Solicitud:
A través de la Plataforma Nacional de Transparencia, una persona solicitó a la Lotería Nacional el documento de seguridad —con sus anexos— por medio del cual se da cumplimiento a lo establecido en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y en los Lineamientos Generales de Protección de Datos Personales para el Sector Público.
Como contexto, el documento de seguridad se define como un instrumento que describe y da cuenta, de modo general, sobre las medidas de seguridad, técnicas, físicas y administrativas que adopte para garantizar confidencialidad, integridad y disponibilidad de los datos personales que posee un sujeto obligado. Dicho documento está establecido en el artículo 35 de la Ley General ya mencionada.
Respuesta:
En respuesta, la Unidad de Transparencia de la Lotería Nacional señaló no contar con el documento solicitado. Específicamente, mencionó que, derivado de la conclusión de un proceso de fusión, el órgano se encuentra a la espera de la aprobación de la nueva estructura orgánica. Por ello, no está en condiciones de delimitar las acciones en materia de protección de datos personales.
Por su parte, la Dirección de Tecnología de la Información y Comunicaciones del sujeto obligado informó que el documento de seguridad se encuentra disponible en un vínculo electrónico que proporcionó al solicitante.
Recurso de revisión:
La persona recurrente manifestó su inconformidad en contra de la inexistencia referida por el sujeto obligado, argumentando que le parecía inverosímil que la Lotería Nacional no entregue la información y se justifique señalando un proceso de fusión que ya concluyó. Asimismo, señaló que el vínculo electrónico proporcionado no es necesariamente lo solicitado.
Alegatos:
En los alegatos, Lotería Nacional ratificó y defendió la legalidad de su respuesta.
Análisis del caso:
A partir del análisis del abogado proyectista Ronaldo Cuenca, la Ponencia a mi cargo determinó que el agravio de la persona recurrente es FUNDADO por las siguientes razones:
- Antes de su reestructura, Lotería Nacional ya era un sujeto obligado encargado de cumplir con esa responsabilidad, puesto que la finalidad del documento de seguridad es la protección de los datos personales que manejan en sus sistemas, por lo cual no procede su argumento para no contar con la información.
- De igual manera, se pudo advertir que no es posible acceder al vínculo electrónico proporcionado, ya que la página web redireccionada no existe.
Propuesta de resolución:
Por lo anterior, la Ponencia a mi cargo propone REVOCAR la respuesta de la Lotería Nacional. Así, se le instruye para que turne la solicitud a todas las unidades competentes, para que entreguen a la persona el documento de seguridad previsto en el artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Mensaje:
Decidí exponer este proyecto porque refleja la importancia de que las instituciones del Estado estén preparadas para proteger los datos personales de las y los mexicanos. Es fundamental decirlo, y más desde el Pleno de este Instituto: organismo autónomo que tutela los derechos de acceso a la información y a la protección de los datos personales, independientemente del poder político en turno y de las presiones —o las desinformaciones— mediáticas que puedan vivirse.
La privacidad de las personas no es algo menor, superfluo o secundario. Por el contrario, es un derecho humano establecido en el artículo 16 constitucional, y cualquier institución pública, empresa o persona particular que resguarde o maneje datos personales debe cumplir con las leyes correspondientes en la materia.
El documento de seguridad, como el que fue requerido en este caso a la Lotería Nacional, es un instrumento que describe las medidas técnicas, físicas y administrativas adoptadas por la autoridad responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee. Sin este documento, es imposible conocer cómo se protegerán los datos personales contra daño, pérdida, alteración, destrucción o tratamiento no autorizado.
Todos los sujetos obligados deben contar con un documento de seguridad, el cual debe estar integrado por: un inventario de tratamientos; las funciones y obligaciones de los funcionarios responsables de tratar los datos personales; la elaboración de un análisis de riesgo y de brecha; un plan de trabajo; mecanismos de monitoreo; programas de capacitación, entre otros.
Asimismo, el artículo 34 de la Ley menciona que las acciones relacionadas con las medidas de seguridad deben estar documentadas y contenidas en un sistema de gestión. Este sistema permite operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos.
Atravesamos una coyuntura política donde vemos cómo ciertas autoridades menosprecian y socavan la protección de los datos personales bajo argumentos que no están respaldados ni en la Constitución ni en leyes secundarias.
Como lo hemos expresado las tres Comisionadas y el Comisionado Presidente de manera recurrente, este Instituto siempre ha tenido las puertas abiertas para dialogar sobre lo relevante que es la protección de los datos personales para la libertad de las y los ciudadanos y para la democracia.
Por ejemplo, ahora sería buen momento para conocer la diferencia entre información reservada y confidencial, y cómo, en todo momento, los datos personales son información confidencial que requiere del consentimiento de sus titulares para divulgarse. Denunciar presuntos actos de corrupción es diferente a vulnerar datos de personas.
Cuando una autoridad revela nuestros datos personales sin nuestro consentimiento, viola nuestros derechos y nos vuelve vulnerables a distintos tipos de ataques, desde un posible hostigamiento a un robo de identidad. Esto se conoce como “doxing”.
Lo he dicho a lo largo de mi cargo en el INAI, los Órganos Internos de Control no deben ser las instancias que ejecuten las resoluciones de vulneración de datos personales en posesión de sujetos obligados que determina este Instituto. Las sanciones y el fincamiento de responsabilidades debe ser facultad del INAI; esos son los “dientes” que se necesitan, por eso es urgente una reforma en la materia.
