Secretaría de la Función Pública, filtración de datos personales de la declaración patrimonial de los servidores públicos 2020.
Secretaría de la Función Pública, filtración de datos personales de la declaración patrimonial de los servidores públicos 2020.

Han pasado dos años desde la mayor filtración de datos personales, patrimoniales y financieros de los trabajadores del Gobierno federal y la Secretaría de la Función Pública, responsable de la filtración y responsable de imponer sanciones, no ha encontrado culpables.

Fueron 830,000 trabajadores del Gobierno afectados por la filtración de información contenida en sus declaraciones de situación patrimonial y de conflicto de intereses. La propia Secretaría habla de 1.6 millones de titulares afectados, “debido a que algunos nombres pueden aparecer con diferentes variantes”, de acuerdo con la respuesta de transparencia SAI 330026522001162, fechada el 2 de junio de 2022.

Las declaraciones patrimoniales son obligatorias para todos los funcionarios públicos por motivos de transparencia y combate a la corrupción. Se trata de tener registros patrimoniales y financieros para trazar la evolución de su riqueza y evitar el ejercicio indebido de la función pública.

Entre el 6 de mayo y el 30 de junio de 2020, una base de datos de la Secretaría de la Función Pública con las declaraciones patrimoniales de los trabajadores del Gobierno estuvo disponible para cualquier persona en internet. Una configuración de seguridad deficiente la puso al alcance de cualquiera, como publiqué el 4 de julio de 2020

La Secretaría de la Función Pública, responsable de vigilar y castigar a los trabajadores del Gobierno, calificó la filtración de datos como “una forma alternativa de acceso a datos”. Más tarde cambió la versión para aprovecharse de unos mensajes extorsivos incrustados en la base de datos expuesta y considerar el incidente como un “ataque técnico”.

La oficina de protección de datos personales, el Inai, dijo que el incidente fue una “vulneración de seguridad que afecta de forma significativa los derechos patrimoniales de los titulares”. El 24 de noviembre de 2020, por unanimidad, el Inai consideró que la Secretaría de la Función Pública violó la ley de protección de datos personales.

El Inai concluyó por mayoría que la Secretaría había violado la ley de protección de datos personales. Ordenó al Órgano Interno de Control de la Secretaría que “en el ámbito de sus atribuciones determine lo que en derecho corresponda en relación con las responsabilidades administrativas en que pudieron haber incurrido servidores públicos con motivo de la vulneración de seguridad sucedida en los sistemas informáticos de la referida dependencia”.

La Secretaría, se lee en la resolución de la autoridad administrativa de protección de datos personales, falló en sus deberes de confidencialidad y seguridad y en cinco de los ocho principios enunciados en la ley: consentimiento, responsabilidad, información, licitud y lealtad. 

A dos años de ocurrido el incidente, no hay responsables. Ni castigo. Las Naciones Unidas definió impunidad como la inexistencia de responsabilidad responsabilidad civil, administrativa o disciplinaria porque los autores de violaciones “escapan a toda investigación con miras a su inculpación, detención, procesamiento y, en caso de ser reconocidos culpables, condena a penas apropiadas, incluso a la indemnización del daño causado a sus víctimas”.

La Secretaría informó en su momento de que estaba “en curso una investigación para deslindar responsabilidades” y, si fuera necesario, “dar vista a las autoridades competentes”.

Dos años después de esa afirmación, el expediente sigue abierto y no se han determinado las responsabilidades incurridas por la filtración de datos ni se han impuesto castigos a los responsables.

El caso “se encuentra en trámite, por lo que, al advertir que la información requerida depende de circunstancias que no se han materializado, no es posible su entrega en los términos solicitados”, dice una respuesta de transparencia de la Secretaría de la Función Pública sobre el incidente con fecha del 2 de junio de 2022.

“Nadie está obligado a lo imposible”, dice la respuesta, recuperando un principio del derecho enunciado en el Código Civil Federal para asegurar que no se puede entregar información que no existe. “La autoridad resolutora [el Órgano Interno de Control de la propia Secretaría] debió haber emitido la resolución correspondiente, hipótesis que no se actualiza”.

Presupuesto TIC de la Secretaría de la Función Pública. Cada año, menos recursos. 2017-2021
Presupuesto TIC de la Secretaría de la Función Pública. Cada año, menos recursos. 2017-2021

A pesar de protagonizar la mayor filtración de datos de trabajadores públicos, la Secretaría de la Función Pública ha ido recortando el presupuesto de su Dirección General de Tecnologías de Información. El presupuesto para esa dirección ha caído 57% desde el primer año de la Presidencia de Andrés Manuel López Obrador.

Esta dirección es responsable de los sistemas tecnológicos de la dependencia y desde esa oficina se produjo la mala configuración de la base de datos que dio pie a la filtración de información personal confidencial.

“Al momento del incidente de seguridad (…) la única unidad administrativa que tenía acceso a dicho sistema (vulnerado) era la Dirección General de Tecnologías de Información”, informó la Secretaría de la Función Pública al Inai durante la investigación administrativa. 

Es cierto, no todo ha caído sobre terreno infértil. Tras la filtración de los datos confidenciales de las personas servidoras públicas, la Secretaría de la Función Pública informó de que reforzó sus protocolos en materia de protección de datos personales para mejorar las medidas técnicas y organizativas para su tratamiento y resguardo y emprendió un plan de capacitación en materia de protección de datos personales.

Pero al final es difícil ofrecer un mensaje optimista: la impunidad será la marca de este caso.

Filtración de datos personales de la Secretaría de la Función Pública

  1. Función Pública expuso la declaración patrimonial de 830,000 funcionarios públicos (4 de julio, 2020)
  2. ¿Quién protege a los funcionarios públicos? (5 de julio, 2020)
  3. Exposición de datos en Función Pública despierta preocupación en la comunidad del Conacyt (14 de julio, 2020)
  4. Secretaría de la Función Pública reconoce que expuso datos personales confidenciales (20 de julio, 2020)
  5. Inai ya investiga fuga de datos personales confidenciales en Función Pública (24 de julio, 2020)
  6. Función Pública reconoció una exposición masiva de datos, dice el presidente del Inai (27 de julio, 2020)
  7. Función Pública clasificó como confidenciales los detalles de su fuga de datos personales (11 de septiembre, 2020)
  8. Función Pública: silencio y opacidad (13 de septiembre, 2020)
  9. Función Pública violó la ley por fuga de datos personales: Inai (24 de noviembre, 2020)
  10. Inai alerta de posible robo de datos personales tras “hackeo” a Función Pública (4 de diciembre, 2020)
  11. Función Pública no ha encontrado responsables de la filtración de datos personales de 2020 (8 de agosto, 2021)
  12. Secretaría de la Función Pública: poner el ejemplo (5 de agosto, 2021)
  13. ¿Los empleados del gobierno tienen privacidad? (YouTube, 22 de octubre, 2021)
  14. Secretaría de la Función Pública: dos años de impunidad (4 de julio, 2022)

Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon

Newsletter

TwitterFacebook / Youtube