La Secretaría de la Función Pública incumplió con la ley general de protección de datos personales y vulneró información privada contenida en la declaración patrimonial de 830,000 servidores públicos. Particularmente, la secretaría falló en sus deberes de confidencialidad y seguridad y en cinco de los ocho principios enunciados en la ley: los de consentimiento, responsabilidad, información, licitud y lealtad, determinó esta tarde el instituto garante de la protección de datos personales en México, el Inai

El Órgano Interno de Control de Función Pública, el departamento de vigilancia del cumplimiento de la ley al interior de la secretaría, deberá tomar cartas en el asunto para sancionar a los responsables por la filtración de datos personales, se desprende de las resoluciones a los procedimientos INAI.3S.07.01-004/2020 e INAI.3S.07.01.005/2020 aprobadas por unanimidad por el pleno del Inai, al resolver dos procedimientos administrativos relacionados con la vulneración de datos personales.

El Economista reveló el 4 de julio pasado que la Secretaría de la Función Pública (SFP) dejó a la vista de cualquier persona con acceso a internet datos personales contenidos en las declaraciones patrimoniales de 830,000 funcionarios públicos, quienes están obligados a informar sobre su patrimonio y sus finanzas como parte de las medidas de combate a la corrupción de México. La brecha de seguridad estuvo activa por lo menos entre el 6 de mayo y el 30 de junio.

La información privada vulnerada, informó Función Pública en un correo enviado a las personas afectadas, fue la clave de identificación fiscal (RFC), la clave de registro de población (CURP) y el sexo de los servidores públicos, todos datos confidenciales según el Sistema Nacional Anticorrupción.

El equipo de comunicación de la secretaría calificó a este incidente de seguridad de la información como una “forma alternativa de acceso a datos”, pues las declaraciones patrimoniales además de estar disponibles en el sitio https://servidorespublicos.gob.mx/ también eran accesibles desde el motor de búsqueda en internet Shodan, sin contraseñas ni otras medidas de seguridad, y exponían datos privados de los servidores públicos.

En una entrevista con El Economista publicada el 27 de julio, el comisionado presidente del Inai, Francisco Javier Acuña Llamas, consideró el incidente como una “exposición masiva de datos personales”. Se trató, posiblemente, de la mayor fuga de datos personales en poder de alguna oficina pública desde que existe la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, que debe cumplir cualquier autoridad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos de los tres niveles de gobierno.

Desde la revelación del incidente, dos funcionarios de Función Pública relacionados con el tema han abandonado la secretaría: los ingenieros Luis Gutiérrez Reyes y Armando Andrade Díaz. Gutiérrez Reyes fue ascendido a subsecretario de Función Pública el 1 de junio de 2020; en su lugar, Andrade Díaz asumió la Dirección de Tecnologías de la Información. Existen registros de que la vulneración de datos se produjo entre el 6 de mayo y el 30 de junio, justo las últimas semanas de Gutiérrez Reyes al frente de esa dirección tecnológica y las primeras de Andrade Díaz.

Se desconoce el destino laboral de Andrade Díaz. De Gutiérrez Reyes, en cambio, se sabe que el 17 de octubre fue nombrado titular del Instituto de los Mexicanos en el Exterior, una oficina que depende de la Secretaría de Relaciones Exteriores (SRE). El comunicado de la Cancillería para anunciar el nombramiento destaca que Gutiérrez Reyes —un ingeniero formado en computación en un instituto de La Habana, Cuba, y con una amplia trayectoria como ingeniero en medios de comunicación (primero en la OEM y luego en La Jornada— “participó en la construcción de plataformas que identifican la nueva relación de la dependencia con la sociedad y su alianza en el combate a la impunidad, incentivando la denuncia ciudadana”.

Como parte de las resoluciones adoptadas por el pleno del Inai este martes 24 de noviembre, a partir de una denuncia y de un procedimiento iniciado de oficio, la Secretaría de la Función Pública, que encabeza Irma Eréndira Sandoval Ballesteros, deberá adoptar distintas medidas, entre las que se encuentra la de informar sobre la totalidad de los datos personales “comprometidos tras la vulneración de seguridad”, la de garantizar un tratamiento adecuado de los datos personales, la de implementar controles contra su uso indebido y la de privilegiar la expectativa razonable de seguridad.