Hay un hecho incontrovertible: Función Pública reconoció una exposición masiva de datos, dice el presidente del Inai

La austeridad republicana ha desalentado la inversión del sector público en tecnologías de la información. Y eso es una “alerta poderosa que debe tener el sector público entero”, señala Francisco Javier Acuña Llamas, el comisionado presidente del Inai (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales), entrevistado por El Economista para hablar sobre la fuga de datos personales ocurrida en la Secretaría de la Función Pública. “Yo no puedo conectar supuestos”, dice Acuña Llamas, para evitar relacionar la disminución del presupuesto con el incidente, pero es un tema que “puede conectarse con el peligro que se debe entender”.

Lo que sí puede asegurar sobre el caso, sin ensuciar la investigación, es que la Secretaría de la Función Pública reconoció una “exposición masiva de datos personales. (...) Pero las estimaciones que haga la autoridad, en este caso el sujeto obligado que reconoce el incidente, en genérico, van a quedar pronto claras o aclaradas una vez que se llegue a un nivel de la investigación que permita despejar las incógnitas”.

El Economista publicó el 4 de julio que la Secretaría de la Función Pública dejó a la vista de cualquier persona con acceso a internet, sin contraseñas ni otras medidas de seguridad, una base de datos que contenía información de las declaraciones patrimoniales de 830,000 funcionarios públicos, incluidos datos personales confidenciales. La base estuvo disponible entre el 6 de mayo y el 30 de junio de 2020.

Esta podría ser la mayor fuga de datos personales en poder de alguna oficina pública desde que existe la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, que debe cumplir cualquier autoridad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos de los tres niveles de gobierno.

Función Pública, en un correo electrónico enviado a funcionarios públicos el 20 de julio, reconoció que en el incidente quedaron expuestas las claves de identificación fiscal (RFC), la de registro de población (CURP) y el sexo de los funcionarios públicos afectados. El Inai, el 24 de julio, emitió un comunicado para informar que Función Pública le notificó formalmente del incidente el 10 de julio y que se encuentra en proceso una investigación.

De acuerdo con Acuña Llamas, quien encabeza el pleno del instituto responsable de garantizar el derecho a la protección de datos personales, la Función Pública “no demoró en hacer comunicación informal” al Inai para alertar del incidente. “No tardó demasiado para que la propia autoridad, en este caso la dependencia, hiciera conocimiento verbal, hiciera contacto, no con oficio concreto, y echara a andar lo que se llama el reconocimiento de los hechos”.

Afirmó que la alerta de Función Pública coincidió con un correo electrónico enviado al Inai por “un investigador que en otras ocasiones ha aportado datos” sobre incidentes relacionados con manejos de datos personales, en referencia al investigador de ciberseguridad Bob Diachenko, pero sin mencionar su nombre. Acuña Llamas calificó a esta persona como alguien que “goza de reconocimiento y de prestigio ante nosotros, por las otras situaciones que ha comunicado (...) Es un reconocido investigador que ha hecho aportaciones para casos diversos (...) que han resultado ciertas”.

—Entonces, ¿cómo se enteró el Inai del incidente en Función Pública? ¿Por comunicación de este investigador, por comunicación de Función Pública o por los medios de comunicación?

—Ya te lo dije. Coincidieron en el tiempo la comunicación del investigador y prácticamente cuando el investigador hizo público esto hubo resonancia mediática.

—¿Cómo hizo público el investigador la notificación?

—Un correo electrónico, como lo ha hecho otras veces.

—¿Ustedes han tenido mayor comunicación con el investigador?

—Sí. Se le pidió una información para que aportara mayores elementos y ya no lo ha hecho. No ha respondido. Porque en este caso, como la persona goza de reconocimiento y de prestigio ante nosotros, por las otras situaciones que ha comunicado, podríamos estar hablando con alguien anónimo y no es el caso. (...)

—Usted, como experto en transparencia, sabe que las notificaciones informales no redundan en una notificación oficial o en un documento de validez oficial, como una comunicación por WhatsApp u otro tipo de comunicación, por eso quiero insistir en la primera comunicación de índole oficial fue la del 10 de julio.

