SFP deberá dar a conocer todos los documentos de seguridad emitidos para proteger los datos personales que resguarda de 2009 a 2016.

April 27, 2018

 

Ciudad de México a 27 de abril de 2018

Dependencia ante la cual se presentó la solicitud: Secretaría de la Función Pública (SFP)

Folio de la solicitud: 0002700005318

Número de expediente: RRA 1435/18

Comisionado Ponente: Joel Salas Suárez

 

El Caso

El particular solicitó a la Secretaría de la Función Pública (SFP) todos los “documentos de seguridad” emitidos para la protección de datos personales entre 2005 y 2016, según los términos de la legislación de la materia de 2005; en 2017, según los términos de la nueva ley general; así como las actas del Comité de Información en los que fueron aprobados o modificados.

 

En respuesta, la secretaría indicó que: i) para los documentos de seguridad emitidos entre 2005 y 2016, la Oficialía Mayor y la Unidad de Asuntos Jurídicos no localizaron la información, pero puso a disposición las actas por las que su Comité de Información aprobó en 2007 y 2009 los documentos de seguridad. También proporcionó la dirección electrónica de un oficio entregado al Archivo General de la Nación notificando la baja de documentos de seguridad para los años 2000 a 2007. ii) Para los documentos de 2017, la Unidad de Políticas de Transparencia y Cooperación Internacional aclaró que aún no está obligada a concluir con la expedición de dichos documentos porque el artículo transitorio séptimo de la Ley General establece como fecha límite el 27 de julio de 2018.

 

Inconforme, el particular manifestó como agravios: i) la entrega de información incompleta para el año 2017, ya que el artículo transitorio referido no exime al sujeto obligado del cumplimiento de la Ley General; ii) la falta de entrega del documento de seguridad del año 2009, pues el acta del Comité de Información que fue proporcionada expresa la elaboración de dicho documento; iii) la falta de entrega de los documentos de seguridad y las actas del Comité de Transparencia correspondientes al periodo del año 2010 a 2016, considerando que no hay declaración de inexistencia de dichos documentos. En alegatos, la Secretaría de la Función Pública reiteró los alcances de su respuesta.

 

En análisis

 

Tras analizar el caso, esta ponencia concluyó que el agravio del particular sobre la obligación de la secretaría de contar con el documento de seguridad de 2017 resulta INFUNDADO porque, en efecto, no existe la obligación del sujeto obligado de contar con la información pues aún no vence el plazo fijado. En cuanto a los agravios relacionados con la falta del documento de seguridad de 2009 y los correspondientes al periodo de 2010 a 2016, esta ponencia concluyó que los agravios son FUNDADOS toda vez que el sujeto obligado no realizó una búsqueda exhaustiva de la información requerida.

 

Posicionamiento 

 

Elegí este recurso para su discusión pública porque en la actualidad el manejo e intercambio de datos personales es una práctica habitual y necesaria; por estas razones, es necesario realizar esfuerzos conjuntos entre particulares, instituciones públicas y organismos garantes para protegerlos. Sin duda, uno de los primeros pasos debe ser cumplir a cabalidad los marcos normativos vigentes.

 

En los últimos años, el número de solicitudes de protección de datos personales y de denuncias por mal uso de estos demuestran que la población posee mayor conciencia de la importancia de proteger su información. El INAI recibió 945 solicitudes de protección de datos personales entre 2012 y enero de 2018[1] y atendió 2 mil 423 denuncias en la materia de 2011 a enero de 2018.[2] Además, según la Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales (ENAID) 2016, 16.7% de la población ejerció sus derechos ARCO, es decir, accedió, rectificó, canceló o se opuso al tratamiento de su información.[3] Se esperaría que estas cifras crezcan conforme el derecho a la protección de datos personales sea conocido por más población.

En este contexto es necesario que las instituciones públicas y los entes privados demuestren su capacidad para el buen tratamiento de datos personales. La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de Particulares establecen las formas y condiciones en que debe darse tratamiento a esta información para asegurar su protección, tanto en el ámbito público como en el privado.

