archivo

Archivo de la etiqueta: INAI

Lecciones del #INEleaks II: ¿si su empresa hubiera sido responsable de una fuga de datos?

29 abril, 2016
Privacy/Protección de Datos, Sin categoría
Deja un comentario

Desde la semana pasada los medios no paran con notas sobre el hallazgo en los servicios de nube de Amazon  Web Services de una copia de la Lista Nominal del Padrón Electoral a cargo del Instituto Nacional Electoral sin salvaguardas de seguridad técnica: los datos de las credenciales para votar de todos los ciudadanos mexicanos registrados libremente accesibles para todo aquél que diese con ellos.

Con el transcurso de los días se ha ido dando a conocer que el origen de ese repositorio de información no había sido un ataque cibernético contra el Instituto Nacional Electoral, sino que la base de datos provenía de una de las copias que la autoridad electoral está obligada por ley a entregar a los partidos políticos. Más tarde trascendió que esa copia fue una de las entregadas en febrero del 2015 al partido político Movimiento Ciudadano, el cual salió rápidamente a medios para afirmar que había almacenado esa copia en la nube para prescindir de la que habían recibido en medios magnéticos, y que su almacenamiento en la nube de Amazon habría sido atacado por hackers, dejando expuesta esa información.

Mientras las autoridades electorales y penales investigan e imputan responsabilidades viene al caso preguntarse qué contingencias podría enfrentar una empresa en el sector privado ante una situación como ésta, y qué lecciones pueden aprenderse de ella.

  1. Movimiento Ciudadano alega haber consultado a Indatcom, S.A. de C.V., sobre la mejor manera de administrar la base de datos recibida del INE; sin embargo esa empresa es una consultora de comunicación digital, no de seguridad informática, y la contratación de un servicio de cloud por sí solo no dota de seguridad a la información almacenada ahí, ya que cada cliente debe configurarlo de acuerdo a sus requerimientos.

Además de abogados especializados en protección de datos personales y cumplimiento normativo contamos con el respaldo técnico de la consultoría de seguridad informática Alferza, lo cual nos permite asesorarle puntualmente sobre la mejor manera de dar cumplimiento a sus obligaciones en materia de protección de datos y seguridad de los mismos más allá de las formalidades jurídicas que la materia exige.

  1. El hallazgo de la base de datos habría ocurrido entre el 10 y el 16 de abril; sin embargo el INE la dio a conocer hasta el 22 de ese mes y después de que la prensa especializada en seguridad informática diera cuenta de ella. En el caso del sector privado la Ley de Protección de Datos Personales y su Reglamento imponen la obligación de dar a conocer la vulneración de la seguridad de datos personales a las personas afectadas una vez confirmado el evento y tomadas las medidas de remediación correspondientes, informándoles de lo sucedido, las acciones tomadas al respecto y recomendaciones para su seguridad.

Naturalmente toda manifestación de una vulneración podría motivar el escrutinio de la autoridad de protección de datos personales, e incluso ser indicativo de deficiencias en la implementación del sistema de gestión de datos personales de la responsable vulnerada, por lo que es preciso considerar si su empresa en efecto ha dado cumplimiento cabal a sus obligaciones en la materia, pues de haberlo hecho podría quedar libre de responsabilidad por el evento si acreditase la conformidad de dicho sistema con el marco normativo aplicable.

¿Recuerda el caso de la venta de datos personales de clientes estadounidenses de AT&T por personal de Teleperformance, su call center en Monterrey? De acuerdo con comentarios de funcionarios del INAI hechos en foros sobre protección de datos, la verificación de esa autoridad concluyó que todas sus medidas de seguridad estaban debidamente implementadas y que el ataque fue resultado del dolo de su personal, no imputable al call center. Ese nivel de cumplimiento es el que se requiere para sortear exitosamente una verificación como esa.