—Repito, estás instalado en ese punto. Yo quisiera que abordáramos… Porque pareciera que todo mi comentario se agota en ya tener un elemento de juicio sobre si hay retraso...

—La Secretaría de la Función Pública ha llamado a este incidente “una forma alternativa de acceso” a datos públicos, o sea: de crear bases de datos espejo o paralelas a las oficiales. ¿Existe algún fundamento legal que le permita hacer eso?

—No, eso es lo que vamos a constatar una vez que se puedan tomar todas las medidas de verificación que reclame la presencia, la visita in situ, el ingreso por los canales de las condiciones de seguridad que rodean los estatutos y los lineamientos específicos que deben observarse. Yo no puedo darle valor a una estimación que directamente haga la autoridad, en este caso la dependencia, puede precisamente expresar, como ella considere, lo que ocurrió pero eso no quiere decir que se vaya a reconocer si eso está o no, primero comprobado y luego si sea correcto o lo que sea.

—¿A usted le parece que “forma alternativa de acceso” es un eufemismo?

—A ver, los eufemismos caben siempre. La autoridad puede permanentemente, como las personas, para alegar o justificar un acto así o un hecho, pues llamarle de un modo u otro a lo que pasó. Pero al final el recorrido que la autoridad, en este caso el Inai, haga va a dejar claro y aclarados los puntos efectivos de lo que se pueda comprobar y demostrar, al margen de las estimaciones, vamos a decir, líricas o libres que haga la dependencia sobre lo que considera ocurrió.

Aquí el hecho es incontrovertible: hay el reconocimiento de exposición masiva de datos personales, de cierto tipo —por lo pronto o por lo menos— en el punto de partida de la investigación, respecto de un conjunto de datos personales de personas que son funcionarios públicos, que se desprende por el manejo de las declaraciones patrimoniales sin conflicto de interés de un número incierto, aunque ya hay una aproximación del universo. Pero repito: las estimaciones que haga la autoridad, en este caso el sujeto obligado que reconoce el incidente, en genérico, van a quedar pronto claras o aclaradas una vez que se llegue a un nivel de la investigación que permita despejar las incógnitas y también precisar el léxico adecuado y preciso con el que se dio a reconocer un hecho. (...)

Al margen de los efectos que tenga la investigación, también esto, desgraciadamente, puede conectarse con el peligro que se debe entender, con la alerta poderosa que debe tener el sector público entero por la disminución progresiva de recursos para invertir en medidas de seguridad, en medidas informáticas en general, de equipo informático, que por consecuencia generan probable o seguro disminución de capacidades para blindar la información que se usa, incluida naturalmente y con mayor razón la que tiene que ver con datos personales. (...)

—¿Usted considera que la reducción de presupuesto en tecnología puede incidir en nuevos incidentes que dejen expuestos datos personales e información?

—Sí, eso sí lo puedo afirmar, porque es una presunción lógica. En la medida en la que se viene viendo que no solamente el Poder Ejecutivo, sino incluso los otros organismos de la Federación y también, desde luego, de los estados, por la austeridad republicana que ha venido a establecer, y prácticamente a desalentar y a recortar los presupuestos destinados a la inversión en tecnología relacionada con la actividad de estas instituciones, de todas ellas, en un mundo global y en un momento en el que es evidente que los intercambios de información para todo este tipo de trámites pues son básicamente digitales, es decir, el Estado funciona de manera digital.

—¿Lo ocurrido en Función Pública podría estar relacionado con esta reducción de presupuesto?

—Yo no puedo conectar supuestos. Lo que digo es que la oportunidad es enorme. (...) Permite, en preventivo a todas dependencias, ponerse a revisar si sus medidas de seguridad tecnológicas, físicas y administrativas en torno al manejo de bases de datos personales, su conservación, su transferencia y su manejo, están en regla y está a tono. Por eso lo dije, como una deducción, eso sí, de que ese tipo de ajustes presupuestales a la inversión —yo no digo gasto— en tecnologías de la información sí puede generar que haya fallas en los dispositivos telemáticos o de tecnologías de la información.

Y también puede ocurrir que habiendo, por ejemplo, óptimos sistemas de seguridad informática, pueda ocurrir una distracción o un descuido o un manejo indebido, inadecuado de las medidas físicas o las medidas administrativas.