La oficina para la protección de datos personales en México, el Inai, informó esta mañana que investiga la “presunta vulneración de datos personales” en la Secretaría de la Función Pública que afectó a 830,000 funcionarios públicos. Los datos expuestos, que incluyeron datos personales confidenciales, forman parte de las declaraciones patrimoniales 2020.

De acuerdo con el comunicado 241/20 del Inai, difundido esta mañana, la Secretaría de la Función Pública notificó al instituto de protección de datos sobre el incidente de seguridad el 10 de julio, 10 días después de que el incidente fuera detectado por la dependencia federal que encabeza Irma Eréndira Sandoval Ballesteros y de manera extemporánea a las 72 horas máximo que imponen los lineamientos de la ley de datos personales (artículo 66).

El Economista publicó el 4 de julio pasado que la Secretaría de la Función Pública dejó expuesta en internet, sin contraseñas ni otras medidas de seguridad, una base de datos con información personal de 830,000 funcionarios públicos federales (58% del total). La Función Pública tardó 20 días en alertar a los titulares de los datos personales expuestos sobre el incidente, a pesar de que el artículo 40 de la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados le obliga a hacerlo “sin dilación alguna”. La premura que obliga la ley para alertar a los afectados aspira a ofrecer la mayor oportunidad en tiempo para proteger los derechos patrimoniales y morales de los afectados.

En su comunicado, el Inai (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) hace referencia a “información difundida en medios de comunicación” para documentar que los datos expuestos públicamente fueron el Registro Federal de Contribuyentes (RFC), la Clave Única de Registro de Población (CURP) y el sexo de los titulares afectados. El comunicado no precisa si el Inai tuvo conocimiento sobre el tipo de datos personales vulnerados a través de Función Pública.

El Economista ha solicitado entrevista para hablar sobre el tema con el comisionado presidente del Inai, Francisco Javier Acuña Llamas, desde el lunes 20 de julio, pero no ha tenido respuesta.

El acceso a la base de datos expuesta por Función Pública estuvo disponible para cualquier persona en internet entre el 6 de mayo y el 30 de junio de 2020. En ese lapso, el ingeniero Luis Gutiérrez Reyes dejó la Dirección General de Tecnologías de la Dirección de Función Pública para asumir el 1 de junio la Subsecretaría de Combate a la Impunidad. En su lugar, como jefe de tecnología, quedó Armando Andrade Díaz.

La secretaría ha calificado el incidente como una “forma alternativa de acceso a datos” que son de carácter público y también confidenciales, como el RFC, la CURP y el sexo de los afectados.

La investigadora Issa Luna Pla, de la UNAM, consultada con relación a este caso, advirtió que la información personal expuesta por Función Pública puso “en un gran peligro” a los ciudadanos afectados, pues “la información que estuvo disponible es la más susceptible para ser utilizada en el robo de identidad”. María Solange Maqueo, investigadora del CIDE, dijo por su parte que “la información financiera implica mayores riesgos para la persona, especialmente en un contexto como el de nuestro país en el que los índices delictivos son muy altos”.

En su comunicado de este viernes, el Inai informó que 3 ciudadanos interpusieron denuncia contra la Función Pública por haber “hecho públicas sus declaraciones patrimoniales”: una se encuentra en investigación, otra fue desechada y una más espera evaluación para ser aceptada o rechazada.