  1. Una vez atendido el evento será preciso revisar las medidas de seguridad física, administrativa y técnica que la normatividad de protección de datos personales requiere implementar. Ello puede requerir la revisión y modificación de resguardos físicos y digitales, limitación de privilegios de acceso a y uso de la información así como seguimiento de tal uso, restricción de la información personal que se almacene y utilice, modificación de la sintaxis de contraseñas o incluso realizar inversiones en la adquisición de software y equipos de monitoreo y seguimiento de accesos y tráfico en su red, entre otras.
  1. ¿Qué contingencia podría enfrentar su empresa ante un evento como éste? Las multas que el Instituto Nacional para la Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) puede imponer son determinadas en función de la gravedad de la infracción, la reincidencia del infractor, la naturales de los datos vulnerados y la capacidad económica del responsable. Su cuantía va oscila entre 100 y 160,000 días de salario mínimo tratándose de infracciones “no-graves” y entre 200 y 320,000 en el caso de las “graves”, pudiéndose incluso duplicar cuando involucren datos personales “sensibles”.

Infracciones como la violación de la confidencialidad de los datos personales, la comunicación de los mismos a terceros incumpliendo la normatividad y la vulneración de la seguridad de una base de datos imputable a la empresa son sancionadas como graves.

Es importante enfatizar que la Ley de Protección de Datos no exige una seguridad absolutamente hermética y a prueba de balas; lo que si exige es que hayan sido implementadas cuando menos las medidas de seguridad indispensables y suficientes conforme a la naturaleza de los datos personales que su empresa maneje y los riesgos a los que estos podrían estar expuestos. Empresas como Teleperformance en el caso de AT&T han sorteado exitosamente la verificación del INAI tras el reporte de una vulneración contando con las medidas de seguridad adecuadas no obstante que estas fueron vulneradas por el dolo de algunos empleados desleales.

Existen diversas metodologías para la medición del riesgo al que los datos personales que su empresa maneje podrían estar expuestos, y estándares para determinar el nivel de riesgo que podría asumir e implementar las medidas de seguridad más acordes con sus necesidades para minimizar tal riesgo. Nos complacerá poder brindarle la guía que requiera con relación a ello.

¿Y si tu empresa hubiera hecho lo del #PadrónElectoral?

26 abril, 2016
Privacy/Protección de Datos, Sin categoría
Deja un comentario

México es un país de múltiples y muy grandes desigualdades; pero mientras el discurso del gobierno y de muchas organizaciones de la sociedad civil se centra en las desigualdades económico-sociales (lo cual es obvio, porque en eso enfocan su actividad ambos), pocas veces se atiende a una que pienso es de las mayores inequidades que enfrentamos y que tiene un inmenso impacto: la desigualdad normativa entre gobierno y gobernados, y casi nadie atiende a las consecuencias que ello tiene. No me refiero siquiera a cosas como el hecho que las entidades gubernamentales estén exentas de otorgar garantías en el proceso de amparo por ser consideradas de acreditada solvenica (ejem…¿¡PEMEX?!), sino a temas mucho más básicos.

Un ejemplo muy elemental es que para abrir un establecimiento mercantil en la #CDMX, y que en función del impacto que el mismo tenga en la demarcación donde se ubique, es indispensable contar con estacionamiento propio, o acreditar la disponibilidad de otro por contrato celebrado con una empresa para ello. Por el contrario ¿cuándo ha visto Ud. que un edificio de gobierno tenga instalaciones de aparcamiento? El IMPI tuvo, recién mudado a sus oficinas de Arenal… hasta que ampliaron el archivo y construyeron más oficinas, y creo que juzgados administrativos federales en Las Flores, no más.

Muy guardadas proporciones lo mismo sucede con la protección de datos personales; la Ley aplicable en la materia a las instituciones públicas es la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, que data del 2002 y tiene unas escasas disposiciones sobre datos personales para normar el uso que de nuestra información hacen los Poderes Ejecutivo, Legislativo y Judicial así como demás organismos Federales, la PGR y los organismos constitucionales autónomos, como el @INEMEXICO e @INAIMEXICO.

