La filtración de la Lista Nominal de Electores es un delito electoral y una vulneración al derecho a la protección de datos personales. La competencia para investigar quién filtró y puso a la venta la lista a través de Mercado Libre es compartida entre el INE, la Fepade y el Inai, de acuerdo con Cynthia Solís, socia del despacho especializado en tecnologías de la información y protección de datos personales Lex Informática.

La autoridad de protección de datos, el Inai, tiene la facultad para realizar procesos de verificación de las medidas de seguridad de los partidos políticos, porque ya hay elementos de presunción fundada de un incumplimiento de dichas medidas, dijo Solís a El Economista. El problema de esta facultad está en su ejecución, pues dado que hay varios partidos políticos en México, el Inai no tiene la capacidad de llevar a cabo dichos procesos.

El 27 de septiembre pasado, una usuaria de Twitter denunció que una base de datos de electores registrados ante el INE se encontraba a la venta en el marketplace de la compañía de comercio electrónico Mercado Libre, lo que fue confirmado este lunes por Héctor Díaz Santana, titular de la Fepade en conferencia de prensa. De acuerdo con un comunicado difundido por el INE este fin de semana, el 3 de octubre el instituto “interpuso una denuncia en contra de quien resulte responsable después de que se identificara la oferta de una base de datos en un sitio de ventas por internet que, se pudo confirmar, corresponde a una copia de la Lista Nominal de Electores del año 2015”.

El Inai aún no se ha pronunciado públicamente sobre el tema. El Economista solicitó un comentario al equipo de prensa de la institución, pero tampoco obtuvo respuesta hasta el momento de esta publicación. Solís dijo que es probable que el Inai no haya fijado un posicionamiento porque está esperando a que la PGR investigue más sobre el caso.

Acciones del INE y la Procuraduría

Según el INE, a partir de la denuncia en Twitter y de una estrategia de “coordinación interinstitucional” con la Fiscalía Especializada para la Atención de Delitos Electorales (Fepade), la Agencia de Investigación Criminal (AIC) y la Policía Cibernética, adscritas a la Procuraduría General de la República (PGR), “se presentó una denuncia de carácter penal ante la Fepade y el jueves 4 de octubre se iniciaron los procedimientos sancionadores ante instancias internas del INE”.

Según el comunicado del Ine, la Fepade y la AIC realizaron un cateo en un domicilio. De acuerdo con Héctor Díaz Santana, dicho domicilio se encontraba en el estado de Querétaro. Del cateo se obtuvieron los siguientes elementos, siempre según el comunicado, que aporta pocos detalles:

  1. La confiscación de tres computadoras, un teléfono móvil y un disco duro.
  2. “La clave de la nube donde se encontraba a la venta la base de datos”. Esto es, la contraseña del centro de datos en la nube (servidor) donde estaba alojada la Lista Nominal de Electores para su venta.

“Para impedir la difusión y vulneración de los datos personales contenidos”, se le notificó a la Policía Cibernética para que eliminara el contenido que se vendía a través de Mercado Libre, añade el comunicado difundido el domingo. “Se verificaron las características y fecha de la base de datos, las cuales coinciden con los de la Lista Nominal de Electores con corte al 15 de enero de 2015. Además, fue posible confirmar la existencia de marcas de identificación que permitirán conocer el origen de la copia que se ofertaba”, se añade.

De acuerdo con un artículo de Héctor Gutiérrez publicado en el diario Reforma, la Lista Nominal de Electores del 2015 era vendida no sólo en Mercado Libre, sino también a través de YouTube y en la página https://basededatosine2018.com/, en un archivo “con un peso 50GB y la información de 80 millones de mexicanos”, además de un número de teléfono correspondiente a Querétaro como forma de contacto.

