SFP vulneró datos personales de funcionarios públicos: INAI

El 10 de julio de 2020, el Instituto Nacional de Transparencia (INAI) y una serie de funcionarios públicos recibieron un correo electrónico de parte de la Unidad de Transparencia y Políticas Anticorrupción de la Secretaría de la Función Pública (SFP).

El comunicado informaba a los destinatarios que el 30 de junio anterior, la SFP había sufrido un “incidente” que involucraba los datos personales de algunos funcionarios públicos.

En una serie de correos entre ambos organismos, el INAI pidió a la secretaría de Estado que fuera más explícita con la naturaleza del evento. La SFP dijo que documentos con la información habían estado expuestos “sin contraseña” y podían ser encontrados con una consulta desde un buscador web especializado en bases de datos.

El “incidente” ocurrió cuando SFP implementó una nueva versión del sistema Omisos y Extemporáneos en la Presentación de la Declaración Patrimonial (OMEXT), que, de acuerdo con el organismo, es la herramienta usada para detectar a los funcionarios que omitieron o presentaron su declaración de situación patrimonial y de intereses fuera de tiempo.

Luego, en un comunicado de prensa, la secretaría encabezada por Irma Eréndira Sandoval socavó la importancia del descuido, y lo calificó de “vía alternativa de acceso” a la información que debería estar disponible en el portal de Servidores Públicos de la Plataforma Digital Nacional. Al INAI le respondieron que esos datos eran públicos porque eran parte de su trabajo de monitoreo de la corrupción.

En el expediente INAI.35.07.005/2020, que contiene toda la información sobre el caso, el instituto de información pública concluyó que no es cierto que sean datos que la ley exija transparentar bajo argumento de interés público. Y argumentó que el descuido en los sistemas de protección de los mismos ponía en riesgo la seguridad de los trabajadores del estado afectados.

“La base de datos vulnerada estaba conformada por 20 índices con datos como escolaridad, experiencia laboral, bienes inmuebles, vehículos, bienes muebles, inversiones, adeudos, préstamos, participaciones, representaciones y fideicomisos”, describe un comunicado adjunto en el expediente.

Además, algunos de los datos expuestos estaban contenidos en copias fotostáticas de documentos oficiales que, el INAI argumenta, pueden tener valor probatorio bajo ciertas condiciones, por lo que ponen en riesgo a los funcionarios de convertirse en víctimas del robo de indentidad.

El INAI replicó que el aviso de privacidad de la plataforma DeclaraNet sostiene que la información será protegida y que sólo es solicitada para “generar la identificación que permita al servidor público presentar sus declaraciones de situación patrimonial y de intereses y que, la Secretaría de la Función Pública pueda analizar la evolución de su patrimonio”. Por lo que la publicación de la misma es injustificable.

El organismo autónomo de transparencia ordenó a la secretaría que investigue e informe si los datos fueron copiados en el periodo en el que estuvieron vulnerables. De acuerdo con la investigación, los afectados fueron un millón 628 mil 771 servidores públicos.

La Red en Defensa de los Derechos Digitales, una organización de la sociedad civil, argumentó que “este tipo de incidentes muestran los riesgos que conlleva el resguardo de bases de datos sin las debidas medidas de seguridad y protección y se ven exacerbados ante la creación de bases de datos masivas centralizadas ─como la propuesta por el Padrón de Usuarios de Telefonía Móvil─ que generan objetivos muy atractivos para los ataques informáticos”.

MÁS SOBRE ESTE TEMA: