Inai sospecha que la PGR violó la ley de datos con Pegasus

Existen indicios de que la Procuraduría General de la República (PGR) violó el principio de responsabilidad y el deber de seguridad que contempla la ley de protección de datos personales aplicable al gobierno federal, a partir del uso del software de espionaje Pegasus. Con esa sospecha fundada, el Inai —la oficina federal de transparencia y protección de datos personales en México— ordenó el inicio de un procedimiento de verificación a la PGR, que adquirió Pegasus el 29 de octubre de 2014.

“La Procuraduría General de la República a la fecha se encuentra en posesión de la herramienta tecnológica y es factible su uso para recabar datos personales de terceros”, se lee en el acuerdo aprobado por el Inai el 23 de noviembre de 2018 y del cual Economicón tiene una copia.

ACTUALIZACIÓN 7/12/2018: El Inai ya publicó el acuerdo de la sesión donde el Pleno aprobó el procedimiento de verificación a la PGR por el caso Pegasus. La versión que yo vi tenía fecha del 21 de noviembre; la publicada tiene fecha del 23. En esta versión de este artículo corrijo la fecha a 23 de noviembre. También cambio la carátula del documento por la del publicado en el sitio del Inai y modifico el hipervínculo al documento hospedado en el sitio oficial.

El centro de investigación canadiense Citizen Lab y organizaciones civiles mexicanas han denunciado que Pegasus se ha utilizado contra periodistas, abogados, activistas anticorrupción y de salud pública, investigadores internacionales y políticos.

El procedimiento de verificación significa que inspectores del Inai visitarán oficinas de la PGR para documentar el uso que la dependencia ha dado al software de espionaje Pegasus y el tratamiento que se realiza con la información de carácter personal. Los indicios que tiene el Inai contra la PGR, las pruebas de un presunto incumplimiento a la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, fueron hallados durante la integración del expediente de investigación INAI.3S.08.03-003/2017, que se abrió de oficio en inició el 30 de junio de 2017.

En el acuerdo del Inai se utiliza la palabra “corroborar”, que alude a los indicios claros hallados como parte del expediente de investigación previo. El procedimiento de verificación a la PGR busca “corroborar que cumpla con los principios rectores de la protección de datos personales y deberes de los responsables, previstos en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados”, se lee en el considerando 18 del acuerdo.

“Se estima que la Procuraduría General de la República se encuentra en posibilidad de realizar el tratamiento de datos personales a través de su recolección por medio del uso de tecnología desde el momento en que la adquirió y mientras la detente, situación que le impone la obligación de dar cumplimiento a lo dispuesto en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, haciendo viable el inicio del procedimiento de verificación respectivo a fin de vigilar el cumplimiento de las referidas disposiciones legales”, añade el documento.

El Inai documentó que, en el proceso de investigación previa al inicio del procedimiento de verificación, la PGR se manifestó “impedida para pronunciarse respecto a la posibilidad de recabar datos personales a través de la tecnología que adquirió” e informó que Pegasus no fue utilizado “en los diversos periodos respecto de los cuales se plantearon diversos hechos a partir de indicios de los que tomó conocimiento” el Inai.

Si la PGR recabó información de carácter personal con Pegasus, además de constituir un tratamiento de datos personales representaría también la intervención de comunicaciones privadas regulada por el Código Nacional de Procedimientos Penales, recordó el Inai en el acuerdo.

¿Qué es Pegasus?

Pegasus es un software espía desarrollado por la compañía israelí NSO Group. Tras su instalación en un teléfono móvil, lo mismo un iPhone o un Android, Pegasus convierte el aparato en un zombi, una herramienta de espionaje a control remoto, con la que se pueden leer mensajes de texto, revisar fotos o conocer la ubicación en tiempo real del teléfono. Con Pegasus se pueden activar micrófonos y cámaras de los teléfonos sin que sus usuarios lo detecten.

Citizen Lab, un centro de investigación interdisciplinario con base en la Escuela Munk de Asuntos Globales de la Universidad de Toronto, ha documentado 24 ataques con Pegasus a blancos en México, sobre todo periodistas críticos al gobierno de Enrique Peña Nieto (2016-2018), activistas a favor del impuesto a las bebidas azucaradas o representantes de la Corte Interamericana de Derechos Humanos (CIDH) que se encontraban en México para investigar la desaparición de 43 estudiantes de Ayotzinapa, Guerrero.

Según el Citizen Lab, entre los blancos de Pegasus se encuentran: 

• Rafael Cabrera, Daniel Lizárraga y Carmen Aristegui, los periodistas que revelaron el caso conocido como La Casa Blanca de Peña Nieto
• Simón Barquera, investigador del Instituto Nacional de Salud Pública (INSP)
• Alejandro Calvillo, de la organización de defensa de los consumidores El Poder del Consumidor
• Ricardo Anaya Cortés, excandidato presidencial y exlíder del PAN

Los casos más recientes se dieron a conocer el 27 de noviembre pasado, cuando se denunció que los periodistas Andrés Villarreal e Ismael Bojórquez, del semanario sinaloense Ríodoce y colegas del periodista asesinado en mayo de 2017 Javier Valdez Cárdenas, también fueron blanco de Pegasus.

NSO Group ha asegurado que sólo vende este software de espionaje a gobiernos, con el compromiso de que se utilice exclusivamente para tareas de vigilancia y persecución de actividades relacionadas con el terrorismo y del crimen organizado. También ha dicho que, en caso de que Pegasus se utilice con fines distinto, NSO Group retira la licencia a los gobiernos que incumplen esta cláusula. NSO Group nunca ha presentado documentación que confirme esa política, de acuerdo con el periódico The New York Times.

Este artículo originalmente se publicó en El Economista el 3 de diciembre de 2018.

Comentarios