Una de las muchas carencias de esa Ley es que entre otros muchos no le es aplicable a diversos organismos públicos y «de interés público» como los partidos políticos (art. 41, fracción I, de la CPEUM) que también «manejan» (técnicamente «dan tratamiento») a los datos personales de todos nosotros. ¿Recuerdan los «kits escolares» y los boletos de cine que distribuyó el Partido Verde Ecologista de México antes de los procesos del 2015? ¿ O sus tarjetas «VIP» (porque, claro, siendo del PVEM tenían que ser VIP y «Platino» -antes no las hicieron «black»-)?

Todo ello implica el «manejo» o tratamiento de datos personales, que en términos de iniciativa privada serían considerados como mercadotecnia y prospeccción comercial, tendrían que ser expliciatados así en el aviso de privacidad correspondiente y seguramente implicarían transferencias que requiriesen del consentimiento expreso de la persona en ese mismo documento. Sin embargo el sector público está sujeto a menos requisitos al respecto, y los partidos políticos estaban en un vacío legal de suerte tal que la normatividad de protección de datos no les era aplicable al respecto, solamente la electoral. Ese tipo de lagunas legales lleva a supuestos de «incumplimiento eficiente» o efficient breach, como se llama en teoría de los contratos anglosajona a la idea de que el costo de oportunidad puede ser mayor que el costo normativo y, por tanto, la utilidad de romper la ley es más rentable que mantener el Estado de Derecho.

¿Consecuencia? La Sala Regional Especializada del Tribunal Electoral del Poder Judicial de la Federación multó al PVEM con la exhorbitante cantidad de $24,535.00 (veinticuatromil quinientos treinta y cinco Pesos)  con letra por si no creyó los dígitos, y eso fue con el peso abajito de los MXN$16.00. Ahora veamos, ¿por cuánto ha sido la menor de las multas que el INAI ha impuesto por transgredir la Ley Federal de Protección de Datos Personales en Posesión de los Particulares? Por unos $41,874.00 (cuarenta y un mil ochocientos setenta y cuatro Pesos) a un médico psiquiatra (Exp. IFAI ps 0001/13) que tansfirió indebidamente los datos personales de una paciente, nada más y nada menos…que a su marido. Es decir que violar la ley electoral en materia de protección de datos personales puede costar aproximadamente 1/3 de lo que cuesta violar la Ley Federal de Protección de Datos.

Tal deficiencia se pretende solventar, en alguna forma y medida, con la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, que conforme al decreto de reforma constitucional en materia de transparencia debió haber sido expedida desde febrero del 2015, y que a escasas 2 sesiones (hoy y el jueves 28) de que termine el periodo ordinario de sesiones apenas está como dictamen de primera lectura en el @senadomexicano como Cámara de Origen, restando aún la Cámara de Diputados como Revisora y la posiblidad de que el Ejecutivo Federal modifique el texto y dilate todavía más su expedición.

La finalidad esencial de esa nueva Ley es fijar el nivel mínimo de cumplimiento normativo que los «Sujetos Obligados» (contrapartes de los «Responsables» en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares) deben observar a nivel Federal, estatal y municipal en materia de protección de datos personales. Sin embargo el dicamen discutido hoy en el Senado prevé que «ante el incumplimiento por parte de los partidos políticos el Instituto u organismo garante competente dará vista, según corresponda, al INE o a los organismos públicos locales electorales…para qu resuelvan lo conducente», y  los «dientes» de ese ordenamiento siguen siendo limitados; si bien alcanzan a la persona física inmediata y personalmente, no alcanzan a la institución.

Un caso como el más reciente (que ya van varios) del #PadrónElectoral hubiera supuesto, de haber hecho el Legislativo Federal su trabajo en tiempo y forma, cuando menos la divulgación (fracción III del artículo 163) indebida de los datos personales bajo custodia del Partido (¿o Instituto?) que resulte responsable, además de incumplir con el deber de confideancialidad establecido en la propia Ley (ibid., fracción VIII) o incluso llevar a cabo la transferencia (ibid. fracción X) de datos personales en contravención a la Ley citada, ésta última considerada como grave. Sin embargo todas estas son responsabilidades administrativas de los servidores públicos involucrados, no del Sujeto Obligado a la protección de los datos personales bajo su resguardo.

