección de la Función Pública hasta el 1 de junio, cuando fue ascendido a subsecretario. En su lugar quedó Armando Andrade Díaz. La “forma alternativa de acceso” a las declaraciones patrimoniales, incluidos datos personales confidenciales, estuvo activa por lo menos entre el 6 de mayo y el 30 de junio pasado, cuando Diachenko alertó a Gutiérrez Reyes.

En su correo electrónico a los funcionarios públicos afectados, Función Pública invita a “implementar las medidas de seguridad” enlistadas en el documento Medidas de seguridad para proteger tus datos personales, que incluyen la verificación de contraseñas en sitios o sistemas que piden RFC o CURP para ingresar y evitar abrir correos electrónicos o notificaciones de mensajería instantánea de remitentes desconocidos o de dudosa procedencia.

“Si llegara a comprobarse que estas omisiones se realizaron con negligencia, dolo o mala fe, podrían incluso considerarse como faltas graves en términos de la legislación en materia de responsabilidades administrativas”, dijo María Solange Maqueo, del CIDE.