La salud del presidente son datos personales sensibles: Josefina Román, comisionada del Inai

El oficio enviado por la Secretaría de la Defensa (Sedena) a la autoridad mexicana garante de la protección de datos personales, el Inai, para notificar la vulneración que sufrió su servicio de correo electrónico, no aporta mucha información y esa es la razón por la que el instituto abrió una investigación de oficio al respecto, dijo Josefina Román, comisionada del Inai.

La oficina de transparencia del ejército mexicano, según el documento enviado al Inai, considera que la intromisión en su sistema de correo electrónico por parte del grupo de hacktivistas Guacamaya “no constituye una vulneración que afecte de forma significativa los derechos patrimoniales o morales de titulares de datos personales”.

El hecho de que entre los primeros datos dados a conocer a partir de la filtración esté el estado de salud del presidente Andrés Manuel López Obrador es una muestra para la comisionada de que la información vulnerada sí contiene datos personales e, incluso, sensibles. 

Los datos sensibles, según la legislación mexicana, son aquellos “datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”.

En entrevista con El Economista, la comisionada habla sobre la investigación de oficio abierta por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) y sobre las consecuencias que esta podría tener. 

—La Sedena afirma en un oficio al Inai que los datos exfiltrados  por el grupo Guacamaya no son personales porque el correo electrónico no es una herramienta de tratamiento de datos personales sino de comunicación, ¿cómo recibió el Inai esta afirmación de la secretaría?

—Recibimos el oficio, se analizó y en el pleno del Inai decidimos abrir el periodo de investigación de oficio. Vamos a concluir esta investigación y ya concluida determinaremos lo procedente.

Uno de los primeros datos que se hicieron públicos (después del hackeo a la Sedena) fue el estado de salud del presidente. Ese es un dato personal, por eso creo que la Sedena no puede afirmar que no hay más datos personales, porque tendría que emitir la explicación correspondiente.

—¿De acuerdo con la legislación mexicana en materia de datos personales, es el correo electrónico una herramienta que puede contener datos personales o es un medio de comunicación?

—Puede haber lineamientos para el uso correcto de los correos electrónicos. En el Inai tenemos lineamientos para tal efecto, pero lo que la ley general establece como obligación de las instituciones públicas es el adecuado tratamiento de datos, no necesariamente de una base de datos, que yo creo que ahí es donde hubo mucha confusión. A mí me queda claro que no puedes tener una base de datos personales en un correo electrónico, pero si vía el correo electrónico, haces tratamiento de datos personales, claro que aplica la ley y hay principios, deberes y obligaciones en ese sentido. Eso es lo que vamos a investigar.

—¿Por qué el estado de salud del presidente es un dato personal?

La ley establece que el estado de salud presente y futuro de una persona son datos personales que inclusive tienen el apellido de sensibles. Si hay datos personales sensibles que fueron revelados, no sabemos si hay más datos personales y ese es otro de los elementos por los que decidimos abrir la investigación.

—¿Cuál es el proceso de la investigación y cuáles pueden ser sus plazos?

—El mismo día que recibimos la respuesta por parte de Sedena, ese día (5 de octubre) decidimos en el pleno iniciar de oficio la investigación correspondiente. Ahora, la investigación toma 50 días para hacer el análisis y bueno, una vez agotado ese plazo, ya determinaremos si procede, por ejemplo, dar vista al órgano de control interno o si el tratamiento de datos personales ha sido el adecuado. 

—La Sedena habla en su oficio únicamente de datos personales, pero dentro de los datos exfiltrados puede haber información confidencial o la información del Estado mexicano, ¿el Inai tiene alguna facultad para investigar casos que involucren información que no sea personal o sensible?

—Nosotros somos responsables de aplicar, por un lado, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, pero también la Ley General de Transparencia y Acceso a la Información y de la Ley Federal de Transparencia y Acceso a la Información.

Por la naturaleza de sus funciones, mucha de la información que genera o que posee es reservada por seguridad nacional. Entonces, hay que revisar si dentro de esta vulneración de datos se encuentra información que en su momento debía protegerse por seguridad nacional.

—¿Cuáles podrían ser las consecuencias de esta investigación? ¿Podría haber alguna sanción para la Sedena?

—Si en algún momento dado nosotros determinamos que eventualmente podría haber una probable falta administrativa, a nosotros no nos toca determinar la responsabilidad administrativa, pero sí al Órgano Interno de Control de la Sedena. La ley establece que tendríamos que dar vista a ese órgano de control interno y dependiendo del resultado de la investigación y del procedimiento de responsabilidad administrativa eventualmente podría llegarse a una sanción, las cuales son establecidas en la propia Ley General de Responsabilidades Administrativas y que pueden ir desde una amonestación hasta inhabilitación.

—En el pasado reciente, al menos durante esta administración, el Inai ha resuelto sanciones para dos entidades del Ejecutivo: el propio presidente de la República y la Secretaría de la Función Pública, pero en ningún caso han tenido efecto estas resoluciones, ¿podría pasar lo mismo en el caso de la Sedena, es decir que se tenga que sancionar a sí misma por este caso?

—El órgano de control interno no depende de la Sedena, depende de la Secretaría de la Función Pública. Por una cuestión de descentralización, es que se encuentran dentro de la Sedena o de cada secretaría, pero en realidad no es Sedena sancionando a Sedena. Al final, la calidad de la sanción sería en función de lo que se llegue a determinar en la investigación.

rodrigo.riquelme@eleconomista.mx

kg