Detalle importante: el último párrafo de la Ley prevé que «las sanciones de carácter económico no podrán ser cubiertas con recursos públicos»; dicho de otro modo, el presupuesto de las entidades públicas (o de interés público infractoras») no sufrirá por este motivo. ¿Sería «pasar el dinero de un bolsillo del fisco al otro»? considerando que incluso las instituciones públicas federales, estatales y municipales están obligadas al pago de contribuciones, tanto impuestos como derechos, ¿por qué no también de sanciones por la vulneración de nuestros datos personales?

En conclusión, en el estado que se encuentra y que va la Ley General de Protección de Datos en posesión de «organismos gubernamentales» -por llamarlos así-, el costo para estos por su incumplimiento y la vulneración a la seguridad y confidencialidad de nuestros datos ajenos al padrón electoral es cercano a cero, y en el caso del servidor público personal y directamente responsable se determinaría en función del beneficio económico que hubiera obtenido por el ilícito.

Para establecer un margen objetivo de comparación, de acuerdo con las fracciones II y III del artículo 64 de la Ley Federal de Protección de Datos Personales en Posesión de los particulares, las multas por infracciones «no graves» a dicho estatuto son del orden de 100 a 160,000 días de salario mínimo general vigente y por infracciones «graves» van de 200 a 320,000 días de tal salario, que se traducen a bandas que oscilan entre $7,340.00 (siete mil trescientos cuarenta Pesos) y $11’686,400.00 (once millones, seiscientos ochenta y seis mil cuatrocientos Pesos), y  entre $14,680.00 (catorce mil seiscientos ochenta Pesos) y $23,372,800.00 (veintitrés millones trescientos setenta y dos mil ochocientos Pesos), mismas que podrían incluso duplicarse tratándose de datos personales sensibles según lo prevé la fracción IV del propio artículo 64.

La violación al deber de confidencialidad respecto de los datos personales bajo responsabilidad del particular es la primera entre las referidas «infracciones graves»; transferir datos a terceros sin informarles las limitaciones impuestas al tratamiento de esos datos y vulnerar la seguridad de las bases de datos, locales, programas o equipos de cómputo también son infracciones graves, que estarían dentro del rango máximo de las sanciones pecuniarias que una empresa responsable del tratamiento de datos personales podría enfrentar en un escenario como el del ya denominado #INEGATE, más las correlativas por el incumplimiento de los Principios que conforme a los artículos 6 de la Ley y 9 del Reglamento informan a dichos ordenamientos, éstas últimas dentro del rango de las multas de menor cuantía. En agregado, podrían llevar a la responsable a la quiebra.

Comparativamente, el funcionario electoral (no el INE) que sustituya, destruya, comercialice o haga uso ilítico de documentos del Registro Federal de Electores, Padrón Electoral o Lista de Electores, como se presume fue el caso del #INEGATE le correspondería una multa de 50 a 250 días de salario: $3,652 (tres mil seiscientos cincuenta y dos Pesos) a $14,608.00 (catorce mil seiscientos ocho Pesos), eso si, con prision de 2 a 6 años.

En conclusión, el bajo nivel de exigencia para el tratamiento de datos personales en posesión de instituciones gubernamentales ha sido un lastre para el desarrollo de la cultura de protección de datos en la sociedad mexicana, que no necesariamente será resuelto tan sólo por exigir el mismo nivel de formalidades y seguridad para el manejo de datos personales en manos de los gobiernos federal, estatales y municipales, puesto que es un hecho que de no haber el mismo nivel de costo por incumplimiento para el sector público del que hay para el sector privado, tal asimetría regulatoria se prestará al arbitraje regulatorio entre un medio y otro, además de ser inequitativo para la iniciativa privada que, además de estar expuesta a contingencias más onerosas invierte recursos considerables en su cumplimiento normativo en tanto que las entidades públicas generalmente llevan a cabo su implementación utilizando recursos existentes en nómina.

