El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) advierte sobre una posible vulneración de datos personales en posesión de la Secretaría de Infraestructura, Comunicaciones y Transportes (SICT), tras el ataque cibernético a sus equipos informáticos, registrado el 24 de octubre pasado.

De acuerdo con el artículo 38 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), se consideran vulneraciones de seguridad la pérdida o destrucción no autorizada de los datos personales; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, y el daño, la alteración o modificación no autorizada.

Ante cualquiera de estos escenarios, la SICT, como sujeto obligado de la LGPDPPSO y responsable del tratamiento de datos personales que posee, tiene el deber de informar sin dilación alguna al titular, así como al INAI sobre las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales de los titulares, en cuanto éstas hayan sido confirmadas, tal como lo establece el artículo 40 de la Ley General.

Al respecto, el artículo 66 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público prevé un plazo máximo de 72 horas para que la SICT notifique la vulneración de seguridad en materia de datos personales a este Instituto, el cual comienza a correr el mismo día natural en que se confirme el hecho y se hayan comenzado a tomar las acciones encaminadas a detonar un proceso de mitigación.

Como parte de la notificación, la dependencia deberá informar al INAI, entre otras cuestiones, la naturaleza del incidente; la hora y fecha de la identificación de la vulneración, así como del inicio de la investigación del hecho; las categorías y número aproximado de titulares afectados; las circunstancias en torno a la vulneración ocurrida; los sistemas de tratamiento y datos personales comprometidos; las acciones correctivas realizadas de forma inmediata, y las posibles consecuencias de lo ocurrido.

Una vez recibida la notificación, el Instituto, como organismo garante del derecho a la protección de datos personales, estará en posibilidad de realizar las investigaciones previas con la finalidad de allegarse de elementos que le permitan, en su caso, determinar el inicio de un procedimiento de verificación.

En tanto, el INAI, a través de la Dirección General de Evaluación, Investigación y Verificación del Sector Público de la Secretaría de Protección de Datos Personales, ha establecido contacto con la SICT, a fin de brindarle apoyo técnico para el cumplimiento de las obligaciones establecidas en la LGPDPPSO e informarle, mediante un oficio, sobre el deber de notificar tanto al Instituto como a los titulares sobre la posible afectación de datos personales, tras el acceso ilícito a sus equipos informáticos.

Redacción