 

El documento de seguridad es un instrumento definido en el artículo 3 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados como: el “instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee”. Asimismo, el artículo 35 de la misma ley establece que los sujetos obligados deberán elaborar un documento de seguridad que contenga, al menos, el inventario de datos personales y de los sistemas de tratamiento, las funciones y obligaciones de las personas que traten los datos, el análisis de riesgos, el análisis de brecha, el plan de trabajo, los mecanismos de monitoreo y revisión de medidas de seguridad, y el programa general de capacitación.[4]

 

En pocas palabras, el documento de seguridad sirve a los sujetos obligados para aclarar qué datos manejan, las bases de datos donde los almacenan y los mecanismos con los que los protegen. La existencia de este documento muestra que las instituciones públicas conocen sus responsabilidades en la materia y las consecuencias de no cumplir con lo dispuesto en la ley. En este sentido, el documento de seguridad no solo es una obligación, sino un ejercicio de reflexión, ordenamiento y concientización de las unidades administrativas y los servidores públicos en la materia. Es una herramienta para verificar la implementación de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

 

Relevancia del caso

 

Este recurso de revisión es un ejemplo cabal de la responsabilidad compartida que implica la protección de datos personales en posesión de sujetos obligados: la población conoce su derecho y exige su cumplimiento a la institución pública que los resguarda, los sujetos obligados demuestran que acatan lo establecido en la ley de la materia, mientras el INAI garantiza que el derecho sea efectivo.

 

Quiero destacar que la Secretaría de la Función Pública implementa acciones para asegurar el tratamiento adecuado de los datos personales de la población. El pasado 24 de enero de 2018 recibió el “Premio de innovación y buenas prácticas en la protección de datos personales” que otorga este Instituto en el marco del “Día internacional de protección de datos personales. La “aplicación del estándar de servicios digitales en trámites y servicios de la Ventanilla Única Nacional www.gob.mx” fue la mejor práctica entre las candidatas en ese certamen. 156 instituciones migraron a la Ventanilla Única Nacional y se estandarizaron 5 mil 409 trámites, de los cuales 948 cuentan con un formulario web que cumple con las disposiciones legales en materia de seguridad y protección de datos personales.[5]

 

La Secretaría de la Función Pública debe aspirar a ser un referente para la administración pública federal y también nacional por la cantidad de bases de datos que gestiona. En particular ahora que algunas de esas bases alimentarán la Plataforma Digital Nacional que debe crearse por mandato de la Ley General del Sistema Nacional Anticorrupción. Entre otra información, la Plataforma deberá incluir datos de declaraciones patrimoniales de servidores públicos federales, contrataciones públicas, denuncias de faltas administrativas y hechos de corrupción.[6] Esta información implica la incorporación de datos personales que deberán ser protegidos con estricto cuidado y apego a la ley. Los documentos de seguridad vigentes deben brindar seguridad a los servidores públicos y a la población en general que los datos personales en posesión de la administración federal son resguardados de acuerdo con la ley y no se encuentran en riesgo.

 

Propuesta

 

Por lo anterior, esta ponencia propone MODIFICAR la respuesta de la Secretaría de Función Pública e instruirle que realice una nueva búsqueda exhaustiva, incluyendo la Dirección General de Denuncias e Investigaciones, para localizar todos los documentos de seguridad generados por la SFP durante los años 2009 a 2016, así como las actas del Comité de Información en las que fueron aprobados o modificados.

 

 

Referencias

 

[1]http://inicio.ifai.org.mx/proteccionDeDatosPersonalesEstadisticas/4Procedimiento%20de%20Protecci%C3%B3n%20de%20Derechos.pdf

 

[2] http://inicio.ifai.org.mx/proteccionDeDatosPersonalesEstadisticas/1Estadisticas%20denuncias.pdf

 

[3] http://www.beta.inegi.org.mx/proyectos/enchogares/especiales/enaid/2016/default.html

 

[4] http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf

 

[5] https://www.gob.mx/cidge/articulos/premia-inai-a-la-sfp-en-innovacion-y-buenas-practicas-en-la-proteccion-de-datos-personales-146793?idiom=es

 

[6] Según lo dispuesto en el artículo 49 de la Ley general del Sistema Nacional Anticorrupción. http://www.diputados.gob.mx/LeyesBiblio/pdf/LGSNA.pdf

 

 

 

 

Aquí versión estenográfica, mi participación comienza en la pág. 31.

Comparto audio completo de la sesión del pleno. 

Comparto comunicado emitido por el inai. 

 

Aquí fragmento de video con mi participación en el pleno. 

 

 

 

Aquí video de la sesión completa del pleno (mi participación comienza a partir de 1:24:01): 

 

 

 

 

Share on Facebook
Share on Twitter
Please reload

Entradas destacadas

CNEGSR debe informar sobre distribución de condones femeninos.

March 25, 2020

1/10
Please reload

Entradas recientes
Please reload

Archivo