Una situación dispar e inequtiativa a todas luces.

 

 

 

@INAI_Mexico va por multa vs @ViajaVolaris

15 abril, 2016
Privacy/Protección de Datos
Deja un comentario

volaris

Tras largo tiempo sin difundir versiones públicas de procedimientos en materia de datos personales en posesión de los particulares, en un medio ávido de criterios que orienten la todavía naciente práctica de protección de datos personales en México, el INAI actualizó en algo su página de Resoluciones con algunas de entre las cuales amerita mención el proceso de verificación en contra de Concesionaria Vuela Compañía de Aviación, S.A.P.I. de C.V., conocida por su marca «VOLARIS«.

La industria aeronáutica es una de las más intensivas y complejas en tratamiento de datos personales, pues el desplazamiento de pasajeros dentro de territorio nacional y hacia el extranjero requiere de una cantidad de información que puede comprender datos sensibles relativos a estado de salud y creencias religiosas (dando pie a discusiones sobre el perfilamiento de pasajeros) además de prácticas que inciden sobre la privacidad de los viajeros en procesos previos, como los escáneres de cuerpo completo en terminales aéreas.

Muestra de tal complejidad es que hace un año la intención de la autoridad tributaria mexicana por obtener el Registro de Nombre de Pasajeros (Passenger Name Record) de los viajeros aéreos detonó una discusión de proporciones internacionales puesto que las aerolíneas europeas se encontraban impedidas para hacer entrega de dicha información pues los términos de la normatividad mexicana contravenían los límites de la correlativa regulación europea en la matera. La entrada en vigor de la normatividad referida fue suspendida y sigue pendiente a la fecha mientras la UE negocia acuerdos en la misma materia con otros países.

Sin embargo el reciente caso de Volaris no deriva de algo siquiera remotamente tan complejo; es más, resultó de mera torpeza pero evidencia las consecuencias del cumplimiento normativo mal implementado y del mal seguimiento del caso.

La denunciante había llevado ya un procedimiento de protección de derechos en contra de la aerolínea derivado del que ésta habría bloqueado sus datos personales, lo cual se hace previo a la supresión definitiva de tal información. No obstante lo anterior dicha Titular manifestó haber recibido correos electrónicos de Volaris, además de «sospechar» que habrían transferido sus datos personales toda vez que habría recibido llamadas de terceras personas, concretamente de Banco Invex, que podría haber sido el caso considerando el plástico que ambas empresas tienen en cobranding, lo cual fue negado por la Responsable denunciada.

Volaris declaró ante el INAI haber obtenido los datos personales de la denunciante «…en un evento de activación o patrocinio, información que para su mejor manejo y cuidado fue almacenda dentro de nuestro sistema», y que «…la información a la que se hace referencia…no ha sido transferida o remitida a ningún tercero». En cuanto al fondo del asunto, pretendió justificar la omisión en el cumplimiento del Acuerdo fechado el 17 de octubre de 2013 en el expediente PPD.0095/13, en que se obligó a bloquear los datos de dicha Titular, y el envío de los correos electrónicos que detonaron su acción en que:

«…atendiendo al bloqueo que existe en el sistema respecto de los datos de la titular, y conforme al tiempo transcurrido se procedería a la eliminación de dichos datos, sin embargo al momento de proceder a su eliminación, por un error humano involuntario se activó el envío automatizado de correos promocionales, lo que ocasionó el envío de los correos referidos, situaciónque ha sido debidamente atendida».

«Es de precisar que lo anterior se debió sólo a un error humano involuntario, sin que en ningún momento se comprometiera la seguridad de los datos de la titular, error humano que solo provocó el nevío de lo (sic) correos promocionales referidos son (sic) otro efecto adicional».