Lorenzo Córdova, consejero presidente del Instituto Nacional Electoral, dijo en conferencia de prensa este lunes que la copia de la Lista Nominal que estaba a la venta pertenecía a un partido político, aunque no reveló el nombre, y añadió que se trata de una de las copias que formaron parte de la última entrega en físico de esos datos a los partidos políticos

“El INE ya sabe de qué partido se trata porque la huella es un mecanismo que se ponía en aquellos padrones, es un mecanismo exitoso, pero lo que me importa resaltar es que se trata de la última vez que se le entregaron los padrones a los partidos políticos, los listados nominales, es decir 2015, los listados nominales completos”, dijo.

Una filtración más a la lista

Este incidente se suma a la exposición del padrón de electores en la página buscardatos.com en 2013 y en un servidor de Amazon en 2016, casos por los cuales el partido político Movimiento Ciudadano fue multado por 31 y 34.1 millones, respectivamente. En la lista de filtraciones también se encuentra la venta del padrón electoral por parte de la empresa Checkpoint al gobierno de Estados Unidos, así como la filtración de la lista nominal de Sinaloa por parte del PRI.

Otros incidentes relacionados con la exposición de datos personales de ciudadanos mexicanos es el ocurrido en agosto y que involucra información de carácter sensible: 2.3 millones de datos de información médica de pacientes del Seguro Popular del estado de Michoacán, expuestos por una vulnerabilidad en los sistemas de la empresa Hova Health.

La autoridad de protección de datos en México, el Inai, está obligada a verificar y auditar la seguridad de los datos personales que resguardan entidades públicas como el INE y los partidos políticos. Sólo así pueden disminuirse las posibilidades de que información de carácter personal sea filtrada y puesta a la venta en sitios como Mercado Libre, dijo Gabriel Gutiérrez, colaborador del programa Son tus Datos de la organización de la sociedad civil Artículo 12.

“Nuestra posición como organización de la sociedad civil es exigirle a la autoridad —en este caso, el Inai— que lleve a cabo auditorías frecuentes con respecto de las medidas de seguridad establecidas por quienes tratan este tipo de información”, dijo Gabriel Gutiérrez en entrevista con El Economista.

En el caso de la Lista Nominal del INE, Cynthia Solís de Lex Informática considera que “los procedimientos de verificación pueden iniciarse con requerimientos de información y no es forzosamente necesario acudir a las instalaciones del sujeto obligado, porque una auditoría es costosa y no se cuenta con los recursos para ello”. Y añadió: “Si ahorita el Inai quisiera hacer auditorías a cada uno de los partidos en sitio sería bastante complicado”.

Para el activista Gabriel Gutiérrez, el Inai “es un organismo muy pequeño para la magnitud de trabajo que tiene”, además de que actúa de forma reactiva, es decir que actúa cuando recibe una denuncia y no para verificar que los sujetos obligados cumplan con la ley en materia de protección de datos personales que les aplica.

“Yo mismo trabajé en un sujeto obligado como director de protección de datos personales y nunca supe que el Inai haya llevado por sí mismo algún tipo de auditoría para verificar que el sujeto obligado cumpliera con las disposiciones. Entonces el INAI actúa de forma reactiva más que proactiva a pesar de que la ley se lo permite”, dijo Gutiérrez.

Sanciones contra los responsables

Sobre las sanciones que deberán ser impuestas al partido político que incumplió con las medidas de seguridad para proteger la Lista Nominal de Electores, Cynthia Solís dijo que es probable que la sanción administrativa no sea muy cuantiosa. Y, en cualquier caso, será pagada con dinero público, considerando que los partidos políticos en México están financiados por el Estado.

Las sanciones penales, por otra parte, serán impuestas a quienes debían proteger los datos personales de la Lista Nominal e incumplieron con su responsabilidad, como ya ocurrió en el caso de las dos filtraciones de Movimiento Ciudadano y del PRI, dijo Solís.

“Las cabezas que van a rodar son las de quienes estaban encargados de custodiar esta información. Son a quienes se les impondrán penas y si se comprueba que se rompieron candados o se aprovechó una vulnerabilidad, también se les castigará por haber cometido un delito federal”, dijo Solís.

[email protected]