archivo

Archivo de la etiqueta: SHCP

INECONVMC

Unos 26 meses atrás, los días 7 y 9 de noviembre de 2013, escribí sobre la nota que publicó Reforma sobre el presunto tráfico ilícito de copias del Padrón Electoral en el mercado negro. Dicho medio recién dio a conocer que la Comisión de Quejas y Denuncias del Instituto Nacional Electoral había resuelto sancionar al partido político Movimiento Ciudadano (antes “Convergencia“) con una multa de $76MDP por tal fuga de datos del padrón electoral, hecho que se consumó ayer en la sesión del Consejo General del Instituto Electoral.

El 2 de junio del 2013 Reforma reportó que uno de sus reporteros habría logrado adquirir datos personales provenientes del Padrón Electoral, instrumento al que los institutos políticos tienen acceso y del que reciben copias en medios magnéticos para cumplir ciertas obligaciones y ejercer determinadas facultades conforme a la Ley General de Instituciones y Procedimientos Electorales. Hace 3 meses Mexican Times publicó una nota que escribí sobre el tema de la seguridad de la información contenida en dicho Padrón con motivo de la inminente liquidación de los Partidos Humanista y del Trabajo, procedimiento en el que se le estaba prestando más atención a los carros, pesos y centavos que al destino de nuestros datos.

En ella referí no sólo el incentivo perverso que ha convertido a la mica electoral en la identificación preeminente en México, derivado de que la Ley General de Partidos Políticos prevé que los partidos políticos nacionales gozarán de financiamiento público para sostener sus actividades ordinarias permanentes, el cual es determinado mediante una fórmula basada en el número total de ciudadanos inscritos en el Padrón Electoral federal en julio de cada año; también aludo a la normatividad propia del INE para proveer a la mayor seguridad del Padrón.

Dicha normatividad incluye los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del RFE por los Integrantes de los consejos General, Locales y Distritales, las Comisiones de Vigilancia del RFE, los Particos Políticos y los Organismos Electorales Locales, así como un Procedimiento de entrega de la Lista Nominal de Electores para Revisión a los Representantes de los Partidos Políticos, instrumentos que prevén que el Padrón y la Lista Nominal que se entreguen a los representantes de los partidos tendrán elementos distintivos únicos para identificar las que hubieran sido objeto de uso indebido, además de que las impresiones que se generen deberán ostentar advertencias sobre el manejo de los datos que contienen.

En términos muy generales el INE ordena que los procedimientos de generación y entrega de la Lista Nominal deberían asegurar que sólo el usuario autorizado pueda acceder a la base de datos; que la información no pueda ser descargada ni transmitida, los representantes autorizados reciban solo una copia, además de asegurar la integridad de dicha información.Que sean observadas o no naturalmente es un tema de discusión entre el ser y el deber ser; en cualquier caso convendría que además de emprender acciones punitivas el INE implemente medidas preventivas, puesto que una de las acciones más obvias y lógicas tras una vulneración de seguridad es procurar cerrar las brechas que permitieron que tal evento tuviera lugar.

Tal es la exigencia para los Responsables del Tratamiento de Datos Personales en Posesión de los Particulares (art. 62, fracciones III y/o IV, según fuere el caso); sin embargo no existe una obligación correlativa para los Sujetos Obligados en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental que aún rige el tratamiento de datos personales por parte de entidades públicas. Sin embargo la iniciativa de Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, impulsada por el INAI y que desde el año pasado está siendo dictaminada en el Senado, prevé en su artículo 41 que de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamientode los datos personales si fuese el caso.

Bajo cualquier metodología de análisis de riesgo éste guardará una proporción directa entre el volúmen de datos y la variedad de estos. La accesibilidad, es decir, la cantidad de personas que pueden acceder a esos datos eleva el nivel de riesgo al que podrían estar expuestos los datos en un momento dado, y el entorno o medios de acceso a ellos puede exacerbar el riesgo. Pensemos así en una base de datos como el Padrón electoral, que contiene datos de identificación (nombre y fotografía), autenticación (firma y huella dactilar) y biométricos (huella dactilar); el riesgo para esa base de datos es elevadísimo y se incrementa exponencialmente al considerar su circulación a través de medios magnéticos para ser puesta en manos de N personas al interior de cada uno de los múltiples institutos políticos que pululan en este país.

Para concluir este apunte postulo la fundamental importancia de que en un momento en el que el robo de identidad alcanza niveles de alarma en México se adopte una política de Estado en materia de identificación personal. Este reciente pico en la incidencia del robo de identidad demuestra que la política de Estado que ha sido seguida hasta la fecha está por demás errada. Dicha política se ha orientado, por los perversos incentivos políticos arriba mencionados, a que la credencial para votar expedida por el INE sea la identificación preemienente en este país; así lo demuestra la afirmación siguiente, tomada de la Estrategia Programática del Ramo 22 (Instituto Nacional Electoral) del Tomo II (Ramos Autónomos) del Presupuesto de Egresos de la Federación para 2016:

Líneas Estratégicas. Fortalecer los procesos registrales electorales. Para mantener la credencial del INE, como medio principal de identificación…”

 

Centrar las facultades de identificación de los ciudadanos mexicanos en una mica expedida por un Instituto cuyo Padrón debe, por Ley, ser puesto a disposición de un gran número de sujetos es un error tanto como la atomización de los medios de identificación en este país es, sin lugar a dudas, un elemento que contribuye al riesgo por el robo de identidad. Las Disposiciones de Carácter General para prevenir e identificar operaciones con recursos de procedencia ilícita en diversos ámbitos prevén como medios para que una persona acredite su identidad a la credencial para votar del INE y a cualquier identificación vigente con fotografía y firma emitida por autoridades federales, estatales y municipales y las demás que, en su caso, apruebe la UIF. Entre más medios haya para acreditar la identidad de una persona mayores serán los riesgos a los que esa identidad esté expuesta; es lógica elemental.

La política de Estado que México tiene a la fecha en materia de identificación abona al riesgo al que nuestros datos están expuestos. Hubo un intento por hacerlo durante la administración del Presidente Calderón por instituir una Cédula de Identidad Personal, pero no prosperó. Las flamantes “Bases de colaboración para inhibir la suplantación de identidad a través del sistema financiero en Méxicosuscritas por el INAI, SHCP, INE, PRODECON y ABM prevén una serie de acciones, como protocolos de atención y actuación; mecanismos de intercambio de información; difusión, educación y capacitación al público, que de poco servirán mientras no se consideren los orígenes y factores que facilitan el robo de identidad.

Los medios de identificación deben ser más limitados y debidamente controlados para mitigar la contingencia de la usurpación de la identidad de los ciudadanos mexicanos, y sin importar los elevados estándares de seguridad con los que la nueva credencial para votar del INE es producida actualmente, dar preponderancia a una identificación expedida por una autoridad que está legalmente obligaa a poner sus bases de datos a disposición de un gran número de personas es, bajo cualquier métrica o metodología, un gran error.

 

 

cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como “instancias de seguridad y procuración de justicia”, cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: “Rastreará SHCP a evasores por celular“. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como “lavado de dinero”, son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para “coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la “evasión fiscal” hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.

 

 

 

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site