Cabe preguntarse qué pensaba Volaris, o sus representantes, lograr con tal respuesta. Los principios generales del Derecho establecen que nadie puede alegar en su favor su propio dolo ni su propia torpeza; el error sólo beneficia a los terceros de buena fe, no así a la parte que incurre en él. Además, que yo entienda, todo error es involuntario, pues de no serlo hay dolo en vez de culpa, lo cual nos lleva a que la culpa por la omisión de un deber de cuidado también es sancionada. Igualmente cabe cuestionarse de qué manera estará armado el sistema de gestión, CRM o la herramienta que sea que tuviera Volaris para estos efectos que «…al momento de proceder a su eliminación (de los datos») por un error humano involuntario se activó el envío automatizado de correos promocionales…». ¿El ícono para la función de «Eliminar» estaba junto al de «Enviar Correos de Todos Modos», o cómo fue que se causó el error»?

Páginas adelante la denunciada manifiesta que el error humano consistió «…en que al momento de proceder a la eliminación, se activó de manera involuntaria por la persona que operaba el sistema el envío automatizado de correos promocionales…resulta importante precisar que se han tomado las medidas y acciones pertinentes para atender la anterior situación, en tanto que los datos de la peticionaria ya no figuran dentro del sistema activo y han sido exluidos de éste, por lo que dicha situación no volverá a generarse».

Lo anterior a pesar de que declaró también ante el INAI que «una vez que tuvo conocimiento del inicio del procedimiento de protección de derechos…procedió a informar al área responsable del contenido del mismo a efecto de proceder a la confirmación del bloqueo de los datos de la titular…el área resonsable confirmó el referido bloqueo…», lo cual o no es cierto o no fue ejecutado por el área referida, puesto que es obvia la incongruencia entre la manifestación de que los datos bloqueados hubieran estado al alcance del operador del sistema automatizado de correos promocionales y que no fue tras la primera solicitud ARCO ni del procedimiento de protección de derechos sino hasta después de recibida la denuncia que los datos de la Titular fueron excluidos del sistema activo; esto podría leerse como indicativo de que Volaris no había dado cumplimiento al Acuerdo tomado en el procedimiento de protección de derechos y podría haber sido considerada como reincidente, para los efectos de la determinación de la multa conforme al artículo 65, fracción V, de la Ley.

Lo más que podría abonar el alegato de torpeza que esgrimió la aerolínea es a intentar abordar el criterio para la determinación de la multa se refiere a la intencionalidad de la conducta infractora según la fracción III del artículo 65 de la Ley, pero no deja de parecer absurda en un contexto en que la misma Titular refiere haber llevado un procedimiento de protección de derechos ante el propio INAI derivado de un inicial incumplimiento de una solicitud ARCO anterior, reiterándose el alegato del error en el bloqueo de la información que interesa.

La propia denunciante expresó lo que el caso pone en evidencia: «…esta situación sólo da a entender que esta empresa no tiene control sobre la información que tiene y sobre el tratamiento que le da, ya que es la tercera vez que cometen esta clase de errores, y mi información está vulnerada y propensa a sus errores».

La resolución del INAI fue en el sentido que Volaris incurrió en la infracción prevista en la fracción XVI del artículo 63 de la Ley, consistente en continuar conn el uso iletítimo de los datos personales cuando se ha solicitado el cese de los mismos, la cual conforme al artículo 64, fracción III, de la propia Ley es de las consideradas como «graves» pues el margen para la sanción respectiva oscila entre las 200 a 320,000 veces el salario mínimo vigente en la Ciudad de México, habiéndose transgredido los principios de Licitud y Responsabilidad motivo por el cual se iniciará el procedimiento de imposición de sanciones en contra de Volaris.

