El Pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) aprobó dar vista a los Órganos Internos de Control de la Secretaría de Desarrollo Social (Sedesol) y la Secretaría de Comunicaciones y Transportes (SCT) por los incumplimientos en materia de protección de datos personales con motivo de las transmisiones del padrón de beneficiarios del Programa de Trabajo para la Transición a la Televisión Digital Terrestre (TDT).

Así lo aprobaron los comisionados Ximena Puente de la Mora, Francisco Javier Acuña Llamas, Areli Cano Guadiana, Óscar Guerra Ford, Rosendoevgueni Monterrey Chepov y Joel Salas Suárez durante la sesión de Pleno.

El 11 de noviembre, la Coordinación de Datos Protección de Datos Personales remitió a la Coordinación Técnica del Pleno del Instituto el “Informe de resultados sobre las transmisiones del Padrón de Beneficiarios del Programa de Trabajo para la Transición de Televisión Digital Terrestre (TDT)”, donde fueron descritas las actuaciones efectuadas, así como los resultados obtenidos.

“En el informe se identificaron posibles incumplimientos en materia de protección de datos personales por parte de la Secretaría de Desarrollo Social con motivo derivado de la transmisión que le hizo la Secretaría de Comunicaciones y Transportes el dieciocho de marzo de dos mil dieciséis, del Padrón de Beneficiarios del Programa de Trabajo para la Transición a la Televisión Digital”, señala el Acuerdo ACT-PUB/16/11/2016.04. La SCT recabó fotografías y datos biométricos como las diez huellas dactilares de los beneficiarios del programa. Estos datos fueron transferidos a la Sedesol.

Los incumplimientos son a los principios de custodia y cuidado, así como el de seguridad, pues no proporcionaron la documentación relacionada con la emisión de criterios específicos sobre el manejo, mantenimiento, seguridad y protección de los datos personales.

El Informe arrojó también que la Sedesol no adjuntó evidencia documental del anexo técnico del contrato, en el que presuntamente se establecían las características, descripción y especificaciones de la prestación del servicio administrado de infraestructura de misión crítica contratado, que cuenta con sitios alternos para el resguardo de respaldo de la información.

Del mismo modo, tampoco proporcionó evidencia de la manera en la que realizaba el registro del contenido o lo entregaba para su baja en equipos de cómputo; no presentó un procedimiento formal para la asignación de claves de acceso y omitió proporcionar los documentos en los que se pudiera constatar la implementación de las medidas de seguridad para el uso de los dispositivos electrónicos y físicos de salida, así como para evitar el retiro no autorizado de los mismos fuera de las instalaciones de la dependencia.

En lo que corresponde a la SCT, el Informe encontró que no acreditó haber clasificado como reservada y de acceso restringido la documentación generada para la implementación, administración y seguimiento de las medidas de seguridad administrativas, físicas y técnicas para la transmisión de los datos personales contenidos en el Padrón de Beneficiarios a la Secretaría de Desarrollo Social.

La Secretaría de Comunicaciones y Transportes incumplió los lineamientos de Protección de Datos Personales, al no proporcionar información relacionada con las medidas para resguardar los datos personales almacenados en soporte físico, respecto a los datos personales que conservaría del Padrón de Beneficiarios, a efecto de evitar su alteración, pérdida o acceso no autorizado; así como de la manera en que informó al Comité de Transparencia los nombres de los encargados y usuarios.

Tocará a los Órganos Internos de Control de ambas dependencias determinar si hubo alguna responsabilidad por parte de algún funcionario. En caso de hallarlas, podrían acreditar alguna sanción administrativa.

Derivado de los incumplimientos detectados, el INAI emitió recomendaciones a las dependencias involucradas, las cuales tendrán un plazo de seis meses para cumplirlas. A la Sedesol, se le recomendó abstenerse de dar tratamiento a los datos personales biométricos transmitidos, así como circunscribir su tratamiento a los fines establecidos en el marco jurídico.

También deberá establecer un periodo de bloqueo, durante el cual los datos personales biométricos, es decir las diez huellas dactilares, y la fotografía, no podrán ser objeto de tratamiento alguno.

La Sedesol deberá establecer y documentar controles de acceso físico a las instalaciones donde se encuentra el equipamiento que soporta la operación de la base consolidada del padrón de beneficiarios; así como documentar la existencia de controles, registros de asignación y bajas de los equipos de cómputo de los usuarios, que en su caso, tengan acceso a los datos personales.

A la SCT, se le recomienda que clasifique como reservada y de acceso restringido la documentación generada en la implementación, administración y seguimiento de las medidas de seguridad, administrativas, físicas y técnicas para la transmisión de los datos personales contenidos en el padrón de beneficiarios.