La conclusión del caso es que la  debida implementación del cumplimiento normativo de protección de datos personales no puede quedar en meras formalidades, y muchas veces es indispensable involucrarse, hasta donde sea posible, en el desarrollo de las herramientas que nuestros clientes utilizan para la gestión de los datos personales por cuyo tratamiento son responsables. El propio INAI citó el articulado relativo al principio de Responsabilidad que a su juicio Volaris dejó de observar en el caso, al no haber contado con políticas y programas de privacidad, carecer de un sistema de supervisión y vigilancia interna, ni haber llevado a cabo la capacitación y concientización de su personal sobre la protección de datos personales que están obligados a observar. También al parecer de la autoridad de protección de datos Volairs no tenía mecanismos para el cumplimiento de sus omisas políticas de privacidad ni estableció medidas para el aseguramiento de los datos personales.

Es de esperarse que la sanción sea de una cuantía elevada, considerando que la infracción determinada se encuentra entre las de mayor margen, más incluso si el INAI considera a Volaris como reincidente. Sin duda una experiencia costosa.

Multa @INEMéxico a @MovCiudadanoMX por Vulneración del Padrón Electoral

20 febrero, 2016
Privacy/Protección de Datos, Regulación Bancaria/Financiera, Sin categoría
Deja un comentario

INECONVMC

Unos 26 meses atrás, los días 7 y 9 de noviembre de 2013, escribí sobre la nota que publicó Reforma sobre el presunto tráfico ilícito de copias del Padrón Electoral en el mercado negro. Dicho medio recién dio a conocer que la Comisión de Quejas y Denuncias del Instituto Nacional Electoral había resuelto sancionar al partido político Movimiento Ciudadano (antes «Convergencia«) con una multa de $76MDP por tal fuga de datos del padrón electoral, hecho que se consumó ayer en la sesión del Consejo General del Instituto Electoral.

El 2 de junio del 2013 Reforma reportó que uno de sus reporteros habría logrado adquirir datos personales provenientes del Padrón Electoral, instrumento al que los institutos políticos tienen acceso y del que reciben copias en medios magnéticos para cumplir ciertas obligaciones y ejercer determinadas facultades conforme a la Ley General de Instituciones y Procedimientos Electorales. Hace 3 meses Mexican Times publicó una nota que escribí sobre el tema de la seguridad de la información contenida en dicho Padrón con motivo de la inminente liquidación de los Partidos Humanista y del Trabajo, procedimiento en el que se le estaba prestando más atención a los carros, pesos y centavos que al destino de nuestros datos.

En ella referí no sólo el incentivo perverso que ha convertido a la mica electoral en la identificación preeminente en México, derivado de que la Ley General de Partidos Políticos prevé que los partidos políticos nacionales gozarán de financiamiento público para sostener sus actividades ordinarias permanentes, el cual es determinado mediante una fórmula basada en el número total de ciudadanos inscritos en el Padrón Electoral federal en julio de cada año; también aludo a la normatividad propia del INE para proveer a la mayor seguridad del Padrón.

Dicha normatividad incluye los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del RFE por los Integrantes de los consejos General, Locales y Distritales, las Comisiones de Vigilancia del RFE, los Particos Políticos y los Organismos Electorales Locales, así como un Procedimiento de entrega de la Lista Nominal de Electores para Revisión a los Representantes de los Partidos Políticos, instrumentos que prevén que el Padrón y la Lista Nominal que se entreguen a los representantes de los partidos tendrán elementos distintivos únicos para identificar las que hubieran sido objeto de uso indebido, además de que las impresiones que se generen deberán ostentar advertencias sobre el manejo de los datos que contienen.

En términos muy generales el INE ordena que los procedimientos de generación y entrega de la Lista Nominal deberían asegurar que sólo el usuario autorizado pueda acceder a la base de datos; que la información no pueda ser descargada ni transmitida, los representantes autorizados reciban solo una copia, además de asegurar la integridad de dicha información.Que sean observadas o no naturalmente es un tema de discusión entre el ser y el deber ser; en cualquier caso convendría que además de emprender acciones punitivas el INE implemente medidas preventivas, puesto que una de las acciones más obvias y lógicas tras una vulneración de seguridad es procurar cerrar las brechas que permitieron que tal evento tuviera lugar.

Tal es la exigencia para los Responsables del Tratamiento de Datos Personales en Posesión de los Particulares (art. 62, fracciones III y/o IV, según fuere el caso); sin embargo no existe una obligación correlativa para los Sujetos Obligados en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental que aún rige el tratamiento de datos personales por parte de entidades públicas. Sin embargo la iniciativa de Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, impulsada por el INAI y que desde el año pasado está siendo dictaminada en el Senado, prevé en su artículo 41 que de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamientode los datos personales si fuese el caso.

Bajo cualquier metodología de análisis de riesgo éste guardará una proporción directa entre el volúmen de datos y la variedad de estos. La accesibilidad, es decir, la cantidad de personas que pueden acceder a esos datos eleva el nivel de riesgo al que podrían estar expuestos los datos en un momento dado, y el entorno o medios de acceso a ellos puede exacerbar el riesgo. Pensemos así en una base de datos como el Padrón electoral, que contiene datos de identificación (nombre y fotografía), autenticación (firma y huella dactilar) y biométricos (huella dactilar); el riesgo para esa base de datos es elevadísimo y se incrementa exponencialmente al considerar su circulación a través de medios magnéticos para ser puesta en manos de N personas al interior de cada uno de los múltiples institutos políticos que pululan en este país.

Para concluir este apunte postulo la fundamental importancia de que en un momento en el que el robo de identidad alcanza niveles de alarma en México se adopte una política de Estado en materia de identificación personal. Este reciente pico en la incidencia del robo de identidad demuestra que la política de Estado que ha sido seguida hasta la fecha está por demás errada. Dicha política se ha orientado, por los perversos incentivos políticos arriba mencionados, a que la credencial para votar expedida por el INE sea la identificación preemienente en este país; así lo demuestra la afirmación siguiente, tomada de la Estrategia Programática del Ramo 22 (Instituto Nacional Electoral) del Tomo II (Ramos Autónomos) del Presupuesto de Egresos de la Federación para 2016:

«Líneas Estratégicas. Fortalecer los procesos registrales electorales. Para mantener la credencial del INE, como medio principal de identificación…»

 

Centrar las facultades de identificación de los ciudadanos mexicanos en una mica expedida por un Instituto cuyo Padrón debe, por Ley, ser puesto a disposición de un gran número de sujetos es un error tanto como la atomización de los medios de identificación en este país es, sin lugar a dudas, un elemento que contribuye al riesgo por el robo de identidad. Las Disposiciones de Carácter General para prevenir e identificar operaciones con recursos de procedencia ilícita en diversos ámbitos prevén como medios para que una persona acredite su identidad a la credencial para votar del INE y a cualquier identificación vigente con fotografía y firma emitida por autoridades federales, estatales y municipales y las demás que, en su caso, apruebe la UIF. Entre más medios haya para acreditar la identidad de una persona mayores serán los riesgos a los que esa identidad esté expuesta; es lógica elemental.

La política de Estado que México tiene a la fecha en materia de identificación abona al riesgo al que nuestros datos están expuestos. Hubo un intento por hacerlo durante la administración del Presidente Calderón por instituir una Cédula de Identidad Personal, pero no prosperó. Las flamantes «Bases de colaboración para inhibir la suplantación de identidad a través del sistema financiero en México» suscritas por el INAI, SHCP, INE, PRODECON y ABM prevén una serie de acciones, como protocolos de atención y actuación; mecanismos de intercambio de información; difusión, educación y capacitación al público, que de poco servirán mientras no se consideren los orígenes y factores que facilitan el robo de identidad.

Los medios de identificación deben ser más limitados y debidamente controlados para mitigar la contingencia de la usurpación de la identidad de los ciudadanos mexicanos, y sin importar los elevados estándares de seguridad con los que la nueva credencial para votar del INE es producida actualmente, dar preponderancia a una identificación expedida por una autoridad que está legalmente obligaa a poner sus bases de datos a disposición de un gran número de personas es, bajo cualquier métrica o metodología, un gran error.

 

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking