Resolución Nº INAI.3S.07.01-003-2019 del Instituto Nacional de Transparencia, acceso a la información y protección de datos personales, 2019
| Año | 2019 |
| Número de resolución | INAI.3S.07.01-003-2019 |
| Sección | Resoluciones en materia de Protección de Datos Personales derivadas de la LGPDPPSO (sector público) |
Instituto Nacional
ti
c '¡'ramp:ucnc
ia,
¡\ccc~o
a
la
Inforrrmción y
Protección
tic
Datos
P
crs()na
!
c
~
INSTITUTO
NACIONAL
DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN
GENERAL
DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Visto el estado que guarda el expediente de verificación citado al rubro, se procede a
dictar
la
presente resolución, en razón de los siguientes antecedentes:
ANTECEDENTES
1.
El
veintitrés de abril de dos mil diecinueve, se recibió
un
correo electrónico remitido
por el jefe de cancillería de
la
Embajada de México en la República de Guatemala, dirigido
al comisionado presidente de este Instituto, a través del cual acompañó el oficio
GUA01168 del veintitrés de abril de dos mil diecinueve, emitido y suscrito por el
encargado de negocios a.i. en
la
Embajada de México en
la
República de Guatemala, en
el que se informó que
la
Embajada de México en
la
República de Guatemala tuvo
conocimiento de
un
incidente de seguridad en
un
equipo de cómputo de esa
representación. ocurrido el diecinueve de abril de dos mil diecinueve.
2.
El
veintitrés de abril de dos mil diecinueve,
la
directora de investigación y verificación
del sector público, dependiente de
la
Dirección General de Evaluación , Investigación y
Verificación del Sector Público de este Instituto, emitió una constancia en
la
que señaló
que
la
Secretaría de Relaciones Ex1eriores en el comunicado 089' reconoció que hubo
un
ataque cibernético a
la
sección consular de
la
embajada de México en Guatemala,
tras el cual se obtuvo información.
3.
El veinticinco de abril de dos mil diecinueve,
la
Dirección General de Evaluación,
Investigación y Verificación del Sector Público adscrita a
la
Secretaría de Protección de
Datos Personales del Instituto Nacional de Transparencia, Acceso a
la
Información y
Protección de Datos Personales, acordó
iniciar
de
oficio
el expediente de investigación
previa con número INAI.3S.08.01-020/2019.
4.
El
veinticinco de abril de dos mil diecinueve, a través del oficio {
INAIISPDP/DGEIVSP/221/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público dio cuenta a
la
Secretaría de Relaciones Exteriores, del
acuerdo del veinticinco de abril de dos mil diecinueve mediante el cual se ordenó iniciar
1 https://www.gob.m
x1s
re
/prensa/posicionamiento-sobre
.:
atague-cibernetico-a-Ia-seccion-consular-de-Ia-embajada-de-
mexico-en-guatemala 1
Instituto Nacional de
Tral1.
Acceso
a
la
Información v
Prot,!cción de Datos
Perl;on'a!cs
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
de oficio una investigación previa a
la
que se
le
asignó el número INAI.3S.08.01-
020/2019, mismo que se notificó el veinticinco de abril de dos mil diecinueve.
5.
El
veinticinco de abril de dos mil diecinueve, a través del oficio
INAIISPDP/DGEIVSP/222/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público
con
la
finalidad
de
reunir elementos suficientes para
resolver
lo
que
en
derecho corresponda, realizó
un
requerimiento de información a
la
Secretaría de Relaciones Exteriores, mismo que se notificó
el
veinticinco de abril de dos
mil diecinueve.
6.
El
veintiséis de abril de dos mil diecinueve, se recibió
en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público
un
correo electrónico remitido
por
la
Dirección Jurídica Contenciosa de
la
Dirección General de Asuntos Juridicos de
la
Secretaría de Relaciones Exteriores, a través del cual realizó manifestaciones
relacionadas con
el
requerimiento formulado a través del oficio
INAIISPDPIDGEIVSP/222/2019 descrito
en
el antecedente
5,
remitiendo el oficio ASJ-
15911 del veintiséis de abril de dos mil diecinueve, emitido y suscrito por
el
director
jurídico contencioso de
la
Secretaría de Relaciones Exteriores, remitido
al
encargado de
negocios
a.i.
en
la
Embajada de México en
la
República de Guatemala, a través del cual
realizó diversas manifestaciones.
7.
El
veintinueve de abril de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibido
el
correo electrónico del veintiséis de abril de dos mil diecinueve; así como,
el
documento adjunto.
8.
El
tres de mayo de dos mil diecinueve,
se
recibió
en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público
el
oficio número ASJ-15911
del dos del mismo mes y año, emitido y suscrito por
el
director jurídico contencioso de
la
Secretaría de Relaciones Exteriores, mediante el cual remitió una parte del desahogo
al
requerimiento formulado a través del oficio INAIISPDP/DGEIVSP/222/2019 descrito
en
el
antecedente 5 y diversos anexos.
2
f
r nstituto Nacional de Tmmparcncia,
AcceSO
II
in
Infonnaóón
}'
PrOll:cción de Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
9.
El
seis de mayo de dos mil diecinueve, el director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibidos el oficio número ASJ/15911 del dos de mayo de dos mil diecinueve, emitido
y suscrito por el director jurídico contencioso de
la
Secretaría de Relaciones Exteriores;
así como, los documentos adjuntos.
Asimismo,
se
concedió a
la
Secretaría de Relaciones Exteriores una prórroga para
desahogar los puntos que quedaron pendientes del requerimiento formulado a través del
oficio número INAI/SPDPIDGEIVSP/222/2019 y
se
le
solicitó remitiera
el
soporte
documental certificado que corresponda a cada uno de los puntos atendidos a través del
oficio número ASJ/15911 del dos de mayo de dos mil diecinueve.
10.
El
diez de mayo de dos mil diecinueve,
se
recibió
en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público el oficio número ASJ-17189
del nueve del mismo mes y año, emitido y suscrito por
el
director jurídico contencioso de
la
Secretaría de Relaciones Exteriores, mediante
el
cual remitió
la
segunda parte del
desahogo
al
requerimiento formulado a través del oficio INAI/SPDP/DGEIVSP/222/2019
descrito en el antecedente 5 y diversos anexos.
11.
El
trece de mayo de dos mil diecinueve, el director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibido el oficio número ASJ-17189 del nueve de mayo de dos mil diecinueve,
emitido y suscrito por
el
director jurídico contencioso de
la
Secretaría de Relaciones
Exteriores; así como, los documentos adjuntos.
12.
El
trece de mayo de dos mil diecinueve, a través del oficio
INAIISPDPIDGEIVSP/248/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público con
la
finalidad de reunir elementos suficientes para 1
resolver
lo
que en derecho corresponda, realizó
un
segundo requerimiento de información
a
la
Secretaría de Relaciones Exteriores, mismo que
se
notíficó
el
quince de mayo de dos
mil diecinueve.
13.
El
veintinueve de mayo de dos mil diecinueve, se recibió en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público
el
oficio número ASJ-20128
3
Instituto
Nadoml
de Transparencia,
Acceso a
la
Información y
Protección de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO
ALA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
del veintiocho del mismo mes y año, emitido y suscrito por
el
director jurídico contencioso
de
la
Secretaría de Relaciones Exteriores, mediante
el
cual remitió el desahogo
al
requerimiento formulado a través del oficio INAI/SPDP/DGEIVSP/248/2019 descrito
en
el antecedente 12 y acompañó diversos anexos.
14.
El
treinta de mayo de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibido el oficio número ASJ-20128 del veintiocho de mayo de dos mil diecinueve,
emitido y signado por
el
director jurídico contencioso de
la
Secretaría de Relaciones
Exteriores; así como, los documentos adjuntos.
15.
El
treinta de mayo de dos mil diecinueve, a través del oficio
INAI/SPDP/DGEIVSP/293/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público a efecto de allegarse de los elementos necesarios para
resolver
lo
que
en
derecho corresponda, realizó
un
requerimiento, para que
en
estricta
coadyuvancia institucional,
la
Unidad Especializada para
la
Atención de Delitos
cometidos en
el
Extranjero o en los que
se
encuentren involucrados Diplomáticos,
Cónsules Generales o Miembros de Organismos Internacionales acreditados
en
México
de
la
Físcalía General de
la
República, proporcionara diversa información,
el
requerimiento se notificó
el
treinta y uno de mayo de dos mil diecinueve.
16.
El
treinta de mayo de dos mil diecinueve, a través del oficio
INAIISPDP/DGEIVSP/294/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público con
la
finalidad de reunir elementos suficientes para
resolver
lo
que en derecho corresponda, realizó
un
requerimiento de información a
la
titular de
la
Unidad de Transparencia y presidenta del Comité de Transparencia de
la
Secretaría de Relaciones Exteriores, el requerimiento
se
notificó el tres de junio de dos
mil diecinueve.
17.
El
siete de junio de dos mil diecinueve,
se
recibió en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público
el
oficio número
SJAIICAIA/UEDE/577/2019 de
la
misma fecha, emitido y suscrito por
el
agente del
ministerio público encargado del despacho de
la
Unidad Especializada para
la
Atención
de Delitos cometidos
en
el
Extranjero de
la
Fiscalía General de
la
República, mediante
el
4
1
lnstituto Nacional de Transparencia,
Acceso
:'l
la
Inform::u:-ión
y
Protección de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
cual remitió el desahogo
al
requerimiento formulado a través del oficio
INAI/SPDPIDGEIVSP/293/2019 descrito en el antecedente 15.
18.
El
diez de junio de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibido el oficio número SJAI/CAIAlUEDE/577/2019 del siete de junio de dos mil
diecinueve, emitido y signado por el agente del ministerio público encargado del
despacho de
la
Unidad Especializada para
la
Atención de Delitos cometidos en el
Extranjero de
la
Fiscalía General de
la
República.
19.
El
diez de
Junio
de dos mil diecinueve, a través del oficio
INAIISPDPIDGEIVSP/328/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público realizó
un
requerimiento de información a
la
Secretaría de
Relaciones Exteriores, mismo que
se
notificó el diez de junio de dos mil diecinueve.
20.
El
diez de junio de dos mil diecinueve,
se
recibió en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público el oficio número UDT-
4560/2019 de
la
misma fecha, emitido y signado por
la
titular de
la
Unidad de
Transparencia de
la
Secretaría de Relaciones Exteriores, mediante el cual en relación
con
el
oficio INAIISPDPIDGEIVSP/294/2019 descrito en el antecedente
16,
solicitó una
prórroga para remitir
la
información.
21.
El
once de junio de dos mil diecinueve, el director general de evaluación,
investigación y verificación del sector público emitió
un
acuerdo en el que tuvo por
recibido el oficio número UDT-4560/2019 (antecedente 20) y otorgó a
la
titular de
la
Unidad de Transparencia de
la
Secretaría de Relaciones Exteriores una prórroga para
dar respuesta al requerimiento formulado.
22.
El
once de junio de dos mil diecinueve, a través del oficio
INAIISPDPIDGEIVSP/333/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público dio cuenta a
la
Secretaría de Relaciones Exteriores del
acuerdo de
la
misma fecha, mediante
el
cual se concedió una prórroga de dos días
hábiles para desahogar en sus términos el requerimiento formulado a través del oficio
5
í
Instituto Nacional de Transparcncía,
Acceso a
la
Informaci{m r
Prorccción de Datos Personales
INSTITUTO
NACIONAL
DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
número INAlISPDP/DGEIVSP/294/2019 descrito en el
antecedente
16, mismo que se
notificó el once de junio de dos mil diecinueve.
23. El doce de junio de dos mil diecinueve, se recibieron en la Dirección General de
Evaluación, Investigación y Verificación del Sector Público el correo electrónico de
la
misma fecha y sus documentos adjuntos, remitidos por el jefe de departamento de
denuncias penales de la Dirección General de Asuntos Jurídicos de la Secretaría de
Relaciones Exteriores, a través de los cuales informó las gestiones que está realizando
a efecto de obtener la información requerida, solicitó prórroga del término que le fue
otorgado a través del oficio número INAI/SPDPIDGEIVSP/328/2019 descrito en el
antecedente
19 y acompañó diversos anexos.
24. El trece de junio de dos mil diecinueve, el director general de evaluación,
investigación y verificación del sector público emitió un acuerdo en el que tuvo por
recibidos el correo electrónico del doce de junio de dos mil diecinueve y sus documentos
adjuntos
(antecedente
23) y otorgó a la Secretaría de Relaciones Exteriores una prórroga
para dar respuesta al requerimiento formulado.
25. El trece de junio de dos mil diecinueve, a través del oficio
INAI/SPDP/DGEIVSP/342/2019 la Dirección General de Evaluación, Investigación y
Verificación del Sector Público dio cuenta a
la
Secretaría de Relaciones Exteriores del
acuerdo de la misma fecha, mediante el cual se concedió una prórroga de un día hábil
para desahogar en sus términos el requerimiento formulado a través del oficio número
INAI/SPDP/DGEIVSP/328/2019 descrito en el
antecedente
19, mismo que se notificó el
trece de junio de dos mil diecinueve.
26. El trece de junio de dos mil diecinueve, se recibió en la Dirección General de
Evaluación, Investigación y Verificación del Sector Público el oficio número UDT- {
4704/2019 de la misma fecha, emitido y suscrito por la titular de
la
Unidad de
Transparencia de
la
Secretaría de Relaciones Exteriores, mediante el cual, tras una
prórroga, remitió el desahogo al requerimiento formulado a través del oficio .
INAI/SPDPIDGEIVSP/294/2019 descrito
en
el
antecedente
16 y acompañó diversos
anexos.
6
Im:tllUW
Nacional
d~>,
Trnnsparencia,
t\ccc~o
a la Informacion v
Protccdón de Datos
Pcn:on~les
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
27.
El
catorce de junio de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibidos
el
oficio número UDT -4704/2019 del trece de junio de dos mil diecinueve,
emitido y suscrito por
la
titular de
la
Unidad de Transparencia de
la
Secretaría de
Relaciones Exteriores; así como, el disco compacto y sus documentos adjuntos.
28.
El
diecisiete de junio de dos mil diecinueve,
se
recibió
en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público
el
oficio número ASJ-22705
del catorce del mismo mes y año, emitido y suscrito por el director jurídico contencioso
de
la
Secretaría de Relaciones Exteriores, mediante el cual, tras una prórroga, remitió
el
desahogo
al
requerimiento formulado a través del oficio INAI/SPDPIDGEIVSP/328/2019
descrito
en
el
antecedente 19 y acompañó diversos anexos.
29.
El
diecisiete de junio de dos mil diecinueve,
se
recibió en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público el oficio número ASJ-22706
del catorce del mismo mes y año, emitido y suscrito por
el
director jurídico contencioso
de
la
Secretaría de Relaciones Exteriores, mediante
el
cual remitió
un
alcance
al
desahogo
al
requerimiento formulado a través del oficio INAI/SPDP/DGEIVSP/328/2019
descrito
en
el
antecedente 19 y remitió adjuntos diversos anexos.
30.
El
dieciocho de junio de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibidos
el
oficio número ASJ-22705 y
el
oficio número ASJ-22706, ambos del
catorce de junio de dos mil diecinueve, emitidos y suscritos por el director juridico
contencioso de
la
Secretaría de Relaciones Exteriores; así como, sus documentos
adjuntos.
31.
El
tres de julio de dos mil diecinueve,
en
cumplimiento a
lo
dispuesto
en
el artículo {
149 segundo párrafo de
la
Ley General de Protección de Datos Personales en Posesión
de Sujetos Obligados, por tratarse
en
el presente caso de una instancia de seguridad
nacional, el Pleno del Instituto Nacional de Transparencia, Acceso a
la
Información V
Protección de Datos Personales aprobó por unanimidad
el
acuerdo número ACT-
7
Instituto Nacional de Tnmsparencia.
,Acceso
a
la
Información r
Protección de Datos Personales
INSTITUTO NACIONAL
DE
. TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
PUB/03/07/2019.052, mediante el cual autorizó el
inicio
de una
verificación
a
la
Secretaría de Relaciones Exteriores,
en
el
ámbito de aplicación de
la
Ley General de
Protección de Datos Personales
en
Posesión de Sujetos Obligados, con motivo de los
elementos derivados de
la
sustanciación del procedimiento de investigación previa de
oficio, identificada con
el
número de expediente INAI.3S.08.01-020/2019.
32.
El
tres de julio de dos mil diecinueve,
el
secretario de protección de datos personales
en conjunto con el director general de evaluación, investigación y verificación del sector
público, ambos de este Instituto,
emitieron
el
acuerdo
de
inicio
de
procedimiento
de
verificación
correspondiente.
El
cual se notificó a
la
Secretaría de Relaciones Exteriores el tres de julio de dos mil
diecinueve a través del oficio número INAIISPDPIDGEIVSP/381/2019 de
la
misma fecha,
concediéndole
un
plazo de cinco días hábiles para aportar pruebas y manifestar
lo
que a
su
derecho conviniera.
33.
El
diez de julio de dos mil diecinueve, se recibió en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público
el
oficio número ASJ/26217
de
la
misma fecha, emitido y signado por el director jurídico contencioso de
la
Secretaría
de Relaciones Exteriores, mediante
el
cual
en
relación
con
el
oficio
INAIISPDPIDGEIVSP/381/2019 (antecedente 32) y
con
lo
señalado en
el
acuerdo de
inicio de procedimiento de verificación, indicó
lo
siguiente:
[.oo]
Hago referencia
al
oficio INAIISPDPIGEIVSPI38112019
de
fecha 3
de
julio
de
2019, recibido
en
la
Dirección General
de
Asuntos Jurídicos el mismo
día,
deducido del expediente
INA/.
3S.
07.
01-00312019,
por
el que se comunica
el
Acuerdo
de
fecha 3 de julio
de
2019,
por
{
el que se dio inicio
al
Procedimiento Verificación y concede
un
plazo de 5 días hábiles, para .
que esta Dependencia del Ejecutivo Federal manifieste lo que a su derecho convenga en
relación al citado acuerdo relacionado con el ataque cibernético a la Sección Consular
de
la
Embajada de México
en
la
República
de
Guatemala.
Sobre el particular, [. .
.]
se realizan las siguientes manifestaciones:
2 http://inicio.ifai.org.mxlAcuerdosDeIPleno/ACT-PUB-03-07 -2019. 05.pdf
8
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACIÓN Y PROTECCIÓN
DE
DATOS PERSONALES
SECRETARíA DE PROTECCIÓN
DE
DATOS
PERSONALES
Instituto
N:lct
de
Tmnspnn:ncia,
¡\cc.:so:t
la
Información y
Protección de Datos Persomles DIRECCIÓN GENERAL
DE
INVESTIGACIÓN Y VERIFICACIÓN
PÚBLICO
EVALUACIÓN
DEL SECTOR
r·.]
EXPEDIENTE: INAI.3S.07.01-003/2019
En
relación a lo indicado a foja 123
de
la resolución
de
mérito,
en
el sentido
de
que:
"no
existe constancia
en
el expediente de investigación previa que nos ocupa, de que los
mismos hubieran sido notificados, aunado a que se considera que el hecho
de
que los
documentos perdieran vigencia
no
es causa suficiente para no informar a
la
totalidad
de
los titulares, puesto que sus datos personales se vieron afectados".
Al respecto, se considera equivoca
la
determinación
de
ese Instituto
en
virtud de que
como se informó mediante diverso ASJ-20128 de fecha 28
de
mayo
de
2019,
la
Embajada de México
en
Guatemala notificó
por
escrito (a sus agregados: Militar y
Aéreo, Naval, Legal para Centro América y el Caribe de la Fiscalía General de la
República; del Centro Nacional e Inteligencia
en
Guatemala y Belice; de
la
Consejería
Comercial
de
ProMexico para Centroamérica acreditada
en
Guatemala; y de la
Consejería Agropecuaria para Centroamérica acreditada
en
Guatemala) el incidente
materia del presente procedimiento de verificación, haciéndoles
de
su
conocimiento el
listado del personal afectado.
En
ese tenor de
ídeas,
es de indicarse que cada una de las SecretarIas de Estado
mencionadas
en
el párrafo que antecede
es
responsable
de
los actos realizados
por
sus representantes, conforme lo dispone el artIculo 8
de
la
Ley del Servicio Exterior
Mexicano, que a
la
letra dice:
Dando cumplimiento a lo dispuesto
en
el articulo 68, último párrafo, de los Lineamientos
Generales
de
Protección
de
Datos Personales para el Sector Público; ello
conjuntamente con las tres reuniones sostenidas con todo el personal
de
la
Embajada
mexicana
en
territorio guatemalteco.
En
tal virtud, se consídera necesario conocer las acciones implementadas
por
los
agregados
en
la
citada Misión Diplomática respecto del tratamiento que hacia sus
dependencias dieron respecto
de
la
extracción
de
datos personales ocurrida el 14
de
abril del año
en
curso; sin soslayar
la
obligación que guarda esta Cancíllerla con los
propietarios
de
los datos sustraídos.
Dado lo anterior, hago
de
su conocimiento que mediante comunicación electrónica ASJ-
26213 de esta misma fecha (cuya copia certificada se anexa), se ha solicitado a
la
Embajada
de
México
en
Guatemala consultar e informar
de
manera inmediata si los
agregados realizaron acciones adicionales respecto al tema que nos atañe, tras el
conocimiento de la sustracción
de
datos personales
de
las personas que les
representan;
asi
como comunicar
si
ya
fue
notificada
la
totalidad de los afectados a
9
í
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE
DATOS PERSONALES
SECRETARÍA DE PROTECCIÓN DE DATOS
PERSONALES
lnHlruto Nacional de Tramparcncia,
Acceso a
la
lnformación y
Proteccion de
Dato~
Personales DIRECCIÓN GENERAL DE
INVESTIGACIÓN Y VERIFICACIÓN
PÚBLICO
EVALUACIÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
través
de
esa Embajada o
por
conducto
de
la Dirección General del Servicio Exterior y
Recursos Humanos; por lo que una vez que se cuente
con
la respuesta
de
la
citada
Representación Diplomática se hará
de
su conocimiento a
la
brevedad.
• Ahora bien,
por
lo
que hace al señalamiento (realizado a foja
137
del Acuerdo de fecha
3
de
julio
de
2019), en el sentido
de
que: "existen elementos que permiten presumir que
la
Secretaria
de
Relaciones Exteriores, respecto al caso que nos ocupa, incumplió
con
el deber de seguridad contemplado
en
la
Ley General
de
Protección de Datos
Personales en Posesión
de
Sujetos Obligados", en virtud de las manifestaciones
realizadas
por
la
Embajada
de
México en
la
República
de
Guatemala
en
el sentido
de
que no cuenta con polltica o programa de seguridad
de
datos personales ni
ha
recibido
algún lineamiento
de
la
Secretaria
de
Relaciones Exteriores sobre dicho tema.
r·.]
r·.]
En
ese sentido,
es
de subrayarse lo indicado
por
los ar/lculos
41,
primer y segundo
párrafos, y 42
de
la
Ley del Servicio Exterior Mexicano, que a
la
letra disponen:
Como se podrá observar, el actuar del personal
de
la
Embajada de México
en
la
República
de
Guatemala se encuentra completamente regulado en
la
Ley del Servicio
Exterior Mexicano y su reglamento.
De igual manera, es
de
resaltar lo dispuesto
en
el ar/ículo 16
de
la
Ley del Servicio
Exterior Mexicano,
por
lo que refiere a que cualquier Representación mexicana en el
extranjero se ajustaran a las indicaciones emitidas
por
esta Cancillerla, al señalar a
la
letra:
Por
lo
que en ese orden
de
ideas, se apunta al hecho
de
que los
documentos
de
seguridad
para
la
protección
de
datos
personales
Secretaria de Relaciones
Exteriores, Dirección General de
Protocolo
y Dirección General de
Servicios
Consulares, elaborados
por
dichas Direcciones en colaboración con
la
Dirección 1
General
de
Bienes Inmuebles y Recursos Materiales,
la
Dirección General
de
Tecnologias
de
la
Información e Innovación y
la
Unidad
de
Transparencia, son de uso
común para cualquier representación, y
por
lo tanto
sí
se
cuenta con polltica
de
seguridad de datos personales.
Ello no obstante
de
no existir con una denominación tal cual fue consultado
por
ese
Instituto a nuestra Representación Diplomática en Guatemala; toda vez que se reitera
no son
de
uso exclusivo de
la
citada Misión Diplomática.
10
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES .
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de Transparencia,
:\cceso a la Infofmllóón y
Protección de Datos Pcrson:lles DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
Ahora bien, en lo referente al señalamiento del acuerdo de fecha 3
de
julio
de
2019, en
el sentido de que en el "Anexo Técnico Especificaciones
de
Infraestructura y
Equipamiento Tecnológico
2017",
no
se
considera
de
forma alguna
la
materia
de
datos
personales (foja 134).
Esta Secretaría de Relaciones Exteriores contraviene dicha indicación, toda vez que
la
finalidad
de
dicho anexo
es
más amplia que
la
mera protección
de
datos personales;
ello en virtud
de
que el "Anexo Técnico Especificaciones
de
Infraestructura y
Equipamiento Tecnológico 2017",
se
ocupa cabalmente
de
la salvaguarda de
la
información que esta Cancil/erla transmite y recibe
por
los medios electrónicos que en
dicho documento
se
mencionan, incluyendo los
datos
persona/es
y
biométricos
de
los
usuarios y empleados
de
esta Dependencia del Ejecutivo Federal. Lo anterior, toda
vez que dispone el tipo de software y hardware que
se
deberá ocupar en todas las
instalaciones (dentro y fuera del territorio nacional)
de
la
Secretaría
de
Relaciones
Exteriores.
• Por cuanto hace a
la
capacitación sobre el tratamiento
de
datos parsonales,
se
tiene
conocimiento
de
diversas convocatorias generales (dirigidos a cualquier servidor
público de esta Dependencia) para los cursos en línea respecto
de
temas de
transparencia y acceso a
la
información (incluido el tratamiento
de
datos personales)
que han sido diseñados
por
diversas Unidades Administrativas,
Por lo que con esta fecha
se
ha
solicitado
la
colaboración del Instituto Mallas Romero,
Dirección General del Servicio Exterior y Recursos Humanos y
la
Unidad
de
Transparencia de esta Secretaria
de
Relaciones Exteriores su apoyo a efecto de
conocer los cursos que sobre
la
materia
se
han impartido y saber si personal adscrito a
la
Embajada
de
México en Guatemala los
ha
tomado.
Yen
este orden
de
ideas, también resulta errado lo señalado
por
ese
Instituto (foja 138)
en el sentido
de
que
la
Embajada
de
México en Guatemala y/o
la
Secretaría
de
Relaciones Exteriores han inobservado el principio
de
responsabilidad previsto en los
articulas 29 y
30
de
la
Ley General de Protección de Datos Personales en Posesión
de
Sujetos Obligados, toda vez que derivado
de
lo señalado en párrafos que anteceden,
queda demostrado que
se
ha
dado cabal cumplimiento a lo señalado en dichos
ordenamientos.
[.
.
.]
(sic)
11
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional
de
Transparencia,
Acceso a
la
Informad/m
y
Protección de Datos PersonaJes DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• Adjunto
al
oficio descrito,
la
Secretaría de Relaciones Exteriores remitió las
siguientes copias certificadas:
a)
Oficio número ASJ-26213 del diez de julio de dos mil diecinueve, emitido y
signado por el director jurídico contencioso, dirigido a
la
Embajada de México
en
la
República de Guatemala, ambos de
la
Secretaría de Relaciones
Exteriores, a través del cual hizo de
su
conocimiento de manera preliminar
la
respuesta que dio a través del oficio número ASJ/26217 del diez de julio de
dos mil diecinueve,
le
solicitó consultar con sus agregados el procedimiento
adoptado en relación
al
caso e informar si por
su
conducto o por conducto de
la
Dirección General del Servicio Exterior y Recursos Humanos, se realizaron
las notificaciones.
b) Correo electrónico del diez de julio de dos mil diecinueve, a través del cual
el
director jurídico contencioso, hizo del conocimiento de
la
Embajada de México
en
la
República de Guatemala, ambos de
la
Secretaría de Relaciones
Exteriores, el oficio número ASJ-26213 descrito
en
el inciso anterior.
c) Oficio número ASJ-26214 del diez de julio de dos mil diecinueve, emitido y
signado por el director jurídico contencioso, dirigido a
la
titular de
la
Unidad de
Transparencia, ambos de
la
Secretaría de Relaciones Exteriores, a través del
cual hizo de
su
conocimiento de manera preliminar
la
respuesta que dio a
través del oficio número ASJ/26217 del diez de julio de dos mil diecinueve,
le
solicitó informar los programas de capacitación a los que ha convocado y si en
ellos ha participado
la
Embajada de México
en
la
República de Guatemala.
d) Correo del diez de julio de dos mil diecinueve, a través del cual
el
director
jurídico contencioso, hizo del conocimiento de
la
Unidad de Transparencia,
ambos de
la
Secretaría de Relaciones Exteriores,
el
oficio número ASJ-26214
descrito
en
el
inciso anterior.
e)
Oficio número ASJ-26215 del diez de julio de dos mil diecinueve, emitido y
signado por
el
director jurídico contencioso, dirigido
al
director general del
Instituto Matías Romero, ambos de
la
Secretaría de Relaciones Exteriores, a
12
Instituto Nacional de
Tran~parcncja.
r\CCCSO
a la Información}'
Protección
d(!
Datos Personales
INSTITUTO
NACIONAL
DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
través del cual hizo de
su
conocimiento de manera preliminar
la
respuesta que
dio a través del oficio número ASJ/26217 del diez de julio de dos mil
diecinueve,
le
solicitó informar los programas de capacitación que
ha
impartido
en
materia de transparencia y protección de datos personales; así como,
si
en
los mísmos
ha
participado
la
Embajada de México
en
la
República de
Guatemala.
f) Correo del diez de julio de dos mil diecinueve, a través del cual el director
jurídico contencioso, hizo del conocimiento del Instituto Matías Romero, ambos
de
la
Secretaría de Relaciones Exteriores,
el
oficio número ASJ-26215 descrito
en
el
inciso anterior.
g) Oficio número ASJ-26216 del diez de julio de dos mil diecinueve, emitido y
signado por
el
director jurídico contencioso, dirigido a
la
directora de
innovación y desarrollo de capital humano de
la
Dirección General del Servicio
Exterior y de Recursos Humanos, ambos
de
la
Secretaría de Relaciones
Exteriores, a través del cual hizo de
su
conocimiento de manera preliminar
la
respuesta que dio a través del oficio número ASJ/26217 del diez de julio de
dos mil diecinueve,
le
solicitó informar los programas de capacitación a los que
ha convocado y
si
en
ellos
ha
participado
la
Embajada de México
en
la
República de Guatemala.
h) Correo del diez de julio de dos mil diecinueve, a través del cual
el
director
jurídico contencioso, hizo del conocimiento de
la
Dirección de Innovación y
Desarrollo de Capital Humano de
la
Dirección General del Servicio Exterior y
de Recursos Humanos,
el
oficio número ASJ-26216 descrito
en
el inciso
anterior.
34.
El
doce de julio de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibidos
el
oficio número ASJ/26217 del diez del mismo mes y año, emitido y signado
por el director jurídico contencioso de
la
Secretaría de Relaciones Exteriores descrito
en
el antecedente 33; así como, sus documentos adjuntos.
13
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instítuto Nacional de Transparencia,
1\'ce$O a
la
Información y
Protección
de
Datos
Perwnales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
35. Mediante
el
oficio número INAI/SPDP/DGEIVSP/421/2019 del veintinueve de julio
de dos mil diecinueve, a efecto de allegarse de los elementos necesarios para resolver
lo que en derecho corresponda,
en
relación con los hechos que se verifican, la Dirección
General de Evaluación, Investigación y Verificación del Sector Público solicitó
al
director
general de asuntos jurídicos de
la
Secretaría de Relaciones Exteriores, lo siguiente:
f.
.
.}
Me
refieró al oficio número ASJ-26217 del diez
de
julio de dos mil diecinueve, emitido y signado
por
el director jurídico contencioso
de
la
Secretaria
de
Relaciones Exteriores;
asi
como,
a sus
documentos anexos, recibidos
en
la
Dirección General
de
Evaluación, Investigación y
Verificación del Sector Público del Instituto Nacional
de
Transparencia, Acceso a
la
Información y Protección
de
Datos Personales
en
la
misma fecha, mediante los cuales ofrece
pruebas y realiza diversas manlTestaciones
en
el expediente citado al
rubro.
f.
.
.}
1.
Tomando
en
cuenta
lo
manifestado
en
el
on'cio
número ASJ-26217 del diez de julio
de
dos mil diecinueve;
asl
como,
lo
establecido
en
el articulo
41
de
la
Ley General de
Protección de Datos Personales
en
Posesión de Sujetos Obligados y 68 de los
Lineamientos Generales
de
Protección
de
Datos Personales para el Sector Público,
resulta necesario
que,
respecto a la
notificación
realizada
por
el
responsable a
los
titulares
de
los
datos personales sobre las vulneraciones
de
seguridad. remita:
•
En
el caso del personal del servicio exterior y de los funcionarios
de
las
agregadurfas
adscritos
al
momento
de la vulneración a la embajada, las
constancias de las que se desprenda
la
notificación
de
las recomendaciones que
se les hicieron saber para evitar las posibles consecuencias
de
la vulneración
ocurrida.
• Respecto
de
los titulares
de
los datos personales objeto
de
la vulneración
de
seguridad que estuvieron
adscritos
y que habrían
concluido
su
comisión
en
Guatemala
al
momento
del
referido suceso. deberá proporcionar
la
notificación que se les hizo respecto
de
la
vulneración
en
términos
de
lo
dispuesto
en
los artIculas
41
de
la
Ley
General de Protección de Datos Personales
en
Posesión de Sujetos Obligados y 68 de los Lineamientos Generales de
Protección de Datos Personales para el Sector Público.
Lo
anterior, sin demérito
de
que anexos al oficio número ASJ-20128 del veintiocho
de
mayo de dos mil
diecinueve, emitido y suscrito
por
el director jurídico contencioso
de
la
Secretaría
14
(
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto
Nacional
de
Tmosparcncia,
Acceso a
la
Información
y
Protcccilm
de
Datos
Personales
DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
de Relaciones Exteriores, se remitieron copias certificadas de las notificaciones
a los agregados militar y aéreo, naval, legal para Centroamérica y el Caribe, del
Centro Nacional
de
Inteligencia, consejero comercial
de
ProMéxico para
Centroamérica y consejero agropecuario para Centroamérica; ya
que,
que en
términos de lo manifestado
por
la Embajada de México en
la
República de
Guatemala durante el procedimiento
de
investigación, se indicó que se habrra
dejado a consideración de la Dirección General
de
Asuntos Jurídicos dichas
notificaciones.
2. Puesto que
la
Embajada
de
México en
la
República
de
Guatemala informó
expresamente durante
la
investigación que no cuenta con política o programa de
seguridad de datos personales,
ni
ha recibido algún lineamiento de la SecretarIa
de Relaciones Exteriores
al
respecto y tomando en cuenta que
de
acuerdo con lo
manifestado en el oficio número ASJ-26217 del diez de julio
de
dos mil diecinueve,
señala que
sI
cuenta
con
una política
de
seguridad
de
datos personales, resulta
necesario que de conformidad con lo dispuesto en los artIculas 55, 56, 57, 58, 59,
60,
61, 62, 63,
64 Y 65
de
los Lineamientos Generales de Protección de Datos Personales
para el Sector Público, aclare cuáles son los documentos que contienen dicha polltica,
remitiendo
un
ejemplar
de
los mismos;
asl
como,
el
documento que acredite que
la
Embajada
de
México en
la
República
de
Guatemala, fue notificada
de
su contenido y
existencia.
3. Indique
si
en
la
elaboración y aprobación del documento intitulado "Anexo Técnico
Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017" intervino el
Comité
de
Transparencia
de
la
Secretaria
de
Relaciones Exteriores, remitiendo copia
certificada del acta correspondiente.
4. Ahora bien, toda vez que en el oficio número ASJ-26217 del diez de jUlio
de
dos
mil
diecinueve, se informó que se tiene conocimiento
de
diversas convocatorias para cursos
en
línea sobre transparencia y datos personales, resulta necesario que proporcione las
constancias que acrediten tal situación, respecto al personal adscrito a la Embajada de
México en
la
RepÚblica
de
Guatemala.
5.
Por
cuanto hace a los documentos que fueron remitidos a esta dirección general,
consistentes en:
Documento
de
seguridad para
la
protección
de
datos personales Secretaría
de
Relaciones Exteriores, Dirección General
de
Protocola elaborado
por
dicha
dirección en colaboración con
la
Dirección General de Bienes Inmuebles y
Recursos Materiales,
la
Dirección General
de
Tecnologías
de
la
Información e
InnovaCión y la Unidad
de
Transparencia.
15
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Insútuto Nacional
de:
Transparencia,
¡\cceso a la Informnción v
Protección
de
Datos
Pcrson~les
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Documento
de
seguridad para
la
protección
de
datos personales Secretaria
de
Relaciones Exteriores, Dirección General
de
Servicios Consulares elaborado
por
dicha dirección en colaboración con
la
Dirección General de Bienes Inmuebles y
Recursos Materiales,
la
Dirección General
de
Tecnologlas
de
la
Información e
Innovación y
la
Unidad
de
Transparencia,
por
ser
en los que se describen los
trámites relacionados con los documentos diplomáticos vulnerados.
Resulta necesario que informe:
a)
La
fecha en que los mismos fueron aprobados
por
el
Comité
de
Transparencia de
la
Secretaria de Relaciones Exteriores, remitiendo copia
certificada del acta de sesión respectiva, del referido comité.
b) Si los mismos se hicieron del conocimiento de
la
Embajada
de
México
en
la
República
de
Guatemala,
por
cualquier medio, debiendo remitir el
soporte documental
de
tal comunicación.
Le agradeceré haga del conocimiento
de
este Instituto lo referido en
un
término
máximo
de
(5)
cinco
dias
hábiles, contados a partir de que surta efectos
la
notificación del presente,
de
conformidad con los artículos 204, fracción I
de
los Lineamientos Generales
de
Protección
de
Datos Personales para
el
Sector públic03•
Cabe destacar, que en caso
de
que
la
información y/o documentación que proporcione en
desahogo al requerimiento
sea
considerada clasificada como reservada y/o confidencial,
podrá remitirse con ese carácter,
en
consecuencia, será mantenida y resguardada como
tal.
f.
.
.]
El
requerimiento se notificó a la Dirección General de Asuntos Jurídicos de
la
Secretaría
de Relaciones Exteriores, el treinta de jUlio de dos mil diecinueve.
36.
El
treinta de julio de dos mil diecinueve, se recibió en la Dirección General de
Evaluación, Investigación y Verificación del Sector Público
el
oficio número ASJ/26217 {
del diez del mismo mes y año, emitido y signado por el director jurídico contencioso de \
la
Secretaría de Relaciones Exteriores, mediante
el
cual realizó manifestaciones
adicionales a las formuladas a través del oficio número ASJ-26217 del diez de julio de
dos mil diecinueve (antecedente 33), en relación con
el
oficio
INAIISPDPIDGEIVSP/381/2019 descrito en
el
antecedente
32, indicando lo siguiente:
3 Publicados en
el
Diario Oficial de la Federación el veintiséis de enero de dos mil dieciocho. 16
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto
Nacional
de
Tmnsparencia.
j\cceSO:l
la
Tnfortn.'1clÓn
y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
f.
..
]
Hago referencia al diverso ASJ-26217
de
fecha 10 de julio de 2019,
por
el que en atención al
oficio INAI/SPDP/GEIVSP/38112019
de
fecha 3
de
julio
de
2019, deducido del expediente
INAI.3S.07.01-003/2019, -entre otras cosas- se informó que:
a)
Se
solicitó a
la
Embajada de México en Guatemala comunicar si ya fue notificada
la
totalidad
de
los titulares de los datos personales extraídos durante el ataque cibernético
a
la
Sección Consular de esa Representación Diplomática.
b)
Se
consultó con las diversas Unidades Administrativas
de
esta Cancilleria encargadas
de
la
capacitación del personal
de
esta Dependencia del Ejecutivo Federal respecto a
cursos que
en
materia
de
protección de datos personales se hubiesen impartido,
particularmente al personal adscrito a
la
Embajada
de
México en Guatemala.
f.
.
.]
•
En
atención al inciso a) supracitado, la Embajada
de
México en la República
de
Guatemala mediante comunicación electrónica
de
fecha 17
de
julio de 2019, que se
considera que
se
ha
dado debido cumplimiento a
lo
dispuesto en el artrculo 68, último
párrafo,
de
los Lineamientos Generales de Protección
de
Datos Personales para el
Sector Público, al haber sido notificadas todas las agregadurlas afectadas tal y como
obra en el expediente de ese Instituto, adicionalmente al hecho de que las mismas
participaron en las reuniones realizadas
en
el inmueble de
la
Embajada en cita tras el
incidente que nos ocupa.
Sin
embargo, y a efecto
de
reforzar lo anterior, se
ha
solicitado a la Dirección General
del Servicio Exterior y
de
Recursos Humanos
de
esta Secretaria
la
notificación a las
Dependencias titulares
de
dichas agregadurras, en concordancia con
lo
dispuesto en el
artrculo
8'
de
la
Ley del ServicIo Exterior México.
Por lo que refiere al señalado inciso b), la Unidad
de
Transparencia es el área {
encargada
de
llevar a cabo
la
capacitación
de
todo el personal
de
esta SecretarIa de
Relaciones Extenores (incluyendo el
de
las Representaciones Diplomáticas y/o ,
Consulares); la cual en el ámbito
de
los "Acuerdo
de
Capacitación en Materia
de
Transparencia y Datos Personales", coordinado
por
ese Órgano Autónomo,
ha
puesto
a disposición
de
los trabajadores los cursos impartidos a través del "Centro Virtual
de
Capacitación del Instituto Nacional de Transparencia, Acceso a
la
Información y
Protección de Datos Personales".
17
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
Instituto Nacional de Transparencia,
Acceso
1l
la
Infonnación y
Protección de Datos Personajes DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Por
lo
que en ese sentido, esta Secretaría
de
Relaciones Exteriores (incluida
la
Embajada de México en la República
de
Guatemala
de
conformidad con
lo
dispuesto
en
el
artículo 16
de
la
Ley del Servicio Exterior Mexicano) ha observado
el
principio de
responsabilidad previsto en los artículos
29
y 30
de
la
Ley General
de
Protección de
Datos Personales en Posesión de Sujetos Obligados.
[. . .] (sic)
37.
El
treinta y uno de julio de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió un acuerdo a través del cual tuvo
por recibido
el
oficio número ASJ/26217 del diez del mismo mes y año, emitido y signado
por
el
director juridico contencioso de
la
Secretaria de Relaciones Exteriores descrito
en
el antecedente
36.
38.
El
seis
de
agosto
de
dos mil diecinueve, se recibió
en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público
el
oficio número ASJ-29654
del uno del mismo mes y año, emitido y signado por el director juridico contencioso de
la
Secretaria de Relaciones Exteriores, mediante
el
cual remitió
la
primera parte del
desahogo
al
requerimiento formulado a través del oficio INAIISPDPIDGEIVSP/421/2019
descrito
en
el
antecedente
35,
indicando
lo
siguiente:
[. . .]
Hago referencia al oficio INAI/SPDPIDGEIVSPI42112019
de
fecha 29
de
julio
de
2019, y
recibido en la Dirección General de Asuntos Jurldicos al día siguiente,
por
el
requirió a esta
Cancillerla para que en
el
término
de 5 días
se
remitiera diversa documentación para
ser
aportada en
el
expediente INAI.3S.07.01-00312019, relacionado con el PROCEDIMIENTO
DE
VERIFICACIÓN que aperturó ese Instituto, con motivo de
la
extracción
de
datos personales
en
el
ataque cibernético en contra de la Sección Consular de
la
Embajada
de
México
en
Guatemala, el 14 de abril del año
en
curso.
Al
respecto, [. .
.]
anexo al presente
se
remite en copia certificada:
Correo electrónico
por
el
que
la
Unidad
de
Transparencia
de
esta Cancillería
da
aviso
exhorta
al
personal
de
esta Dependencia del Ejecutivo Federal para
la
obtención del
"Reconocimiento
de
Institución
100% capacitada", en materia de Transparencia,
acceso a
la
información y protección
de
datos personales.
18
{
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
1nstituto Naóona! de Transparencia,
Acceso
rr
la
Informa.ción y
Protección
de
Datos Pcrson;!es DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
De las constancias otorgadas a JOSE EDUARDO BUENROSTRO VIELMAS, Jefe
de
la
Sección Consular
de
la Embajada
de
México
en
Guatemala, respecto
de
la
acreditación
de
los cursos de; "introducción a
la
Ley
Federal
de
Transparencia y Acceso
a
la
Información Pública" y
de
"introducción a la Ley General de Transparencia y Acceso
a
la
Información Pública".
Asl
como
de
las comunicaciones ASJ-29651, ASJ-29652 y ASJ-29653
por
las que se
solicitó a diversas Unidades Administrativas
de
esta Secretaria
de
Estado (incluyendo
la Embajada
de
México en Guatemala), su cooperación para
la
recopilación
de
los
documentos solicitados
por
ese Organismo Autónomo.
Por
lo
que al momento
de
que esta Dirección de Area cuente con las respuestas
correspondientes se remitirán a
la
brevedad a ese Instituto.
f.
..
] (sic)
• Adjunto
al
oficio descrito,
la
Secretaria de Relaciones Exteriores remitió las
siguientes copias certificadas:
a)
Oficio número ASJ-26951 del treinta y uno de julio de dos mil diecinueve,
emitido y signado por el director jurídico contencioso, dirigido a
la
Embajada
de México
en
la
República de Guatemala, ambos de
la
Secretaría de
Relaciones Exteriores, a través del cual hizo de
su
conocimiento
lo
siguiente:
f.
..
]
Hago referencia al correo electrónico ASJ-28524 transmitido a la Embajada a su cargo el
dfa
26 de julio del año en curso,
por
el que se indicó la conveniencia
de
que
la
Dirección General
del Servicio Exterior y de Recursos Humanos notifique a las Dependencias titulares de las
agregadurfas afectadas en
la
extracción
de
datos personales en el ataque cibemético en
contra
de
la Sección Consular de esa Representación Diplomática a su cargo, el 14
de
abril
del año
en
curso.
Sobre el particular, [. . .] me permito hacer de su conocimiento que el Director General
de
Evaluación, Investigación y Verificación del Sector Público del Instituto Nacional de
Trasparencia y Acceso a
la
Información y Protección
de
Datos Personales mediante oficio
INAIISPDPIDGEIVSPI42112019 de fecha
29
de julio
de
2019; y recibido en
la
Dirección
General
de
Asuntos Jurídicos al dla siguiente
ha
requerido a esta Cancillerla para que en el
térmíno de 5 días se remita:
19
{
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de 'l'ral1sparencia,
Acceso a
la
Inrormación y
Protección de Datos
Pe
rsonales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• Las constancias
de
las que
se
desprenda a notificación del personal del servicio exterior
y
de
los funcionarios
de
las agregadurías adscritas al momento
de
la
vulneración
de
la
embajada.
de
las recomendaciones que
se
les hicieron saber para evitar las posibles
consecuencias
de
la
vulneración ocurrida.
La
notificación que
se
les hizo a los titulares
de
los datos personales respecto
de
la
vulneración que estuvieron adscritos y que habrán concluido su comisión en Guatemala
al momento referido.
[ .
.] (sic)
bl
Correo electrónico del uno de agosto de dos mil diecinueve, a través del cual
el
director jurídico contencioso, hizo del conocimiento de
la
Embajada de
México en
la
República de Guatemala. ambos de
la
Secretaría de Relaciones
Exteriores. el oficio número ASJ-26951 descrito en
el
inciso anterior.
el
Oficio número ASJ-26952 del treinta y uno de julio de dos mil diecinueve.
emitido y signado por
el
director jurídico contencioso, dirigido a
la
directora
general adjunta del Servicio Exterior Mexicano, ambos de
la
Secretaría de
Relaciones Exteriores, a través del cual hizo de
su
conocimiento
lo
siguiente:
f.
.
.]
Hago referencia a
la
copia
de
conocimiento que del correo electrónico ASJ-28524 transmitido
a
la
Embajada
de
México en Guatemala el día 26
de
julio del año curso,
se
hizo llegar a
la
Dirección General del Servicio Exterior y
de
Recursos Humanos
en
misma fecha ,
por
el que
esta área jurldica instruyó a
la
citada Representación Diplomática
en
solicitar el apoyo
de
esa
Unidad Administrativa para que
se
llevara a cabo
la
notificación a las Dependencias titulares
de
las agregadurías afectadas
en
la
extracción
de
datos personales en el ataque cibernético
en contra
de
la
Sección Consular
de
esa Representación Diplomática a su cargo,
el14
de
abril
del año
en
curso.
Sobre el particular,
f.
.
.]
me permito hacer de su conocimiento que el Director General
de
Evaluación, Investigación y Verificación del Sector Público del Instituto Nacional de
Trasparencia y Acceso a
la
Información y Protección
de
Datos Personales mediante oficio
INAIISPDPIDGEIVSPI42112019 de fecha 29
de
julio
de
2019; y recibido en
la
Dirección
General
de
Asuntos Jurídicos al dla siguiente ha requerido a esta Cancillería para que en el
térmíno de 5 días
se
remita:
20
INSTITUTO NACIONAL
DE
TRANSPARENCIA
. ,
ACCESO A LA INFORMACION y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional
de
Trrrnspan.'ocia,
Acceso a
la
Información y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
La notificación que se les hizo a los titulares de los datos personales respecto
de
la
vulneración que estuvieron adscritos y que habrlan concluido su comisión en Guatemala
al momento referido.
[. .
.] (sic)
d) Correo electrónico del uno de agosto de dos mil diecinueve, a través del cual
el
director jurídico contencioso, hizo del conocimiento de
la
Dirección General
Adjunta del Servicio Exterior Mexicano, ambos de
la
Secretaría de Relaciones
Exteriores,
el
oficio número ASJ-26952 descrito en el inciso anterior.
e) Oficio número ASJ-29653 del treinta y uno
de
julio
de
dos mil diecinueve,
emitido y signado por el director jurídico contencioso, dirigido a
la
titular de
la
Unidad de Transparencia, ambos de
la
Secretaría de Relaciones Exteriores, a
través del cual hizo de
su
conocimiento
lo
siguiente:
[. . .]
Hago referencia al expediente número INAI.3S.07.01-003/2019, relacionado con el
PROCEDIMIENTO
DE
VERIFICACiÓN que apertura el Instituto Nacional
de
Transparencia,
Acceso a
la
Información y Protección
de
Datos Personales, con motivo
de
la extracción
de
datos personales, en el ataque cibernético en contra de la Sección Consular
de
la
Embajada
de
México en Guatemala, el 14
de
abril del año en curso.
Sobre el particular, [. . .] me permito hacer de su conocimiento que el Director General
de
Evaluación, Investigación y Verificación del Sector Público del Instituto Nacional de
Trasparencia y Acceso a
la
Información y Protección
de
Datos Personales mediante oficio
INAI/SPDPIDGEIVSP/42112019 de fecha 29
de
julio
de
2019; y recibido en
la
Dirección
General dé Asuntos Jurídicos al dfa siguiente
ha
requerido a esta Canci/lerfa para que en el
término
de 5 dias se remita:
• La documentación que contenga
la
política
de
seguridad
de
datos personales;
asl
como
el documento que acredite que
la
Embajada de México en Guatemala fue notificada del
contenido y existencia del mismo.
• Se informe
si
en
la
elaboración y aprobación del documento intitulado "Anexo Técnico
Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017" intervino el
21
1
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de Tmnspare.n6a,
Acceso
11
ltt
Información y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Comité
de
Transparencia
de
la
SecretarIa
de
Relaciones Exteriores, remitiendo copia
certificada del acta correspondiente.
•
La
fecha
en
que fueron aprobados
por
el Comité
de
Transparencia
de
la SecretarIa de
Relaciones Exteriores, remitiendo copia certificada del acta
de
sesión respectiva, los
documentos los documentos de seguridad para
la
protección
de
datos personales
Secretaría de Relaciones Exteriores, Dirección General
de
Protocolo y Dirección
General
de
Servicios Consulares; así como el soporte documental
de
cuando se
hicieron del conocimiento
de
la
Embajada de México
en
Guatemala:
f.
.
.]
(sic)
f) Correo electrónico del uno de agosto de dos mil diecinueve, a través del cual
el
director jurídico contencioso, hizo del conocimiento de
la
Unidad de
Transparencia, ambos de
la
Secretaría de Relaciones Exteriores, el oficio
número ASJ-29653 descrito en
el
inciso anterior.
g) Correo electrónico del ocho de julio de dos mil diecinueve, a través del cual
la
Embajada de México
en
la
República de Guatemala, remitió a
la
titular de
la
Unidad de Transparencia, ambas de
la
Secretaría de Relaciones Exteriores,
diversas constancias de capacitación. Al respecto se destaca que
en
dicho
correo electrónico se manifestó
lo
siguiente:
f.
.. ]
Asunto: GUA01933 -Se remiten constancias
de
capacitación
en
materia de transparencia,
acceso a
la
información y protección de datos personales del Ministro Jase Eduardo
Buenrostro Vielmas.
Código:
04C.
03.
01
En
cumplimiento a las instrucciones contenidas
en
su
correo de fecha
27
de
mayo pasado,
relativo al objeto
de
obtener el Reconocimiento
de
Institución
100%
capacitada
en
materia
de
transparencia, acceso a
la
información y protección
de
datos personales, me permito adjuntar
con el presente las constancias de
participación
en
los
cursos
"Introducción
a la
Ley
Federal de Transparencia y
Acceso
a la Información
Pública"
e
"Introducción
a la
Ley
General de Transparencia y
Acceso
a la Información
Pública"
del Ministro Jase Eduardo
Buenrostro
Vielmas,
l/evadas a cabo
en
el Campus Poder Ejecutivo y Organismos Públicos
22
lnstituto Nacional de Tr.mspnrcncia,
Acc¡;so l
la
Inrorrrución v
Protccc;ón de Datos Pcrsm;aks
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Autónomos del Centro Virtual de Capacitación del Instituto Nacional de Transparencia, Acceso
a la Información y Protección de Datos Personales (CEVINA/).
Copia de este correo, asl como de las constancias respectivas,
se
turnan de igual manera a
los Enlaces de Capacitación en materia de Transparencia de la SRE, Lic. Zaira Pamela Lignan
López y Lic. Ivonne Guadalupe Sandoval, para los fines a que haya lugar.
[. ..
](sic)
g1) Adjunto al correo electrónico del ocho de julio de dos mil diecinueve,
se
remitieron dos constancias emitidas a nombre del mismo servidor
público, por el Instituto Nacional de Transparencia, Acceso a
la
Información y Protección de Datos Personales, por haber acreditado los
cursos
en
línea de: Introducción a
la
Ley Federal de Transparencia y
Acceso a
la
Información Pública e Introducción a
la
Ley General de
Transparencia y Acceso a
la
Información Pública.
h) Correo electrónico del diecisiete de junio de dos mil diecinueve, a través del
cual
la
Unidad de Transparencia, remitió a
la
Embajada de México
en
la
República de Guatemala, ambas de
la
Secretaría de Relaciones Exteriores, el
listado de los servidores públicos con nivel de mando adscritos a dicha
embajada, con
la
finalidad de cumplir con el objetivo de obtener el
reconocimiento de institución 100% capacitada; asimismo, le informó
la
forma
en
la
que dichos servidores públicos podrían generar su registro e iniciar los
cursos virtuales a través del Centro Virtual de Capacitación del Instituto
Nacional de Transparencia, Acceso a
la
Información y Protección de Datos
Personales.
i) Correo electrónico del diecisiete de junio de dos mil diecinueve, a través del 1
cual
la
titular Unidad de Transparencia de
la
Secretaría de Relaciones
Exteriores, solicitó a las Embajadas de México
su
apoyo para exhortar
al
personal con nivel de mandos medios y superiores, participar
en
diversos
cursos
en
línea,
con
la
finalidad de cumplir con el objetivo de obtener el
reconocimiento
de
institución 100% capacitada.
23
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARÍA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
In~tituto
Naoonat
de:
Tr:J.nsparcncla,
Acceso a
la
Infoftmciún y
Protección de Datos Personales DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
39.
El
siete de agosto de dos mil diecinueve,
el
director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
por recibidos el oficio número ASJ-29654 del uno del mismo mes y año, emitido y signado
por el director juridico contencioso de
la
Secretaría
de
Relaciones Exteriores descrito
en
el antecedente 38; así como, los documentos adjuntos
al
mismo.
Asimismo, se concedió a
la
Secretaría de Relaciones Exteriores una prórroga para
desahogar los puntos que quedaron pendientes del requerimiento formulado a través del
oficio número INAIISPDP/DGEIVSP/421/2019 (antecedente 35).
40.
El
siete de agosto de dos mil diecinueve, a través del oficio
INAIISPDPIDGEIVSP/451/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público dio cuenta a
la
Secretaría de Relaciones Exteriores del
acuerdo de
la
misma fecha, mediante
el
cual se concedió una prórroga de dos días
hábiles para desahogar en sus términos
la
totalidad del requerimiento formulado a través
del oficio número INAI/SPDPIDGEIVSP/421/2019 (antecedente 35), mismo que se
notificó
el
ocho de agosto de dos mil diecinueve.
41.
El
doce de agosto de dos mil diecinueve, se recibió
en
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público el oficio número ASJ-31084
de
la
misma fecha, emitido y signado por
el
director jurídico contencioso de
la
Secretaría
de Relaciones Exteriores, mediante el cual
en
relación con
el
oficio número
INAI/SPDPIDGEIVSP/421/2019 descrito
en
el antecedente
35,
precisó
lo
siguiente:
f.
.
.]
Hago referencia al oficio INAIISPDPIDGEIVSPI45112019
de
fecha 7
de
agosto
de
2019, y
recibido
en
la
Dirección General de Asuntos Jurldicos al dla siguiente,
por
el que
se
concedió
a esta Cancillería prórroga de 2 días
hábiles
para el efecto
de
que remitiera
la
información
requerida mediante diverso oficío INAIISPDPIDGEIVSPI42112019
de
fecha 29
de
julio
de
2019, deducido del expediente INAI.3S.07.01-00312019, relacionado con
el
PROCEDIMIENTO
DE
VERIFICACIÓN que apertur6
ese
Instituto, con motivo
de
la extracción
de
datos personales en
el
ataque cibernético en contra
de
la
Sección Consular de la Embajada
de México en Guatemala,
el
14
de
abril del año
en
curso.
Al
respecto,
f.
.
.]
anexo al presente
se
remite en copia certificada:
24
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
InsbtuLO
Nacional de
Trám;parencia,
Acceso a
la
J nfonnadón y
Protecci6n
de
Dnto~
Personales
DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
• Correo electrónico UDT-6292
por
el
que
la
Unidad de Transparencia
de
esta Cancilleria
da
respuesta a
la
comunicación electrónica ASJ-29653; proporcionando copia del
diverso correo electrónico UDT-2218/2018,
por
el
que
se
remitieron diversos avisos de
privacidad a las Representaciones Diplomáticas
de
México
en
el
Exterior en América
Latina y
el
Caribe, incluyendo
la
Embajada
de
México
en
Guatemala.
• Asimismo,
la
citada Unidad de Transparencia informa que el Comité de Transparencia
de
esta Cancillerfa no facultado para aprobar las documentales denominadas:
,(
Documentos de seguridad para la protección
de
datos personales Secretaría
de
Relaciones Exteriores, Dirección General
de
Protocolo.
,(
Documentos
de
seguridad para
la
protección
de
datos personales Secretaria de
Relaciones Exteriores, Dirección General de Servicios Consulares.
,(
Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico
2017.
• Del correo electrónico PRO-09159 de fecha 7 de agosto de 2019,
por
el
que
la
Dirección
General
de
Protocolo señala que lo solicitado mediante diverso ASJ-29807
es
competencia de la Dirección General
de
Servicios Consulares.
• De
la
comunicación ASJ-31082,
por
la
que esta Area Jurídica solicita a
la
Dirección
General
de
Servicios Consulares (DGSC) informe lo conducente el documento de
seguridad para
la
protección de datos personales Secretaria de Relaciones Exteriores,
Dirección General
de
Protocolo; asl como
el
soporte documental
de
cuando
se
hicieron
del conocimiento
de
la
Embajada
de
México en Guatemala.
• De
la
comunicación ASJ-31083,
por
la
que esta Dirección, con base en las respuestas
la
Unidad
de
Transparencia mediante Correo electrónico UDT-6292 y
la
Dirección
General de Tecnologlas de
la
Información e Innovación (DGT/I) mediante comunicación
electrónica TlN-3019 (cuya copia certificada también
se
anexa), solicita a
la
DGTII
informe
si
las especificaciones que
se
consideraron para
la
protección
la
información
que maneja esta Cancillerla, en
la
que
se
incluyen diversos datos personales.
En
razón de lo anterior,
se
solícita a ese Órgano Autónomo tener
por
cumplido
el
requerimiento
de
fecha
29
de julio
de
2019, asl como otorgar nuevamente prórroga para que en el momento
de
que esta Dirección
de
Area cuente con las respuestas correspondientes
por
parte de las
Unidades Administrativas DGSC y DGT/I
se
le
remitan a
la
brevedad.
25
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de "'r:msparcncia,
¡
\[c
eso
fI
la
Inf
OrTn::lción
y
Protección
Je
D
a
to
~
Pcnmna!cs DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
[. ..
](sic)
• Adjunto
al
oficio descrito,
la
Secretaría de Relaciones Exteriores remitió las
siguientes copias certificadas:
a) Correo electrónico del seis de agosto de dos mil diecinueve, a través del cual
la
Unidad de Transparencia dio atención
al
correo electrónico del uno de
agosto de dos mil diecinueve, remitido por el director jurídico contencioso,
ambos de
la
Secretaría de Relaciones Exteriores (descrito en
el
antecedente
38,
íncisos
e y f). Al respecto se destaca que en dicho correo electrónico se
manifestó lo siguiente:
[.
J
En
atención a su correo inmediato anterior,
me
permito señalar lo siguiente:
• La documentación que contenga
la
política de seguridad
de
datos personales; así como
el documento que acredite que
la
Embajada
de
México
en
Guatemala
fue
notificada del
contenido y existencia del mismo.
La
documentación que contiene dicha polltica son los documentos
de
seguridad mismos
que fueron entregados al Instituto Nacional de Transparencia, Acceso a
la
Información
y Protección
de
Datos Personales.
Cabe señalar que
de
una revisión
en
los registros
de
esta Unidad
de
Transparencia, se
localizaron
lo
s correos anexos, relativos a los avisos
de
privacidad que se deben difundir en
las representaciones, entre ellas,
la
Embajada
de
Guatemala.
•
Se
informe
si
en
la
elaboración y aprobación del documento intitulado "Anexo Técnico
Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017 " intervino el
Comité
de
Transparencia
de
la
SecretarIa
de
Relaciones Exteriores, remitiendo copia
certificada del acta correspondiente.
No intervino
el
Comité
de
Transparencia,
en
razón
de
que no es facultad jurídica
de
dicho órgano colegiado participar
en
la elaboración o aprobación
de
anexos técnicos
de
ninguna índole.
26
{
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARÍA DE PROTECCiÓN
DE
DATOS
PERSONALES
Im:tituto Nacional de 'l'rnnsparcnda,
i\CCI$O
ti
la
Infonú:lción y
Protección
de
Datos Personales DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
•
La
fecha
en
que fueron aprobados
por
el Comité de Transparencia de la Secretaria de
Relaciones Exteriores, remitiendo copia certificada del acta
de
sesión respectiva, los
documentos los documentos
de
seguridad para
la
protección
de
datos personales
Secretaría
de
Relaciones Exteriores, Dirección General
de
Protocolo y Dirección
General
de
Servicios Consulares; así como el soporte documental de cuando se
hicieron del conocimiento de la Embajada de México
en
Guatemala:
No
fueron aprobados
por
el Comité
de
Transparencia,
en
razón de que no es facultad
jurldica
de
dicho órgano colegiado aprobar los documentos
de
seguridad.
Respecto del soporte documental
de
cuando se hicieron del conocimiento los
documentos
de
seguridad a
la
Embajada
de
México
en
Guatemala, no se cuenta con
dicha documentación.
['
.
.J
(sic)
Adjunto
al
correo electrónico del seis de agosto de dos mil diecinueve, descrito
en
el
inciso anterior,
se
remitió
lo
siguiente:
a1) Oficio número UDT-2218/2018 del treinta de mayo de dos mil dieciocho,
emitido y signado por el titular de
la
Unidad de Transparencia de
la
Secretaría de Relaciones Exteriores, dirigido a los titulares de las
representaciones de México en el exterior
en
América Latina y
el
Caribe,
a través del cual hizo de
su
conocimiento los avisos de privacidad que
debían publicarse de forma física
en
la
entrada del área de atención
al
público de las oficinas de las representaciones de México en el exterior;
así como,
la
Guía para
la
publicación de avisos de privacidad.
a2) Correo electrónico del treinta y uno de mayo de dos mil dieciocho, a (
través del cual el titular de
la
Unidad de Transparencia de
la
Secretaría
de Relaciones Exteriores, hizo del conocimiento de las representaciones
de México
en
el
exterior en América Latina y el Caribe, el oficio número !
UDT-2218/2018 y sus anexos.
a3) Correo electrónico del seis de julio de dos mil dieciocho, a través del cual
la
Embajada de México en
la
República
de
Guatemala, hizo del
27
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Imj.[itu
to
Naci
onal
de
"'
rnn
:;
p:J.fcnci:J.
Acceso a
la
Infonnación y
Protección d e Datos Persona
le
s DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
conocimiento del titular de
la
Unidad de Enlace, ambos de
la
Secretaría
de Relaciones, evidencias fotográficas de
la
publicación de los avisos de
privacidad en
el
módulo de información.
bl
Correo electrónico del siete de agosto dos mil diecinueve, a través del cual la
Dirección General de Protocolo hizo del conocimiento del director jurídico
contencioso, ambos de
la
Secretaría de Relaciones Exteriores, que no es
competente para transmitir información relacionada con
la
protección de datos
personales en las representaciones diplomáticas de México en el exterior y
que no emitió comunicación alguna a
la
Embajada de México en
la
República
de Guatemala.
el
Oficio número ASJ-31082 del doce de agosto de dos mil diecinueve, emitido y
signado por el director jurídico contencioso, dirigido a
la
directora general de
servicios consulares, ambos de
la
Secretaría de Relaciones Exteriores, a
través del cual hizo de
su
conocimiento
lo
siguiente:
f.
. }
Hago referencia al correo electrónico ASJ-29808 transmitido el dia
2'
de agosto
de
2019 a
esa Dirección General a su cargo,
por
el que esta área jurldica solicitó a la citada Unidad -
entre otras cosas-:
Se
informe la fecha en que fue aprobado
por
el Comité
de
Transparencia
de
la Secretaria
de
Relaciones Exteriores, remitiendo copia cerlificada del acta de sesión respectiva, el
documento
de
seguridad para la protección
de
datos personales Secretaria de Relaciones
Exteriores, Dirección General
de
Servicios Consulares;
asl
como el soporle documental
de
cuando
se
hicieron del conocimiento
de
la Embajada
de
México en Guatemala.
Al
respecto, hago
de
su conocimiento que, el Instituto Nacional
de
Acceso a la Información y
Protección
de
Datos Personales igualmente requirió conocer
lo
relacionado con el
"documento
de
seguridad
para la
protección
de
datos
personales
Secretaria de
Relaciones Exteriores,
Dirección
General de
Protocolo"
,
Dado
lo
anterior, y toda vez que la Dirección General
de
Protocolo,
ha
señalado que
es
esa
Dirección General a su cargo la encargada
de
transmitir información relacionada con datos
personales a las representaciones de
Mé
xico en el Exterior, agradeceré a usted girar sus
28
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
lnstituto
N:J.c1onal
de Transparencia,
Acceso a
la
Información y
Protecci6n de Datos Pcn;onaks DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
apreciables instrucciones a quien corresponda para
el
efecto de que
con
carácter
extraurgente
se
informe
si
en
la
elaboración del
"documento
de
seguridad
para la
protección
de
datos
personales
Secretaria de Relaciones Exteriores,
Dirección
General
de
Protocolo"
que nos ocupa participó o intervino
la
Unidad
de
Transparencia
y,
en
su caso,
se
remita copia certificada de las constancias que
asi
lo
acrediten; asf como de aquellas en
las que
se
corrobore que el mismo
se
hizo del conocimiento de
la
Embajada de México en
Guatemala.
[oO]
(sic)
d) Correo del doce de agosto de dos mil diecinueve, a través del cual el director
jurídico contencioso, hizo del conocimiento de
la
directora general de servicios
consulares, ambos de
la
Secretaría de Relaciones Exteriores,
el
oficio número
ASJ-31082 descrito en
el
inciso anterior.
e)
Correo electrónico del seis de agosto de dos mil diecinueve, a través del cual
el
director general de tecnologías de información e innovación dio atención
al
correo electrónico del dos de agosto de dos mil diecinueve, remitido por
el
director jurídico contencioso, ambos de
la
Secretaría de Relaciones Exteriores.
Al respecto
se
destaca que en dicho correo electrónico
se
manifestó
lo
siguiente:
[ .. ]
roO]
Oficio núm. T1N-3019/2019
Ciudad de México, a 6
de
agosto
de
2019
Hago referencia al correo electrónico ASJ-29809 de 2 de agosto de 2019,
asi
como a
la
copia
de
conocimiento del correo electrónico ASJ-29653 transmitido
el
día
1·
de
agosto de 2019 a
la
Unidad
de
Transparencia
de
esta Cancillerla,
por
el que esa Area Jurldica solicita:
Se informe si en
la
elaboración y aprobación del documento intitulado "Anexo Técnico
Especificaciones de Infraestructura y Equipamiento Tecnológico 2017" intervino el
Comité
de
Transparencia de
la
Secretaria
de
Relaciones Exteriores, remitiendo copia
certificada del acta correspondiente.
29
1
Instituto Naci
on
al de
"'
rnnsparcnci
a,
Acceso a la
[nf
ormaó
ón
y
I'rOlccción
de
Datos
Pcrm
nalcs
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Sobre el particular, [. . .] me permito informar que
en
la
elaboración y aprobación del Anexo
Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico
201
7 no intervino el
Comité de Transparencia de esta Cancillerla.
Ello,
en
virtud
de
ser
un
documento elaborado
por
las áreas técnicas que conformaban
la
Dirección General
de
Tecnologías
de
Información e Innovación (DGTII)
en
2017 que tuvo
por
objeto apoyar a las RME,
en
el proceso
de
recopilación
de
cotizaciones para la adquisición,
arrendamiento y contratación
de
servicios informáticos para su operación en calidad
de
Areas
requirentes,
en
igualdad de condiciones bajo las características técnicas que permitieran
definir una configuración tecnológica básica del equipamiento informático y
de
comunicaciones para el ejercicio fiscal 2017, considerando las condiciones
de
mercado
aplicables en cada pals.
[. . .] (sic)
f) Oficio número ASJ-31083 del doce de agosto de dos mil diecinueve, emitido y
signado por
el
director jurídico contencioso, dirigido
al
director general de
tecnologías de información e innovación, ambos de
la
Secretaría de
Relaciones Exteriores, a través del cual en atención a lo manifestado en
la
comunicación electrónica TIN-3019/2019 descrita en el inciso anterior, a efecto
de fortalecer
su
respuesta,
le
solicitó
lo
siguiente:
[. . .]
Dado lo anterior, y a
fin
de
fortalecer
la
respuesta que
se
le
tiene que obsequiar a
la
autoridad
requirente; agradeceré a usted girar sus apreciables a efecto
de
que
se
informe
si
las
características técnicas adoptadas resguardan y
protegen
la
información que posee esta
Cancillería, específicamente los datos
personales
que
se
manejan.
[. . .]
(sic)
g) Correo del doce de agosto de dos mil diecinueve, a través del cual
el
director
jurídico contencioso, hizo del conocimiento del director general de tecnologías
de información e innovación, ambos de
la
Secretaría de Relaciones Exteriores,
el
oficio número ASJ-31 083 descrito en el inciso anterior.
42.
El
trece de agosto de dos mil diecinueve, el director general de evaluación,
investigación y verificación del sector público, emitió
un
acuerdo a través del cual tuvo
30
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
Inslituto Nacional
de
Transparencia.
Acceso a la Información y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
por recibidos el oficio número ASJ-31084 del doce del mismo mes y año, emitido y
signado por el director jurídico contencioso de la Secretaría de Relaciones Exteriores
descrito
en
el antecedente 41; así como, los documentos adjuntos
al
mismo.
Asimismo, respecto a
la
prórroga solicitada, se informó que debería estarse a
lo
señalado
en el acuerdo del siete de agosto de dos mil diecinueve, notifícado a través del oficio
INAI/SPDP/DGEIVSP/451/2019 (antecedente 40), mediante el cual se amplió por úníca
ocasión
el
plazo para desahogar
el
requerimiento y se concedió una prórroga de dos días
hábiles.
43.
El
trece de agosto de dos mil diecinueve, a través del oficío
INAIISPDP/DGEIVSP/470/2019
la
Dirección General de Evaluación, Investigación y
Verificación del Sector Público dio cuenta a
la
Secretaría de Relaciones Exteriores del
acuerdo de
la
misma fecha, mediante
el
cual se informó que debía estarse a
lo
señalado
en
el acuerdo del siete de agosto de dos mil diecinueve, el cual se hizo de
su
conocimiento través del oficio INAIISPDPIDGEIVSP/451/2019 (antecedente 40).
El
oficio INAIISPDPIDGEIVSP/470/2019 se notificó
el
quince de agosto de dos mil
diecinueve.
44.
El
diecinueve de agosto de dos mil diecinueve, se recibió
en
la
Dirección General
de Evaluación, Investigación y Verificación del Sector Público el oficio número ASJ-31709
del quince del mismo mes y año, emitido y signado por
el
director jurídico contencioso de
la
Secretaría de Relaciones Exteriores, mediante el cual
en
relación con
el
oficio número
INAIISPDP/DGEIVSP/421/2019 (antecedente 35), precisó
lo
siguiente:
f.
.
.]
Hago referencia
al
oficio INAIISPDPIDGEIVSPI47012019 de fecha 13 de agosto de 2019, y
recibido
en
la
Dirección General de Asuntos Jurfdicos el dfa de
la
fecha,
por
se requirió a esta
Cancillería
la
remisión de la información señalada en
el
oficio INAIISPDPIDGEIVSPI42112019
de fecha 29 de julio de 2019, deducido del expediente INAI.3S.07.01-00312019, relacionado
con
el
PROCEDIMIENTO
DE
VERIFICACiÓN que aperturó ese Instituto, con motivo de la
extracción de datos personales en el ataque clbemético en contra de
la
Sección Consular de
la
Embajada de México en Guatemala, el
14
de abril del año
en
curso.
Al
respecto, [. . .] anexo
al
presente se remite en copia certificada:
31
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de Trnnsparcncia,
Acceso a
la
Información y
Prote
cc
ión de Datos Personalcs DIRECCiÓN GENERAL
DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
• Correo electronico TlN·552212019
de
fecha 14
de
agosto
de
2019,
por
el que
la
Dirección General de Tecnologías
de
la
Información e Innovación, en atención a
la la
comunicación ASJ-31083,
por
la
que
se
le
solicitó informar si las especificaciones que
se
consideraron para
la
protección
la
información que maneja esta Cancillería, en
la
que
se
incluyen diversos datos personales, comunicó que el "Anexo Técnico
Especificaciones de Infraestructura y Equipamiento Tecnológico 2017", en su numeral
"5 Seguridad" establece una serie
de
recomendaciones
de
eguipamiento, servicios y
software para reducir los niveles
de
exposición al riesgo
de
la
infraestructura
de
Tecnologías de
la
Información encaminadas a resguarda y proteger
la
información
de
las Representaciones
de
México en el Exterior, considerando los principios
de
seguridad
de
la
información, como
es
la
integridad. disponibilidad v confidencialidad.
Señalando, demás, dicha unidad administrativa que el "Anexo" fue hecho del
conocimiento
de
todas las Representaciones
de
México
en
el Exterior mediante correo
electrónico TlN
de
10
de
febrero
de
2017.
En
atención a lo anterior, y al considerar
la
protección
de
datos personales como
un
derecho
humano
de
los gobernados
y,
en caso en concreto
de
los afectados,
se
subraya
que esta
Cancillería como
un
todo jurídico (y sujeto obligado
en
materia
de
transparencia, acceso a
la
información y protección
de
datos personales), ha
cumplido
en
todo
momento
con
la
tutela
que
de
ello
es
debida.
[. .}
Ello,
en
virtud
de
que esta Dependencia del Ejecutivo Federal, a través
de
sus Unidades
Administrativas, han actuado en el marco
de
lo
su Reglamento Interior,
la
Ley del Servicio
Exterior
Me
xicano y su Reglamento.
• y del correo electronico DSC11355 de fecha 14
de
agosto
de
2019, en el que
la
Dirección General
de
Servicios Consulares hace una reseña
de
los participantes
en
la
elaboración del "Documento
de
seguridad para
la
protección
de
datos personales
Secretaría
de
Relaciones Exteriores, Dirección General
de
Servicios Consulares
",
indicando
de
manera precisa que
si
se contó con
la
participación de
la
Unidad
de
Transparencia más no con
la
aprobación del Comité de Transparencia.
[. .} (sic)
• Adjunto al oficio descrito,
la
Secretaria de Relaciones Exteriores remitió las
siguientes copias certificadas:
32
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Naciona!
de
Tf'J.nsparcncia,
Acceso a
1::1
Tnfonnnción y
Protección oc Datos Pcrsvnales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
a) Correo electrónico del catorce de agosto de dos mil diecinueve, a través del
cual el director general de tecnologías de información e innovación dio
atención
al
correo electrónico del doce de agosto de dos mil diecinueve,
remitido por el director jurídico contencioso, ambos de la Secretaría de
Relaciones Exteriores (antecedente 41,
incisos
f y g). Al respecto se destaca
que en dicho correo electrónico se manifestó lo siguiente:
[..}
[.
..
]
Oficio Núm. TlN-5522/2019
Asunto: Atención ASJ-31083
Ciudad
de
México, a 14 de agosto
de
2019
Hago referencia al correo electrónico ASJ-31 083 de 12 de agosto
de
2019,
por
el que solicita
que
se
informe
si
las características técnicas adoptadas en el "Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017" resguardan y protegen la información
que posee esta Canciller/a, específicamente
los
datos persona/es que
se
manejan.
Sobre
el
particular, [ ..
.]
me permito reiterar que
el
"Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017" es un documento elaborado
por
las áreas
técnicas que conformaban
la
Dirección General de Tecnologlas de Información e Innovación
(DGTII)
en
2017 que tuvo
por
Objeto apoyar a las RME, en
su
proceso
de
adquisición,
arrendamiento y contratación
de
servicios informáticos para
su
operación en calidad de Areas
requirentes, en igualdad
de
condiciones bajo caracterlsticas técnicas que permitieran definir
una configuración tecnológica básica del equipamiento Informático y
de
comunicaciones para
el
ejercicio fiscal 2017, considerando las condiciones
de
mercado aplicables en cada pa/s.
Documento que en su numeral
5.
"Seguridad" establece una serie de recomendaciones de (
equipamiento, servicios y software para reducir los niveles de exposición
al
riesgo
de
la
infraestructura de Tecnologías de
la
Información, encaminadas a resguardar y proteger la
información
de
las Representaciones
de
México en
el
Exterior, considerando los principios
de
seguridad
de
la
información, como
es
la
Integridad, disponibilidad y confidencialidad. Debiendo
destacar, que dicho documento fue hecho del conocimiento de las Representaciones
de
México en
el
Exterior mediante correo electrónico TIN034 de 10 de febrero de 2017.
[. .
.]
(sic)
33
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA DE PROTECCiÓN DE DATOS
PERSONALES
Instiluto Nacional
de
'¡'mnsparcnci
a,
Acceso a
la
Información
~
.
Protección de Datos l'erso nales DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
b) Correo electrónico del catorce de agosto de dos mil diecinueve, a través del
cual la directora general de servicios consulares dio atención al correo
electrónico del doce de agosto de dos mil diecinueve, remitido por
el
director
jurídico contencioso, ambos de la Secretaría de Relaciones Exteriores
(antecedente 41, incisos c y d).
Al
respecto
se
destaca que en dicho correo
electrónico se manifestó lo siguiente:
f.
.}
Hago referencia a sus comunicaciones citadas, referentes al "Documento
de
Seguridad"
de
esta Dirección General, en la que solicita informe si participó o intervino
la
Unidad
de
Transparencia en
la
elaboración del documento,
la
documentación que así lo acredite, así
como aquella que demuestre que se hizo
de
su conocimiento a
la
Embajada
de
México
en
Guatemala.
Al
respecto, hago de su conocimiento que el Documento
de
Seguridad en comento, fue
elaborado en participación conjunta entre las direcciones generales
de
Bienes Inmuebles y
Recursos Materiales, Servicios Consulares, y
de
Tecnologías
de
Información e Innovación ,
asistidos
por
la
Unidad
de
Transparencia
de
esta Secretaria; sin embargo, no existen
comunicaciones oficiales en materia
de
la
elaboración del Documento
de
Seguridad.
Asimismo, esta Dirección General no cuenta con el acta
de
sesión de aprobación del
Documento
de
Seguridad,
por
parte del Comité
de
Transparencia
de
esta Secretaría, puesto
que
la
Unidad Administrativa a
mi
cargo no es integrante del citado comité.
Por otra parte, es importante destacar que el Documento
de
Seguridad correspondiente a esta
Dirección General abarca los temas
de
seguridad que aplicarán para los sistemas con los que
se
opera
la
emisión
de
los servicios consulares, toda vez que al día
de
hoy todas las solicitudes
son atendidas a través
de
una plataforma informática,
la
cual alberga
de
manera central toda
la
información recabada y es administrada
por
la
Dirección General
de
Tecnologías de
Información e Innovación
de
esta Secretaria, motivo
por
el cual el documento no fue remitido
a las oficinas consulares.
Actualmente, toda la información concerniente a
la
prestación
de
servicios consulares está
almacenada únicamente en el Sistema Integral
de
Administración Consular (SIAC);
si
bien es
cierto que el SIAC es alimentado con información proveniente
de
las oficinas consulares,
se
reitera que su almacenamiento está centralizado en los servidores
de
la Secretaría, a cargo
de
la
DGTII. Las oficinas consulares
de
México tienen la instrucción de utilizar exclusivamente
este sistema,
por
lo que ninguna
inf
ormación referente a cualquier trámite consular, debe ser
34
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
Instituto
Naóonal
de
'I'rünspan."1lcia,
;\ccc~o
ti.
la
Informución y
Protección dc Dato:;
Pcr$on~ucs
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
albergada de manera local
por
alguna oficina consular ni
ser
expuesta a redes externas a
través
de
otros mecanismos.
En
este sentido, esta unidad administrativa únicamente es responsable del SIAC,
por
lo
que
cualquier base
de
datos distinta operada
por
las representaciones no está a cargo
de
esta
Dirección General.
[..]
(sic)
45.
El
veinte de agosto de dos mil diecinueve, el director general de evaluación,
investigación y verificación del sector público, emitió un acuerdo a través del cual tuvo
por recibidos el oficio número ASJ-31709 de
la
misma fecha, emitido y signado por
el
director jurídico contencioso de
la
Secretaría de Relaciones Exteriores descrito
en
el
antecedente 44; así como, los documentos adjuntos al mismo.
En
razón de los antecedentes expuestos y previo análisis
de
las
documentales aportadas
por las partes, se tienen los siguientes:
CONSIDERANDOS
PRIMERO.
El
Pleno del Instituto Nacional de Transparencia, Acceso a
la
Información y
Protección de Datos Personales es competente para conocer y resolver el presente
procedimiento de verificación conforme a
lo
previsto
en
los artículos
6,
apartado
A,
fracción VIII de
la
Constitución Política de los Estados Unidos Mexicanos4,
1,2,
fracciones
1,
IV Y
V,
3,
fracción XVIII,
4,89,
fracciones
1,11,
VI Y XIV, 146, 147, fracción
1,
149 Y 150,
primero y cuarto transitorios de
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos ObligadosS,
5,
fracción
1,
6,
7,
8,
9,
10, 12, fracciones I y VIII,
18,
fracciones VII y XIV, 25, fracción XXIII y 28, fracción XIII del Estatuto Orgánico del Instituto
Nacional de Transparencia, Acceso a
la
Información y Protección de Datos Personales6; {
así como, 66, 67, 68,
69,181,183,200,212,213
Y 214 de los Lineamientos Generales
de Protección de Datos Personales para el Sector público7.
4 Publicada
en
el
Diario Oficial de la Federación
el
cinco de febrero de mil novecientos diecisiete. última reforma
publicada
el
veintisiete de agosto de dos mil dieciocho.
s Publicada
en
el Diario Oficial de la Federación el veintiséis de enero de dos mil diecisiete.
6 Publicado
en
el Diario Oficial de
la
Federación el diecisiete de enero de dos mil diecisiete.
7 Publicados
en
el
Diario Oficial de la Federación
el
veintiséis de enero de dos mil dieciocho.
35
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
lo
stituto Nacional de T ransparencia,
,
\(ceso
a la Información y
Protección de Da tos Pcrwnalcs DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
SEGUNDO.
En
primer término, debe señalarse que
la
Ley General de Protección de
Datos Personales
en
Posesión de Sujetos Obligados es de aplicación y observancia
directa para los sujetos obligados del ámbito federal, teniendo
el
carácter de responsables
del tratamiento de los datos personales que posean.
En
este sentido, no debe pasar desapercibido que
el
tres de julio de dos mil diecinueve
se determinó iniciar a
la
Secretaría de Relaciones Exteriores, el procedimiento de
verificación respectivo.
Ahora bien, considerando que
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados es de observancia para
la
Secretaría de Relaciones
Exteriores; es decir, dicha dependencia se considera como responsable del tratamiento
de los datos personales que posee, por ende,
al
haber notificado a este Instituto que
sufrió
un
ataque cibernético a
la
sección consular de
la
Embajada de México
en
la
República de Guatemala, tras
el
cual se sustrajo información sin autorización, entre
la
que
se
encontraban datos personales, resulta necesario señalar
el
marco normativo de
actuación de dicha dependencia:
Ley
Orgánica de la
Administración
Pública Federal
f.
.
.]
Articulo
10
.'
La
presente Ley establece las bases
de
organización de
la
Administración
Pública Federal, centralizada y para estatal.
La
Oficina
de
la
Presidencia
de
la
República,
la
s Secretarías
de
Estado,
la
Consejería Jurídica
del Ejecutivo Federal y los Órganos Reguladores Coordinados integran
la
Administración
Pública Centralizada.
f.
.
.]
Artículo
20.-
En
el
ejercicio
de
sus atribuciones y para el despacho
de
los negocios del orden
administrativo encomendados
al
Poder Ejecutivo
de
la
Unión, habrá las siguientes
dependencias
de
la
Administración Pública Centralizada:
1.-
Secretarías
de
Estad
o;
36
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional
dr;:
Tmnsparencia,
Acceso a
J;1,
Informaóón
y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
f·}
Artículo
26.- Para
el
despacho de los asuntos del orden administrativo,
el
Poder Ejecutivo de
la
Unión contará con las siguientes dependencias:
[
..
}
Secretaria de Relaciones Exteriores;
[
..
.]
Artículo
28.- A la Secretaría de Relaciones Exteriores corresponde
el
despacho de los
siguientes asuntos:
f··]
11.-
Dirigir el servicio exterior en sus aspectos diplomático y consular en los términos de la Ley
del Servicio Exterior Mexicano
y,
por
conducto
de
los agentes del mismo servicio, velar en
el
extranjero
porel
buen nombre de México; impartir protección a los mexicanos; cobrarderechos
consulares y otros impuestos; ejercer funciones notariales. de Registro Civil, de auxilio judicial
y las demás funciones federales que señalan las Leyes, y adquirir. administrar y conservar las
propiedades de
la
Nación en
el
extranjero;
11
A.- Coadyuvar a
la
promoción comercial y turlstica del pafs a través de sus embajadas y
consulados;
f··]
VII.- Intervenir en todas las cuestiones relacionadas con nacionalidad y naturalización;
f·.]
De
lo transcrito
se
advierte que:
• Integrarán la
administración
pública centralizada la Oficina de la Presidencia de
la
República, las Secretarías de Estado, la Consejería Jurídica del Ejecutivo Federal
y los órganos reguladores coordinados.
37
{
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Imtltuto Nacional de 'l'ransparcná
AccesD
n
la
Información y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• Dentro de las
dependencias
de
la
administración
pública
centralizada,
se
encuentran las Secretarías de Estado, entre las que se destacan: la Secretaría de
Relaciones Exteriores.
Asimismo, por relacionarse directamente con
el
presente asunto se destaca lo precisado
en
la Ley del Servicio Exterior Mexicano:
[
..
1
Artículo
10.- El Servicio Exterior Mexicano es el cuerpo permanente
de
servidores públicos,
miembros del personal diplomático del Estado, encargado específicamente de representarlo
en
el extranjero, responsable
de
ejecutar
la
politica exterior
de
México,
de
conformidad con
los principios normativos que establece la Constitución Política
de
los Estados Unidos
Mexicanos.
El Servicio
Exterior
depende
del
Ejecutivo Federal. Su dirección y
administración
están
a cargo de la Secretaría de Relaciones Exteriores,
en
lo sucesivo denominada
la
Secretaria, conforme a lo dispuesto
por
la
Ley Orgánica
de
la
Administración Pública Federal
y a los lineamientos
de
polltica exterior que señale el Presidente
de
la
República,
de
conformidad con las facultades que le confiere
la
propia Constitución.
[1
De
acuerdo con lo anterior,
la
Secretaría de Relaciones Exteriores, en su calidad de
dependencia de
la
administración pública centralizada, debe
considerarse
sujeto
obligado
para el
ámbito
de
aplicación
de la Ley General
Protección
de Datos
Personales en
Posesión
de
Sujetos
Obligados
y en
el
caso concreto, responsable de
los datos personales en posesión de las representaciones
en
el
exterior, como
la
Embajada de México
en
la
República de Guatemala; por lo que, se encuentra constreñida
al
cumplimiento de los principios, deberes y obligaciones que
en
dicha ley se establecen.
En
consecuencia,
el
Instituto Nacional de Transparencia, Acceso a la Información y 1
Protección de Datos Personales está en posibilidad de conocer
el
presente asunto y
resolver lo conducente al procedimiento de verificación que nos ocupa, de acuerdo con
las disposiciones aplicables
en
la Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados.
38
Instituto Nacional de Transparencia.
Acceso a
l::t
Información r
Protección de Datos
Pcr$Ol1alcs
INSTITUTO NACIONAL DE TRANSPARENCIA
, ,
ACCESO A LA INFORMACION y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
TERCERO.
La
presente resolución
se
emite dentro del expediente de verificación
INAI.3S.07.01-003/2019 y corresponde
al
ejercicio de atribuciones del órgano máximo de
dirección de este Instituto Nacional de Transparencia, Acceso a
la
Información y
Protección de Datos Personales, que mediante acuerdo número ACT-
PUB/03/07/2019.05 autorizó por unanimidad
el
inicio de una verificación a
la
Secretaría
de Relaciones Exteriores, en
el
ámbito de aplicación de
la
Ley General de Protección de
Datos Personales
en
Posesión de Sujetos Obligados, con motivo de los elementos
derivados de
la
sustanciación del procedimiento de investigación previa identificado con
el
número de expediente INAI.3S.08.01-020/2019.
En
esta tesitura, con base en
lo
dispuesto en el artículo
16,
segundo párrafo de
la
Constitución Política de los Estados Unidos Mexicanos,
en
relación con los artículos 146,
147, 149 Y 150 de
la
Ley General de Protección de Datos Personales
en
Posesión de
Sujetos Obligados, a través de los cuales se otorgan facultades a esta autoridad
administrativa para regular
la
conducta de los sujetos obligados y cerciorarse de que
la
misma
se
ajusta a las normas de orden público aplicables, a través del procedimiento de
verificación, a fin de constatar que los responsables han cumplido con las disposiciones
en materia de protección de datos personales.
Así,
el
inicio de
la
verificación ordenada a
la
Secretaría de Relaciones Exteriores, a través
del acuerdo de inicio de procedimiento de verificación del tres de julio de dos mil
diecinueve,
se
ciñó a
lo
siguiente:
l.]
CUARTO. Establecida
la
secuela descrita
en
el considerando anterior, resulta indispensable
tomar
en
consideración cada
una
de
las actuaciones y constancias que obran
en
el expediente f
del procedimiento
de
investigación previa INAI.3S.08.01-020/2019, a efecto
de
determinar
si
se
cuentan
con
elementos suficientes para iniciar el procedimiento
de
verificación previsto en .
la
Ley General
de
Protección
de
Datos Personales
en
Posesión
de
Sujetos Obligados, .
respecto a la vulneración
de
seguridad
que
se
dio
derivada de un ataque cibernético a
la sección
consular
de
la
Embajada de México en
la
República de Guatemala, tras el
cual
se
obtuvo
información que presumiblemente contiene datos personales de
miembros del servicio
exterior
mexicano, de las agregadurias adscritas a la embajada
acreditadas en Guatemala y de los dependientes económicos que residen con ellos.
39
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional
de
1"ransparcncia,
Acceso
11
la Información y
Protección de Datos Personales DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
{.
..
]
De lo anterior se advierte
que,
si
bien se llevaron a cabo tres reuniones con el personal del
servicio exterior y
con
los funcionarios
de
las agregadurías
adscritos
en este
momento
a la
embajada, en las que hizo de
su
conocimiento el incidente de seguridad y las acciones que
llevó a cabo,
de
lo expuesto
por
el sujeto obligado
no
se desprende que les
hubiere
hecho
saber
recomendación
alguna
para
evitar
las
posibles
consecuencias de la
vulneración
ocurrida.
[.
..
]
Asimismo, se omitió hacer del conocimiento
de
la
totalidad de los titulares de los datos
personales objeto
de
la
vulneración
de
seguridad (funcionarios del servicio exterior mexicano,
de
sus dependientes económicos; asl como,
de
agregados de distintas dependencias que
estuvieron
adscritos
y
que
ya
concluyeron
su
comisión
en Guatemala), el incidente, las
recomendaciones;
asi
como, el medio puesto a su disposición para obtener mayor información
al respecto.
[
..
.]
En
términos
de
lo
expuesto, dado que tras la vulneración ocurrida
la
cual
fue
reconocida
por
la Secretaría
de
Relaciones Exteriores, se tuvo acceso y se realizó la copia no autorizada
de
datos personales relacionados con bienes muebles e inmuebles; así como, con
la
vida privada
y afectos
de
los titulares,
se
estima
que
nos
encontramos
ante una
situación
que afecta
en forma
significativa
derechos
patrimoniales
y
morales
de
los
titulares.
[.
..
]
En
relación con lo señalado, no debe pasar
por
alto
la
obligación a cargo
de
los sujetos
obligados, respecto al cumplimiento de los deberes que prevé
la
Ley General
de
Protección
de
Datos Personales en Posesión
de
Sujetos Obligados,
por
lo que
al
encontrarnos
ante una
vulneración de
seguridad
que afecta
de
forma
significativa
los
derechos
patrimoniales
y
morales
de
los
titulares, es preciso confrontar los elementos que derivan
de
las diligencias
del expediente de investigación previa que nos ocupa, con el deber de seguridad contemplado
en
la ley.
[. . .]
Asl,
de
lo señalado se advierte
que,
de
conformidad con lo manifestado
por
la
Embajada
de
México en la República de Guatemala, al momento de la vulneración notificada no contaba
40
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
InStlttllO Nacional
de
Transparencia,
¡\cceso a
la
Información v
Protección dc Datos
Person~lcs
DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
con polltica o programa
de
seguridad de datos personales, no habla recibido algún lineamiento
por
parte
de
la
Secretaria
de
Relaciones Exteriores sobre dicho tema, no contaba con
programas formales implementados de capacitación en el tratamiento y seguridad de los datos
personales
de
acuerdo a los roles
de
los servidores públicos involucrados en su manejo; lo
que resulta relevante en
el
presente asunto, dado que su personal interviene directamente
en
la
utilización, actualización y manejo de los datos personales que correspondan a cada uno
de
los trámites para emitir el documento consular correspondiente, mismos que fueron objeto
de la vulneración.
r·.]
En
consecuencia,
existen
elementos
que permiten presumir que
la
SecretarIa
de
Relaciones
Exteriores, respecto
al
caso que nos ocupa, incumplió con
el
deber
de
seguridad
contemplado en
la
Ley General de Protección de Datos Personales en Posesión
de
Sujetos
Obligados.
r·.]
Tomando en cuenta
lo
señalado, en el presente caso dentro
de
las constancias que fueron
remitidas
por
la
SecretarIa
de
Relaciones Exteriores, no existe evidencia
de
que en
la
Embajada
de
México
en
la
República
de
Guatemala:
o Se destinaran recursos para
la
instrumentación
de
programas y pol/ticas
de
protección
de
datos personales.
o Tengan conocimiento sobre pollticas y programas de protección
de
datos personales.
o No
se
ha puesto en práctica
un
programa de capacitación y actualización del personal
sobre las obligaciones y demás deberes en materia
de
protección
de
datos personales.
o
Al
presumirse el incumplimiento del deber
de
seguridad, no
se
cuentan con elementos
que permitan confirmar que
se
adoptaron pollticas para asegurar
el
cumplimiento de los
deberes y obligaciones establecidos
en
la
ley.
En
consecuencia,
existen
elementos
que permiten presumir que
la
Secretaría
de
Relaciones
Exteriores incumplió también con
el
principio
de
responsabilidad
contemplado en
la
Ley
General
de
Protección
de
Datos Personales en Posesión de Sujetos Obligados.
r·.]
Por
lo expuesto,
el
obleto
y
alcance
del procedimiento de verificación seguido en contra
de
la
Secretaria
de
Relaciones Exteriores, está dirigido a corroborar que cumpla con
el
deber de
seguridad; as! como, con el principio de responsabilidad, previstos
en
la
Ley
General
de
Protección
de
Datos Personales en Posesión
de
Sujetos Obligados referidos en
el
acuerdo
de
41
(
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto
Nacional
de
TI",lt1sparcnc.ia,
Acceso a
1"
Infonnaci6n y
Protección
de
Datos
Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
autorización
de
inicio
de
verificación aprobado
por
el Pleno
de
este Instituto el tres
de
julio
de
dos
mil diecinueve, derivado
de
la
vulneración
de
seguridad reconocida
por
el sujeto obligado,
la
cual se dio tras
un
ataque cibernético a
la
sección consular
de
la
Embajada
de
México
en
la
República
de
Guatemala, pudiéndose requerir
al
responsable y a terceros
coadyuvantes, la documentación e información necesaria;
así
como, la realización de
las dílígencias conducentes in situ.
Ahora bien, previo
al
análisis de los resultados de
la
sustanciación del procedimiento
de
verificación que nos ocupa, se estima necesario citar las disposiciones que regulan el
procedimiento de verificación, establecidas en
la
Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados; así como,
lo
dispuesto
en
los
Lineamientos Generales de Protección de Datos Personales para el Sector Público, en
los siguientes términos:
[.
.
.]
Ley
General de
Protección
de
Datos
Personales
en Posesíón de
Sujetos
Obligados
[. . .]
Articulo
146.
El
Instituto y los Organismos garantes, en el ámbito
de
sus
respectivas
competencias, tendrán la atribución
de
vigilar y verificar el cumplimiento
de
las
disposiciones contenidas en
la
presente Ley y demás ordenamientos que se deriven de
esta.
Artículo 147.
La
verificación podrá iniciarse:
[.
..
]
l.
De
oficio cuando el Instituto o los Organismos garantes cuenten
con
indicios que hagan
presumir fundada y motivada
la
existencia
de
violaciones a las leyes correspondientes, o
[. .
.]
Previo a
la
verificación respectiva, el Instituto o los Organismos garantes podrán desarrollar
investigaciones previas,
con
el
fin
de
contar
con
elementos para fundar y motivar el acuerdo
de
inicio respectivo.
42
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional
de
T
ra
nsparenc ia,
Acceso a
la
I
nfo
rmación y
Protecci
ón
de
Dato
s Personales DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
f.
.
.]
Articulo
149. La verificación iniciará mediante una orden escrita que funde y motive
la
procedencia
de
la
actuación
por
parte del Instituto o de los Organismos garantes,
la
cual tiene
por
objeto requerir al responsable
la
documentación e información necesaria vinculada con
la
presunta violación y/o realizar visitas a las oficinas o instalaciones del responsable, o en su
caso, en el lugar donde estén ubicadas las bases de datos personales respectivas.
Para la verificación en instancias
de
seguridad nacional y seguridad pública, se requerirá en
la
resolución,
la
aprobación del Pleno del Instituto,
por
mayoría calificada
de
sus
Comisionados, o
de
los integrantes
de
los Organismos garantes
de
las Entidades Federativas,
según corresponda;
asl
como de una fundamentación y motivación reforzada
de
la
causa del
procedimiento, debiéndose asegurar
la
información sólo para uso exclusivo
de
la
autoridad y
para los fines establecidos
en
el
articulo 150 .
f..]
Articulo
150. El procedimiento de verificación concluirá con
la
resolución que emita el Instituto
o los Organismos garantes, en
la
cual, se establecerán las medidas que deberá adoptar el
responsable en
el
plazo que
la
misma determine.
f.
.
.]
f.
.
.]
Lineamientos
Generales de
Protección
de Datos Personales
para
el
Sector
Público
Articulo
181. De conformidad con lo previsto en
el
articulo 146 de
la
Ley General, el Instituto
a través
de
la
unidad administrativa competente conforme a su Estatuto Orgánico vigente,
tendrá
la
atribución
de
vigilar y verificar el cumplimien
to
de
las disposiciones contenidas en
dicho ordenamiento y los presente Lineamientos generales.
f.
.
.]
Capitulo
111
Del
procedimiento
de
verificación
Articulo
200. El procedimiento de verificación se podrá iniciar:
f.
.
.]
43
(
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
Instituto Nac i
on
al de °lo
mnsparcnci:t,
Acceso a
I:!.
Infonnacion y
Protección de Datos Personales DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
11.
Derivado
de
una investigación previa.
Articulo 201. El procedimiento
de
verificación iniciará con
la
emisión del acuerdo de inicio a
que hace referencia el artículo
198
, fracción
11
de los Lineamientos generales,
el
cual
constituye
una
orden escrita que funda y motiva
la
procedencia
de
la
actuación
por
parte del
Instituto, a través
de
la
unidad administrativa competente conforme a su Estatuto Orgánico
vigente, y tiene
por
objeto establecer las bases para requerir
al
responsable
la
documentación
e información necesaria vinculada con
la
presunta violación y/ o realizar visitas a las oficinas o
instalaciones del responsable, o en su caso, en el lugar donde estén ubicadas las bases
de
datos personales respectivas.
El
acuerdo
de
inicio del procedimiento
de
verificación podrá ser emitido
por
el Pleno del
Instituto, o bien,
por
las unidades administrativas del Instituto competentes de conformidad
con
lo
dispuesto en el Estatuto Orgánico vigente
al
momento
de
emitirse el acuerdo a que se
refiere el presente artículo.
r]
Articulo 204. El procedimiento
de
verificación se sustanciará
de
la
siguiente manera:
,.
Requerimientos de información: el Instituto deberá emitir los oficios correspondientes
dirigidos al responsable o a cualquier tercero para que, en
un
plazo máximo
de
cinco
dlas, contados a partir del dla siguiente a que surta efectos
la
notificación, realice
lo
siguiente:
a) Presente las pruebas que considere pertinentes sobre el tratamiento que brinda
a los datos personales, y
b) Manifieste
lo
que a su derecho convenga respecto
de
los hechos materia
de
la
verificación y el procedimiento instaurado en su contra, y/o
11.
Visitas de verificación:
el
Instituto deberá realizar aquéllas que sean necesarias en
las oficinas o instalaciones del responsable o,
en
su caso,
en
el lugar donde estén
ubicadas las bases de datos personales o se realice
el
tratamiento
de
los datos
personales objeto del procedimiento
de
verificación, teniendo
una
duración máxima
de
cinco días hábiles cada una, con
la
finalidad
de
que se allegue
de
la
documentación e
información necesaria sobre el tratamiento que
el
responsable lleve a cabo.
El responsable no podrá negar el acceso a
la
documentación solicitada con motivo
de
un
procedimiento
de
verificación, a sus bases
de
datos personales o tratamientos
de
éstos, no
podrá invocar
la
reserva o
la
confidencialidad
de
la
información.
r · ]
44
Instituto Nacional de Transparcnci:l,
Accc:wa
la
Información y
Protección de Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Artículo
212. El procedimiento de verificación concluirá con
la
resolución que emita el Instituto,
en la cual se establecerán las medidas que deberá adoptar el responsable en
el
plazo que la
misma determine.
La
resolución del procedimiento de verificación será notificada personalmente, mediante oficio,
al responsable y al denunciante a través del medio que hubiera proporcionado para tal efecto.
Artículo
213. El procedimiento de verificación deberá tener una duración máxima de cincuenta
dlas hábifes, contados a partir de
la
fecha en que se haya dictado el acuerdo de inicio
respectivo, en términos del artículo 149, párrafo tercero, de la Ley General,
el
cual no podrá
ser
prorrogable.
De
la
normativa transcrita, se desprende que:
•
•
•
•
•
•
•
El
Instituto, tendrá la atribución de vigilar y verificar el cumplimiento de las
disposiciones contenidas en
la
Ley General de Protección de Datos Personales
en Posesión de Sujetos Obligados.
La
verificación podrá iniciarse de oficio cuando se cuenten con indicios que hagan
presumir fundada y motivada
la
existencia de violaciones a las leyes
correspondientes.
Previa a
la
verificación, podrán desarrollarse investigaciones previas, con
el
fin de
contar con elementos para fundar y motivar el acuerdo de inicio respectivo.
La
verificación iniciará mediante una orden escrita que funde y motive
la
procedencia de
la
actuación del Instituto.
Para
la
verificación en instancias de seguridad nacional y seguridad pública,
se
requerirá
en
la
resolución,
la
aprobación del Pleno del Instituto.
El
procedimiento de verificación concluirá con
la
resolución que emita
el
Instituto,
en
la
cual se establecerán las medidas que deberá adoptar el responsable. {
El
procedimiento de verificación deberá tener una duración máxima de cincuenta
días hábiles, contados a partir de
la
fecha en que se haya dictado el acuerdo de
inicio respectivo.
45
Instituto Nacional de Transparencia,
,:\cceso a
la
Información y
Protección de Datos Pcrwn¡llcs
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
En
esa tesitura, es preciso señalar que el procedimiento de verificación que nos ocupa,
derivó de una investigación previa
la
cual inició con fundamento
en
el
artículo 69 de los
Lineamientos Generales de Protección de Datos Personales para
el
Sector Público, tras
la
notificación por parte de
la
Secretaría de Relaciones Exteriores, respecto a
la
vulneración de seguridad que sufrió derivada de un ataque cibernético a
la
sección
consular de
la
Embajada de México en
la
República de Guatemala,
en
el
cual se sustrajo
sin autorización información de
un
equipo de cómputo que resguardaba, entre otra
información, datos personales de miembros del servicio exterior mexicano, de las
agregadurías adscritas a
la
embajada acreditadas
en
Guatemala y de los dependientes
económicos que residen
con
ellos.
Así,
el
tres de julio de dos mil diecinueve
el
Pleno de este Instituto autorizó,
el
inicio
de
un
procedimiento de verificación a
la
Secretaría de Relaciones Exteriores.
En
este sentido, en
la
presente resolución que concluye el procedimiento de verificación
referido, se analizan los elementos puestos
en
conocimiento de este Instituto Nacional
de Transparencia, Acceso a
la
Información y Protección de Datos Personales,
considerando cada una de las actuaciones y constancias que obran tanto
en
el
expediente del procedimiento de investigación, como en
el
de verificación.
Tomando
en
cuenta
lo
anterior, se llevará a cabo
un
análisis exhaustivo de todas las
constancias que obran en los referidos expedientes, atendiendo a
lo
dispuesto por
el
artículo
3,
fracción
XVI
de
la
Ley Federal de Procedimiento Administrativ08, emitiendo
una resolución
con
congruencia interna y externa en cuanto
al
objeto y alcance de
la
verificación que nos ocupa.
Establecido
lo
anterior, resulta fundamental considerar las manifestaciones realizadas y
los elementos probatorios aportados por
la
Secretaría de Relaciones Exteriores, durante J
la
investigación y
el
procedimiento de verificación.
'l
8
De
aplicación supletoria a la Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados,
en
términos de
lo
dispuesto
en
su articulo 9 y 195, fracción I de los Lineamentos Generales de Protección de Datos
Personales para
el
Sector Público.
46
Instituto Nacional de Transpucncia,
i\CCCSO
a
la
lnfonnl1CÍón
y
Protección de Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Con base en
lo
manifestado, resulta preciso señalar que
la
Secretaría de Relaciones
Exteriores notificó a este Instituto
la
vulneración de seguridad que sufrió derivada de
un
ataque cibemético a
la
sección consular de
la
Embajada de México
en
la
República de
Guatemala, tras el cual se sustrajo sin autorización información de
un
equipo de cómputo
que resguardaba, entre otra información, datos personales de miembros del servicio
exterior mexicano, de las agregadurías adscritas a
la
embajada acreditadas
en
Guatemala y de los dependientes económicos que residen con ellos.
De
ahí que, con base
en
el
procedimiento establecido en
el
artículo 69 de los
Lineamientos Generales de Protección de Datos Personales para
el
Sector Público, este
Instituto ejerció sus facultades de investigación
y,
posteriormente, de verificación, con
el
objeto de corroborar
el
debido cumplimiento de la Ley General
de
Protección de Datos
Personales
en
Posesión de Sujetos Obligados, en relación con
la
sustracción
no
autorizada de los datos personales que nos ocupan, en razón de que dicho ordenamiento
legal tiene por objeto establecer las bases, principios y procedimientos para garantizar
el
derecho que tiene toda persona a
la
protección de sus datos personales
en
posesión de
sujetos obligados.
Derecho fundamental cuya tutela, por mandato del artículo 60., apartado
A,
fracción VIII,
de
la
Constitución Política de los Estados Unidos Mexicanos,
ha
sido encomendada a
este Instituto como organismo autónomo, especializado, imparcial, colegiado, autoridad
en
la
materia a que
se
refiere
su
denominación, sujeta como todas las demás del Estado,
a
la
obligación impuesta
en
el artículo 1 de
la
ley fundamental de promover, respetar,
proteger y garantizar los derechos humanos,
lo
que se logra
al
interpretar
el
orden jurídico
de
su
competencia a
la
luz y conforme a los derechos humanos reconocidos en
la
Constitución Política de los Estados Unidos Mexicanos y
en
los tratados internacionales
en los que México es parte, favoreciendo
en
todo tiempo a las personas
la
protección
más amplia. Sobre el tema, el Poder Judicial
de
la
Federación
ha
puesto énfasis en
la
siguiente tesis9:
9 Décima época, registro: 2015432, Tribunales Colegiados de Circuito, tipo
de
tesis: aislada, fuente: Gaceta del
Semanario Judicial de la Federación, libro 47, octubre de 2017, tomo
IV,
materia(s): constitucional, tesis:
1.70.A.3
CS
(10a.), página: 2444. 47
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
lm¡üuto
Nücional de Transparencia,
Acceso a la Información y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A
LA
INFORMACIÓN Y
PROTECCIÓN DE DATOS PERSONALES. COMO AUTORIDAD DEL ESTADO, ESTÁ
OBLIGADO A PROMOVER, RESPETAR, PROTEGER Y GARANTIZAR LOS DERECHOS
HUMANOS,
AL
INTERPRETAR EL ORDEN JURíDICO DE SU COMPETENCIA,
FA
VORECIENDO EN TODO TIEMPO A LAS PERSONAS
LA
PROTECCIÓN MÁS AMPLIA.
Conforme
al
artículo
60"
apartado
A,
fracción
VIII,
de la Constitución Polltica
de
los Estados
Unidos Mexicanos, el Instituto Nacional
de
Transparencia, Acceso a la Información y
Protección
de
Datos Personales es un organismo autónomo, especializado, imparcial,
colegiado, con personalidad jurldica y patrimonio propio, con plena autonomía técnica,
de
gestión, capacidad para decidir sobre
el
ejercicio
de
su presupuesto y determinar su
organización interna, responsable
de
garantizar el cumplimiento
de
los derechos
de
acceso a
la
información pública y a
la
protección
de
datos personales en posesión de los sujetos
obligados; se trata,
por
tanto, de una autoridad en
la
materia a que se refiere su denominación
y,
en consecuencia, sujeta, como todas las demás del Estado, a
la
obligación impuesta en
el
artículo
10,
de
la
Ley Fundamental,
de
promover, respetar, proteger y garantizar los derechos
humanos,
lo
que se logra al interpretar
el
orden jurídico
de
su competencia a la luz y conforme
a los derechos humanos reconocidos
en
la Constitución y
en
los tratados internacionales en
los que México es Parte, favoreciendo en todo tiempo a las personas la protección más amplia,
En
esa tesitura, no debe pasar por alto que las facultades con las que cuenta este Instituto
se encaminan a garantizar
la
protección de los datos personales de las personas,
buscando que en todo momento se les provea,
la
protección más amplia de dicho derecho
fundamental.
Así, resulta fundamental que se corrobore si previo y durante
la
vulneración de seguridad
ocurrida
en
la
Embajada de México
en
la
República de Guatemala, el actuar de
la
Secretaría de Relaciones Exteriores fue acorde
al
mandato legal previsto en
la
Ley
General de Protección de Datos Personales
en
Posesión de Sujetos Obligados, de
acuerdo a los principios y deberes que se establecen para dicha dependencia en su
calidad de responsable frente a los titulares de los datos personales que se vieron
comprometidos con
la
vulneración.
Ahora bien, previo a referir
lo
señalado por
la
Secretaría de Relaciones Exteriores durante {
el procedimiento de verificación, resulta fundamental no perder de vista algunas de las
manifestaciones que realizó
la
Embajada de México
en
la
República
de
Guatemala
en
el
procedimiento de investigación previa, destacándose las siguientes:
48
Instituto
N~ciol1:tl
de
Transparencia,
Acceso a
b.
Inform.'lciÓn y
Protección de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
•
La
Embajada de México en
la
República de Guatemala10 precisó que realizó tres
reuniones con personal del servicio exterior y funcionarios de las agregadurías
adscritos
en ese
momento
a la embajada, para informarles de los hechos, las
acciones legales y administrativas que se han realizado; asi como, mantener un
canal de comunicación fluido para recibir comentarios y orientar
al
personal sobre
las acciones que se están realizando.
Sin embargo, reconoció que en
la
información que se sustrajo ilegalmente del
equipo de cómputo, se encontraba 'información histórica de funcionarios del servicio
exterior mexicano y sus dependientes económicos; así como, de agregados de
distintas dependencias que estuvieron adscritos
en
esta representación y que
ya
concluyeron su comisión
en
Guatemala. Por
lo
que sometió a consideración de
la
Dirección General de Asuntos Jurídicos de
la
Secretaría de Relaciones Exteriores
que, a través de
la
Dirección General del Servicio Exterior y Recursos Humanos, se
informara del incidente a los miembros del servicio exterior mexicano
que
ya
no
se
encuentran
en Guatemala.
•
La
Embajada
de
México
en
la
República de Guatemala
11
destacó que
no
cuenta
con
política o
programa
de
seguridad
de
datos
personales.
ni
ha
recibido
algún
lineamiento
de la Secretaría de Relaciones
Exteriores
al respecto.
•
La
Embajada de México en
la
República de Guatemala
12
informó los roles y
responsabilidades de las dos personas involucradas
en
el tratamiento de los datos
personales afectados tras
la
vulneración de seguridad, destacándose los siguientes:
Solicitud de documentos personales a funcionarios.
Manejo y administración de información para elaboración de notas
diplomáticas.
10 Correo electrónico del veintiséis de abrí! de dos mil diecinueve, remitido por el encargado de negocios
aj.
en
la
Embajada de México en la República de Guatemala a
la
Dirección General de Asuntos Jurídicos de la Secretaría de
Relacíones Exteriores.
11
Correo electrónico del veintiocho de mayo de dos mil diecinueve, remitido por el embajador de México en
la
República
de Guatemala a
la
Direccíón General de Asuntos Juridicos de la Secretaria de Relaciones Exteriores.
12
Correo electrónico del seis de mayo de dos
mí!
diecinueve, remitido por el embajador de México en
la
República de
Guatemala a
la
Dirección General de Asuntos Jurídicos de
la
Secretaria de Relaciones Exteriores, 49
{
Instituto Nacional de Transparencia,
Acceso a
la
Información y
Protección
de
Datos
Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Envío de solicítudes al Ministerio de Relaciones Exteriores de Guatemala y
la
Superintendencia de Administración Tributaria.
Seguimiento a solicítudes.
Entrega de documentos a funcionarios.
• Respecto de los programas implementados para capacitar a los involucrados en el
tratamiento y seguridad de los datos personales,
la
Embajada de México en
la
República de Guatemala13 precisó que
no
cuenta
con
programas
formales
implementados
de
capacitación,
en materia de protección de datos personales.
Así, tras
la
notificación del acuerdo de inicio de procedimiento de verificación, la
Secretaría de Relaciones Exteriores realizó las siguientes manifestaciones:
• La Embajada de México en
la
República de Guatemala notificó por escrito
(a
sus
agregados: Militar y Aéreo, Naval, Legal para Centro América y el Caribe de
la
Fiscalía General de la República; del Centro Nacional e Inteligencia en Guatemala
y Belice; de
la
Consejería Comercial de ProMexico para Centroamérica acreditada
en Guatemala; y de la Consejería Agropecuaria para Centroamérica acreditada en
Guatemala) el incidente materia del presente procedimiento de verificación,
haciéndoles de su conocimiento el listado del personal afectado. Cada una de las
Secretarías de Estado es responsable de los actos realizados por sus
representantes.
• Los documentos de seguridad para la protección de datos personales de
la
Secretaría de Relaciones Exteriores, Dirección General de Protocolo y Dirección
General de Servicios Consulares, elaborados por dichas direcciones en
colaboración con
la
Dirección General de Bienes Inmuebles y Recursos Materiales,
la
Dirección General de Tecnologías de
la
Información e Innovación y
la
Unidad de
Transparencia, son de uso común para cualquier representación, por
lo
tanto
sí
se
cuenta
con política de seguridad de datos personales.
13ldem,
50
1
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
1 nstituto Naciunal
de.
Transparencia,
Acceso a la Infú:rrrución y
Protección de Datos Pcn;onalcs DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
•
La
finalidad del "Anexo Técnico Especificaciones de Infraestructura y Equipamiento
Tecnológico 2017", es más amplia que
la
mera protección de datos personales, se
ocupa cabalmente de
la
salvaguarda de
la
información que
la
Secretaría de
Relaciones Exteriores transmite y recibe por los medios electrónicos que
en
dicho
documento se mencionan, incluyendo
los
datos
personales y
biométricos
de los
usuarios y empleados.
Lo
anterior, toda vez que dispone
el
tipo de software y
hardware que se deberá ocupar
en
todas las instalaciones (dentro y fuera del
territorio nacional).
En
relación con
lo
anterior, a través de
un
alcance
el
sujeto obligado precIso que,
(incluyendo a
la
Embajada de México en
la
República de Guatemala), ha observado el
principio de responsabilidad.
Ahora bien, tras las manifestaciones de
la
Secretaría de Relaciones Exteriores, se
le
formuló
un
requerimiento de información, con
el
objeto de que:
1.
Tomando en cuenta
lo
manifestado
en
el oficio número ASJ-26217 del diez de julio
de dos mil diecinueve; así como,
lo
establecido en el artículo
41
de
la
Ley General
de Protección de Datos Personales en Posesión de Sujetos Obligados y 68 de
los Lineamientos Generales de Protección de Datos Personales para
el
Sector
Público, resulta necesario que,
respecto
a la
notificación
realizada
por
el
responsable
a
los
titulares
de
los
datos
personales sobre las vulneraciones de
seguridad, remitiera:
•
•
En
el caso del personal del servicio exterior y de los funcionarios de las
agregadurías
adscritos
al
momento
de la
vulneración
a
la
embajada, las
constancias de las que se desprenda
la
notificación de las recomendaciones
que se les hicieron saber para evitar las posibles consecuencias de
la
vulneración ocurrida. {
Respecto de los titulares de los datos personales objeto de
la
vulneración de
seguridad
que
estuvieron
adscritos
y
que
habrían
concluido
su
comisión
en Guatemala al
momento
del referido suceso, la notificación que se les
habría realizado respecto de
la
vulneración
en
términos de
lo
dispuesto
en
los
artículos
41
de
la
Ley General de Protección de Datos Personales en
51
Instimto
Nadonal
de Transparencia,
Acceso;¡
la
Información y
Proteccion de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Posesión de Sujetos Obligados y 68 de los Lineamientos Generales de
Protección de Datos Personales para
el
Sector Público.
2.
Puesto que
la
Embajada de México
en
la
República de Guatemala informó
expresamente durante
la
investigación que
no
cuenta
con
política o
programa
de
seguridad
de
datos
personales, ni ha
recibido
algún
lineamiento
de la
Secretaría de .Relaciones Exteriores al respecto y que de acuerdo con
lo
manifestado
en
el oficio número ASJ-26217 del diez de julio de dos mil diecinueve,
el
sujeto obligado señala que cuenta
con
una política de seguridad de datos
personales; resultaba necesario que aclarara cuáles son los documentos que
contienen dicha política, remitiendo
un
ejemplar de los mismos; así como, el
documento que acreditara que
la
Embajada de México
en
la
República
de
Guatemala fue notificada de su contenido y existencia.
3.
Indicara si
en
la
elaboración y aprobación del "Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017' intervino el Comité de
Transparencia de
la
Secretaría de Relaciones Exteriores.
4. Ahora bien, toda vez que
en
el
oficio número ASJ-26217 del diez de julio de dos mil
diecinueve, se habría informado que se tuvo conocimiento de diversas
convocatorias para cursos
en
línea sobre transparencia y datos personales;
resultaba necesario que proporcionara las constancias que acreditaran tal situación,
respecto
al
personal adscrito a
la
Embajada de México en
la
República de
Guatemala.
5.
Por cuanto hace a los documentos que fueron remitidos a
la
Dirección General de
Evaluación, Investigación y Verificación del Sector Público de este Instituto,
consistentes en:
Documento
de
seguridad para
la
protección de datos personales Secretaría {
de Relaciones Exteriores, Dirección General
de
Protocolo elaborado por dicha
dirección
en
colaboración con
la
Dirección General
de
Bienes Inmuebles y
Recursos Materiales,
la
Dirección General de Tecnologías de
la
Información e
Innovación y
la
Unidad de Transparencia.
52
Instituto N,lcional de Transparencia,
Acceso
\l
la Información y
Protección de
DatOl~
Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARiA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Documento
de
seguridad para
la
protección
de
datos personales Secretaría
de Relaciones Exteriores, Dirección General de Servicios Consulares
elaborado por dicha dirección en colaboración con
la
Dirección General de
Bienes Inmuebles y Recursos Materiales,
la
Dirección General de Tecnologías
de
la
Información e Innovación y
la
Unidad de Transparencia, por ser
en
los
que se describen los trámites relacionados con los documentos diplomáticos
vulnerados.
Resultaba necesario se informara a este Instituto:
a)
La
fecha
en
que los mismos fueron aprobados por el Comité de Transparencia
de
la
Secretaría de Relaciones Exteriores.
b)
Si
los mismos se habrían hecho del conocimiento de
la
Embajada de México
en
la
República de Guatemala.
Así, tras una prórroga y a través de diversos oficios,
la
Secretaría de Relaciones
Exteriores desahogó el requerimiento que se
le
formuló; por
lo
que se destaca
lo
siguiente:
•
La
Unidad de Transparencia de
la
Secretaría de Relaciones Exteriores, precisó
que:
La
documentación que contiene
la
política de seguridad de datos personales
son los documentos de seguridad.
Se hicieron del conocimiento de los titulares de las representaciones de
México en el exterior
en
América Latina y
el
Caribe, los avisos de privacidad
que debían publicarse de forma física
en
la
entrada del área de atención
al
público de las oficinas
de
las representaciones de México en el exterior; así
como,
la
Guía para
la
publicación de avisos de privacidad.
El
Comité de Transparencia
no
está facultado para aprobar los documentos
de seguridad. Aunado a que
no
se
cuenta
con
el
soporte
documental
de
cuando
se
hicieron
del
conocimiento
de la Embajada de
México
en la
República
de Guatemala.
En
la
elaboración del "Anexo Técnico Especificaciones
de
Infraestructura y
53
Instituto Nacional de Transparencia,
J\CCC!iO a
la
Jnfonnadón
y
Protección de Datos Personales.
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Equipamiento Tecnológico 2017'
no
intervino el Comité de Transparencia de
la Secretaría de Relaciones Exteriores,
en
razón de que no es facultad jurídica
de dicho órgano colegiado participar
en
la elaboración o aprobación de anexos
técnicos de ninguna índole.
• La
Dirección
General
de
Tecnologías
de
Información
e
Innovación
de
la
Secretaría de Relaciones Exteriores, puntualizó que:
En
la elaboración y aprobación del "Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017'
no
intervino el Comité de
Transparencia de la Secretaría de Relaciones Exteriores.
El
"Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento
Tecnológico 2017', es un documento elaborado por las áreas técnicas que
conformaban
la
Dirección General de Tecnologías de Información e
Innovación
en
dos mil diecisiete, que tuvo por objeto apoyar a las
representaciones de México
en
el exterior,
en
el proceso de recopilación de
cotizaciones para
la
adquisición, arrendamiento y contratación de servicios
informáticos para su operación
en
calidad de áreas requirentes,
en
igualdad
de condiciones bajo las características técnicas que permitieran definir una
configuración tecnológica básica del equipamiento informático y de
comunicaciones, considerando las condiciones de mercado aplicables en
cada país.
En
el numeral 5 "Seguridad" del "Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017', se establecen una serie de
recomendaciones de equipamiento, servicios y software para reducir los
niveles de exposición al riesgo de
la
infraestructura de tecnologías de
la
información, encaminadas a resguardar y proteger
la
información de las
representaciones de México
en
el
exterior, considerando los principios de
seguridad de
la
información, como es la integridad, disponibilidad y 1
confidencialidad.
El
"Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento
Tecnológico 2017', fue hecho del conocimiento de las Representaciones de
México en
el
Exterior mediante correo electrónico TIN034 de diez de febrero
de dos mil diecisiete.
54
Instittlto NacIOnal
de
Transparencia,
Acceso a
la
Infonnación r
Protección de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
•
La
Dirección General de
Servicios
Consulares de
la
Secretaría de Relaciones
Exteriores, destacó que:
El
documento de seguridad fue elaborado en participación conjunta entre las
direcciones generales de Bienes Inmuebles y Recursos Materiales, Servicios
Consulares, y de Tecnologías de Información e Innovación, asistidos por
la
Unidad de Transparencia.
El
documento de seguridad correspondiente a esta dirección general abarca
los temas de seguridad que aplicarán para los sistemas con los que
se
opera
la
emisión de los servicios consulares, toda vez que las solicitudes son
atendidas a través de una plataforma informática,
la
cual alberga de manera
central toda
la
información recabada y es administrada por
la
Dirección
General de Tecnologías de Información e Innovación, motivo por el cual
el
documento
no
fue remitido a las oficinas consulares.
Toda
la
información concerniente a
la
prestación
de
servicios consulares está
almacenada únicamente en el Sistema Integral de Administración Consular
el
cual,
si
bien es alimentado con información proveniente de las oficinas
consulares,
su
almacenamiento está centralizado
en
los servidores de
la
Secretaría de Relaciones Exteriores, a cargo de
la
Dirección General de
Tecnologías de Información e Innovación.
Las oficinas consulares de México tienen
la
instrucción de utilizar
exclusivamente este sistema, por
lo
que ninguna información referente a
cualquier trámite consular, debe ser albergada de manera local por alguna
oficina consular
ni
ser expuesta a redes externas a través de otros
mecanismos.
Asimismo, de los documentos remitidos por
la
Secretaría de Relaciones Exteriores a
través de los cuales pretendió desahogar el requerimiento de información que
se
le
1
formuló,
se
destacan los siguientes:
• Correo electrónico del diecisiete de junio de dos mil diecinueve, a través del cual
la
Unidad de Transparencia, remitió a
la
Embajada de México en
la
República de
Guatemala, ambas de la Secretaría de Relaciones Exteriores,
el
listado de los
55
Instituto Nacional de 'l'ransparcllci;\,
Acceso a
la
lnfonnlción
v
Protección de Datos
l'crson':1.les
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
servidores públicos
con
nivel de mando adscritos a dicha embajada, con
la
finalidad
de cumplir con
el
objetivo de obtener
el
reconocimiento de institución 100%
capacitada; asimismo,
le
informó
la
forma
en
la
que dichos servidores públicos
podrían generar
su
registro e iniciar los cursos virtuales a través del Centro Virtual
de Capacitación del Instituto Nacional de Transparencia, Acceso a
la
Información y
Protección de Datos Personales.
• Correo electrónico del diecisiete de junio de dos mil diecinueve, por medio del cual
la
titular Unidad de Transparencia de
la
Secretaría de Relaciones Exteriores, solicitó
a las Embajadas de México
su
apoyo para exhortar
al
personal
con
nivel de mandos
medios y superiores, participar
en
diversos cursos
en
línea,
con
la
finalidad de
cumplir con el objetivo de obtener el reconocimiento de institución 100% capacitada.
• Correo electrónico del ocho de julio de dos mil diecinueve, a través del cual
la
Embajada de México en
la
República de Guatemala, remitió a
la
titular de
la
Unidad
de Transparencia, ambas de
la
Secretaría
de
Relaciones Exteriores, las constancias
de participación en los cursos Introducción a
la
Ley Federal de Transparencia y
Acceso a
la
Información Pública del veintiséis de junio de dos mil diecinueve e
Introducción a
la
Ley General de Transparencia y Acceso a
la
Información Pública
del cinco de julio de dos mil diecinueve, expedidas a nombre de Jose Eduardo
Buenrostro Vielmas.
Ahora bien, por
lo
que respecta al alcance y valor probatorio de los documentos que
obran
en
copia certificada
en
el
expediente de verificación en que
se
actúa, es preciso
considerar
la
siguiente jurisprudencia 14;
CERTIFICACiÓN DE COPIAS FOTOSTÁTICAS.
ALCANCE
DE
LA
EXPRESiÓN
"QUE
CORRESPONDEN A LO REPRESENTADO EN ELLAS", CONTENIDA
EN
EL ARTíCULO
217 DEL CÓDIGO FEDERAL DE PROCEDIMIENTOS CIVILES, TRATÁNDOSE DE LA
EMITIDA POR AUTORIDADES ADMINISTRA TlVAS EN EJERCICIO DE SUS FUNCIONES. (
De
la
interpretación de los artículos 129 y 217 del Código Federal
de
Procedimientos Civiles
se advierte
que,
por
regla general. las copias certificadas tienen
valor
probatorio
pleno
siempre
que
su
expedición
se
realice
con
base en un
documento
original, o
de
otra
14
Tesis 2a./J. 2/2016 (10a,), Tribunales Colegiados de Circuito, página 873, Semanario Judicial
de
la Federación y su
Gaceta, tomo
1,
febrero 2016, décima época,
56
ln:>t.ltuto
Nacional de Tmnsparcncía,
;\ccci:o a
la
Información y
Protección de Datos Pcr!'onales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
EVALUACiÓN
DEL SECTOR
diversa copia certificada expedida
por
fedatario o funcionario público en el ejercicio
de
su
encargo
y,
por
el contrarío,
la
certificación carece de
ese
valor probatorio pleno cuando no
exista certeza
si
el cotejo deriva
de
documentos originales, de diversas copias certificadas, de
copias autógrafas o
de
copias simples,
En
estas condiciones, cuando
la
copia
es
compulsada
por
un
funcionario público, ello significa que
es
una reproducción del original
y,
por
tanto, hace
igual
fe
que el documento original, siempre y cuando en
la
certificación
se
incluya
esa
mención
para crear convicción
de
que efectivamente las copias corresponden a lo representado en el
cotejo; pues, en caso contrario, su valoración quedará al prudente arbitrio judicial, Bajo
ese
orden
de
ideas,
la
expresión
"que
corresponden a lo representado en ellas", contenida en el
artrculo 217 del Código Federal
de
Procedimientos Civiles implica que en
la
certificación, como
acto jurídico material,
se
contenga
la
mención expresa
de
que las copias certificadas
concuerdan
de
forma fiel y exacta con el original que
se
tuvo a
la
vista, a
fin
de
que pueda
otorgársele valor probatorío pleno, en términos del citado artrculo 129; pues
esa
exigencia
se
justifica
por
la
obligación
de
la autoridad administrativa de generar certeza y seguridad jurldica
en los actos que emite, (sic)
Así como,
lo
que establece lajurisprudencia15:
COPIAS FOTOSTÁTlCAS CERTIFICADAS DE OTRAS DE IGUAL íNDOLE, CUYO
COTEJO O COMPULSA ORDENÓ
LA
JUNTA. HACEN FE EN EL JUICIO LABORAL,
YA
QUE PRODUCEN CERTEZA DE QUE SU CONTENIDO COINCIDE PLENAMENTE CON SU
ORIGINAL, PUES ESA CONFIABILiDAD SE LA OTORGA LA CERTIFICACiÓN, SAL
VO
PRUEBA EN CONTRARIO. Las copias fotostáticas certificadas expedidas
por
la
autoridad
laboral tienen
pleno
valor
probatorio
no sólo cuando
su
expedición
se
realiza sustentándose
en
un
documento original,
sino
también
cuando
se efectúa
con
apovo
en una
copia
certificada extendida
por
un
funcionario
público
con
fe
pública
gue
manifieste
haber
tenido
el
original
a la vista v gue
ambos
documentos
concuerdan
en
todas
sus
partes.
Ello
es
asl, tomando en consideración,
por
una parte, el principio general para
la
valoración
de
pruebas contenido en el articulo 841 de
la
Ley Federal del Trabajo, que consiste en que
las Juntas gozan
de
facultades para dictar
sus
laudos a verdad sabida y buena
fe
guardada,
sin necesidad
de
sujetarse a reglas sobre
la
estimación de pruebas, apreciando los hechos
según
sus
miembros lo crean debido en conciencia, pero siempre expresando las razones,
motivos y fundamentaciones lógicas, esto es, sin llegar a conclusiones dogmáticas;
y,
por
la
otra, que
la
referencia que hace el articulo 798 de
la
ley
de
la
materia en el sentido
de
que
cuando
se
ofrezca como medio
de
prueba
un
documento privado consistente en copia simple 1
o fotostática
se
podrá solicitar, en caso de
ser
objetado,
la
compulsa o cotejo con el original,
de
modo alguno constituye
un
obstáculo para que dicha compulsa pueda realizarse con apoyo
en una copia certificada, puesto que tal seña/amiento únicamente tiene e/ propósito de precisar
15 Tesis 2a./J, 16/2001, página 447, Seminario Judicial de la Federación y su Gaceta, tomo XIII, abril 2001 , noven época,
57
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto 0lacional de 'fransparencia,
Acceso a la Información y
Protección de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
que aquel documento sirve
de
prueba idónea para el cotejo, pero
de
ninguna manera el
de
impedir que
la
compulsa se
/leve
a
cabo
con
una
copia certificada,
ya
que
no
debe
pasar
inadvertido que ésta
produce
certeza de que
su
contenido coincide plenamente con
su
original,
pues
esa con fiabilidad
se
la otorga la certificación, salvo prueba
en
contrario.
En
estas condiciones. cuando la copia
simple
o fotostática sea una reproducción del
original v esté autenticada
por
un funcionario con
fe
pública hacen igual
fe
gue
el
original,
lo
que encuentra apoyo,
en
lo
esencial,
en
la
jurisprudencia
de
la
anterior Cuarta
Sala
de
la
Suprema Corte
de
Justicia
de
la
Nación, publicada
en
el Semanario Judicial
de
la
Federación, Séptima
Época,
Volúmenes 181-186, Quinta
Parte,
página 69,
de
rubro: "COPIAS
FOTOSTATlCAS, VALOR PROBATORIO DE
LAS.
REQUISITO DE FORMA", que establece
que:
"No
se
le
puede conceder valor probatorio alguno a las pruebas documentales
fotostáticas cuando
son
objetadas según
lo
ordena el articulo 798
de
la
Ley Federal del
Trabajo vigente, si al ofrecerlas
no
se
cumple
con
los requisitos
de
forma,
como
son
el que
se
acompañen
de
su original; a falta
de
este último, el que se ofrezca su cotejo
con
su original; a
falla del citado cotejo,
el
gue la propia documental
fotostática
se
encuentre certificada
por
un funcionario con
fe
pública gue manifieste
haber
tenido
el
original
a la vista v gue
ambos concuerdan en
todas
sus
partes.
(sic)
De
los criterios anteriores, se tiene que las copias certificadas tienen valor probatorio
pleno siempre que su expedición se realice
con
base en
un
documento original o de otra
copia certificada expedida por un fedatario o funcionario público
en
el ejercicio de
su
encargo, con fe pública que manifieste haber tenido el original a
la
vista y que ambos
documentos concuerden
en
todas sus partes.
De acuerdo con
lo
señalado, resulta procedente conceder pleno valor probatorio sobre
su
contenido, a los documentos que,
en
copia certificada fueron agregados a los autos
del expediente
en
que se actúa, mismos que serán considerados en todas sus partes
para resolver
lo
que en derecho corresponda
en
el
presente caso.
Así, respecto a los oficios remitidos por
la
Secretaría de Relaciones Exteriores, agregados 1
al
expediente, se resalta que los mismos se toman
en
consideración como documentales
públicas
al
ser emitidos por servidores públicos
en
ejercicio de sus atribuciones y que se
entienden emitidos bajo los principios de legalidad y buena fe que establece
el
artículo
13
de
la
Ley Federal de Procedimiento Administrativ016
y,
por tanto, corresponden a
la
16
De
aplicación supletoria a la Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados,
en
términos de
lo
dispuesto
en
su articulo 9 y 195, fracción I de los Lineamentos Generales de Protección de Datos
Personales para
el
Sector Público.
58
Instituto Nacional de Trunspar('ocia,
,Acceso
a
l:t
lnfomlil.ción y
Protección de D¡ltos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARiA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
instrumental de actuaciones,
al
formar parte de las constancias que obran dentro del
presente expediente; mismo caso que el expediente de investigación previa con número
INAI.3S.08.01-020/2019,
el
cual forma parte del expediente
en
que se actúa como
antecedente y sustento del acuerdo de inicio de verificación.
Asimismo, se destaca que
la
instrumental de actuaciones se desahoga por su propia y
especial naturaleza, tal y como se señala en el criterio intitulado PRUEBAS
INSTRUMENTAL DE ACTUACIONES Y PRESUNCIONAL LEGAL y HUMANA. NO
TIENEN VIDA PROPIA
LAS17,
que refiere que las pruebas instrumental de actuaciones
y
la
presuncionallegal y humana, no tienen desahogo; es decir, que no tienen vida propia,
pues no es más que el nombre que en
la
práctica se ha dado a
la
totalidad de las pruebas
recabadas, por
lo
que respecta a
la
primera y por
lo
que corresponde a
la
segunda, éstas
se derivan de las mismas pruebas que existen en las constancias de autos.
En
términos de
lo
manifestado, se tiene que
la
instrumental de actuaciones se tiene por
desahogada por su propia y especial naturaleza, toda vez que hace prueba plena.
De
acuerdo a los elementos probatorios y diligencias descritas
en
el presente
considerando, se realizará el análisis de cumplimiento de principios y deberes
establecidos
en
la
Ley General de Protección de Datos Personales en Posesión de
Sujetos Obligados, de acuerdo
al
objeto y alcance
18
del procedimiento de verificación que
autorizó
el
Pleno de este Instituto mediante acuerdo número ACT-PUB/03/07/2019.05,
aprobado por unanimidad
el
tres de julio de dos mil diecinueve en sesión pública.
CUARTO.
En
relación con
lo
que se ha expuesto, es importante considerar que de
conformidad con
lo
señalado
en
el acuerdo
de
inicio del procedimiento de verificación,
emitido
el
tres de julio de dos mil diecinueve,
el
objeto
y alcance del procedimiento de
17
Tesis: XX. 305
K,
Semanan'o Judicial de
la
Federación, octava época, tribunales colegiados de circuito,
tomo
XV, (
enero de 1995, pág. 291, tesis aislada (común).
,a El
objeto
y
alcance
del procedimiento
de
verificación seguido en contra de la Secretaria de Relaciones Exteriores,
está dirigido a corroborar que cumpla con el
deber
de seguridad: así como. con el principio
de
responsabilidad, previstos
en la Ley General
de
Protección de Datos Personales en Posesión
de
Sujetos Obligados referidos en el acuerdo de
autorización de inicio de verificación aprobado por el Pleno
de
este Instituto el tres
de
julio
de
dos mil diecinueve,
derivado
de
la vulneración
de
seguridad reconocida
por
el sujeto obligado, la cual se dio tras un ataque cibernético a
la sección consular de la Embajada de México en la República
de
Guatemala. 59
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Jm:ututo Nacional de Transparencia,
Acceso a
la.
lnfo,mtlción r
Protcccíón de Datos PersonaJes DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
verificación seguido en contra del sujeto obligado se dirigió a verificar que
el
responsable
cumpla
con
el
deber de seguridad; así como,
con
el
principio de responsabilidad,
previstos
en
la
Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados, derivado de
la
vulneración de seguridad
la
cual se dio tras
un
ataque
cibernético a
la
sección consular de
la
Embajada de México en
la
República de
Guatemala.
Así, respecto a
la
obligación a cargo del sujeto obligado Secretaría de Relaciones
Exteriores relacionada con
la
observancia de los principios y
el
cumplimiento de los
deberes que prevé
la
Ley General de Protección de Datos Personales en Posesión de
Sujetos Obligados, deben confrontarse
en
el presente caso
el
contenido de las
actuaciones y constancias que obran tanto
en
el
expediente del procedimiento de
investigación previa INAI.3S.08.01-020/2019, como
en
el expediente de
la
verificación
INAI.3S.07.01-003/2019.
Lo
anterior,
con
el objeto de determinar
si
los presuntos incumplimientos atribuidos
al
sujeto obligado
en
el
acuerdo de inicio de verificación se actualizan
al
confrontarse
con
lo
dispuesto en
la
Ley General de Protección de Datos Personales
en
Posesión de
Sujetos Obligados, misma que
en
la
parte que interesa para el presente procedimiento,
prevé
lo
siguiente:
f.
.
.]
Artículo
1.
La
presente
Leyes
de
orden público y de observancia general
en
toda la República,
reglamentaria de los artículos
60.,
Base A y
16,
segundo párrafo, de
la
Constitución Política
de
los Estados Unidos Mexicanos, en materia
de
protección
de
datos personales en posesión
de
sujetos obligados.
Todas las disposiciones de esta Ley General, según corresponda, y
en
el ámbito
de
su
competencia, son
de
aplicación y observancia directa para los sujetos obligados
pertenecientes
al
orden federal.
El Instituto ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente
de
las otorgadas en las demás disposiciones aplicables.
60
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de
Tran~paréncía,
f\cceso a
la
Información y
Protección de
Dato~
PersOIl;¡les
DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
Tiene
por
objeto establecer las bases, principios y procedimientos para garantizar el derecho
que tiene toda persona a la protección de sus datos personales, en posesión
de
sujetos
obligados.
Son
sujetos obligados
por
esta Ley, en el ámbito federal, estatal y municipal, cualquier
autoridad, entidad, órgano y organismo
de
los Poderes Ejecutivo, Legislativo y Judicial,
órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
Los sindicatos y cualquier otra persona fisica o moral que reciba y ejerza recursos públicos o
realice actos
de
autoridad en el ámbito federal, estatal y municipal serán responsables
de
los
datos personales, de conformidad con
la
normatividad aplicable para
la
protección de datos
personales en posesión
de
los particulares.
En
todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las
personas flsicas y morales se sujetarán a lo previsto en la Ley Federal
de
Protección
de
Datos
Personales en Posesión de los Particulares.
[..}
Articulo
4. La presente Ley será aplicable a cualquier tratamiento
de
datos personales que
obren en soportes flsicos o electrónicos, con independencia
de
la
forma o modalidad de su
creación, tipo de soporte, procesamiento, almacenamiento y organización.
[..}
Articulo
6. El Estado garantizará la privacidad
de
los individuos y deberá velar porque terceras
personas no incurran en conductas que puedan afectarla arbitrariamente.
El derecho a
la
protección
de
los datos personales solamente se limitará
por
razones
de
seguridad nacional, en términos
de
la
ley en
la
materia, disposiciones
de
orden público,
seguridad y salud públicas o para proteger los derechos
de
terceros.
[..}
Articulo
8.
La
aplicación e interpretación
de
la
presente Ley se realizará conforme a lo {
dispuesto en la Constitución Política
de
los Estados Unidos Mexicanos, los Tratados
Internacionales
de
los que el Estado mexicano sea parte,
asl
como las resoluciones y
sentencias vinculantes que emitan los órganos nacionales e internacionales especializados,
favoreciendo en todo tiempo el derecho a
la
privacidad,
la
protección
de
datos personales y a
las personas
la
protección más amplia.
61
1nstituto Nacional de Transparencia,
Acceso a
ht
Información y
Protección de Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Para el caso de
la
interpretación, se podrán tomar en cuenta los criterios, determinaciones y
opiniones de los organismos nacionales e internacionales,
en
materia de protección de datos
personales.
r·.]
De
los artículos transcritos se advierte que:
• Todas las disposicíones contenidas
en
la
Ley General de Protección de Datos
Personales en Posesión
de
Sujetos Obligados, son de aplicación y observancia
directa para los sujetos obligados pertenecientes
al
orden federal.
•
El
Instituto ejercerá las atribuciones y facultades que
le
otorga
la
ley,
independientemente de las otorgadas en las demás disposiciones aplicables.
•
La
ley tiene por objeto establecer las bases, principios y procedimientos para
garantizar
el
derecho que tiene toda persona a
la
protección de sus datos
personales,
en
posesión de sujetos obligados y será aplicable a cualquier
tratamiento de datos personales que obren
en
soportes físicos o electrónicos, con
independencia de
la
forma o modalidad de
su
creación, tipo de soporte,
procesamiento, almacenamiento y organización.
•
La
aplicación e interpretación de
la
ley, se realizará conforme a
lo
dispuesto
en
la
Constitución Política de los Estados Unidos Mexicanos, los tratados internacionales;
así como, las resoluciones y sentencias vinculantes que emitan los órganos
nacionales e internacionales especializados, favoreciendo
en
todo tiempo
el
derecho a
la
privacidad,
la
protección de datos personales y a las personas
la
protección más amplia.
Así, en
el
presente como
en
todos aquellos casos
en
los que está involucrado
el
tratamiento de datos personales,
no
debe perderse de vista
la
obligación a cargo de los
sujetos obligados y/o responsables de observar los principios y deberes previstos
en
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados,
en
J
el
caso concreto, se destacan
el
principio de responsabilidad y
el
deber de seguridad que
'''1
fueron referidos en el acuerdo de inicio que originó el procedimiento de verificación
en
I
que se actúa.
62
Instituto Nacional
oc
Transparencia,
.-\cccso a
la
Información}'
Protección de Datos Personales
INSTITUTO
NACIONAL
DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN
GENERAL
DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN
DEL
SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
QUINTO. Al respecto, no debe pasar por alto que derivado del procedimiento de
investigación previa, se determinó que en el presente caso
se
acreditó
una
afectación
significativa
a
derechos
patrimoniales
y
morales
de
los
titulares,
puesto que con la
vulneración ocurrida, la cual fue reconocida por la Secretaría de Relaciones Exteriores,
se tuvo acceso y se realizó la copia no autorizada de datos personales relacionados con
bienes muebles e inmuebles; así como, con la vida privada de los titulares afectados.
Así, por relacionarse directamente con
lo
manifestado, se destaca que durante la
investigación previa la Secretaría de Relaciones Exteriores informó a este Instituto que
los titulares afectados son: 19 miembros del servicio exterior mexicano, 13 de las
agregadurías adscritas a la embajada, acreditadas en Guatemala; así como, sus
dependientes económicos, siendo
aproximadamente
70 el
número
de
titulares
afectados.
Asimismo, en términos de lo
expresado
por el sujeto obligado, el listado de
documentos
vulnerados es el siguiente:
a)
Copia de pasaporte diplomático.
b) Copia de carné diplomático.
c)
Copia de visa diplomática.
d) Copia de tarjeta de exención de IVA.
e) Número de placas.
f)
Franquicia menaje de casa.
g) Franquicia vehículo.
Lo anterior resulta relevante, dado que dichos documentos contienen datos personales.
Sobre el particular, no debe pasar por alto que la protección de los
datos
personales
se
encuentra prevista en la Constitución Política de los Estados Unidos Mexicanos, la cual
dispone en
la
fracción
11,
del artículo 6 que la información que se refiere a la vida privada {
y los datos personales será protegida en los términos y con las excepciones que fijen las
leyes.
Asimismo, en el artículo 16, segundo párrafo de
la
Constitución Política de los Estados
Unidos Mexicanos, se señala que toda persona tiene derecho a la protección de sus datos
63
Instituto Nacional de Trnnsparcncia,
Acceso a
la
Infonnación y
Protección
de
Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
personales,
al
acceso, rectificación y cancelación de los mismos; así como, a manifestar
su
oposición en los términos que fije la ley.
En
concordancia con lo señalado,
la
Ley Federal de Transparencia y Acceso a la
Información Pública establece lo siguiente:
f.
.
.]
Articulo
16.
Los
sujetos obligados serán responsables de los datos personales
y,
en
relación
con
éstos, deberán cumplir. con las obligaciones establecidas
en
las leyes
de
la
materia
yen
la
Ley General.
f.
..
]
Artículo
113.
Se
considera información confidencial:
l.
La
que contiene datos personales concernientes a
una
persona
f{sica
identificada o
identificable;
[
..
.]
La
información confidencial
no
estará sujeta a temporalidad alguna y
sólo
podrán tener
acceso a ella los titulares de la misma,
sus
representantes y los Servidores Públicos
facultados para ello.
f.
.
.]
De
acuerdo con los preceptos citados:
•
•
Los sujetos obligados son responsables de los datos personales que tratan,
considerándose información confidencial aquella
que
contiene
datos
personales
concernientes
a una
persona
física
identificada
o
identificable.
i
Sólo podrán tener acceso a la información confidencial sus titulares,. sus
representantes y los servidores públicos facultados.
En
seguimiento a lo anterior, los Lineamientos generales
en
materia de clasificación y
desclasificación de la información, así como para
la
elaboración de versiones públicas,
prevén
lo
siguiente:
64
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
lnstituro Nacional de 'l'ram;parcnciu,
Acceso a la
Infonnaóón
y
Prorcccíón de Datos Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
r·.]
TRIGÉSIMO
aCTA
va.
Se considera información confidencial:
l.
Los datos personales en los términos
de
la
norma aplicable;
r·.]
CUADRAGÉSIMO OCTAVO. Los documentos y expedientes clasificados como
confidenciales sólo podrán
ser
comunicados a terceros siempre y cuando exista disposición
legal expresa que lo justifique o cuando se cuente con el consentimiento del titular.
f.
..
]
En
términos de
lo
expuesto,
la
documentación y aquellos datos que se consideren
confidenciales conforme a
lo
dispuesto en
la
fracción
1,
del artículo 113 de
la
Ley Federal
de Transparencia y Acceso a
la
Información Pública, serán una limitante del derecho de
acceso a
la
información, siempre y cuando:
a)
Se trate de
datos
personales, esto es: información concerniente a una persona
fisica
que sea identificada o identificable.
b) Para
la
difusión de los datos personales se requerirá el
consentimiento
del
titular.
Asimismo,
la
Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados dispone
lo
siguiente:
f.
.
.]
ArtíCUlo 3. Para los efectos
de
la presente Ley se entenderá por:
r·.]
IX.
Datos
personales:
Cualquier información concerniente a una persona flsica identificada o
identificable. Se considera que una persona es identificable cuando su identidad pueda
determinarse directa o indirectamente a través
de
cualquier información;
65
{
Instituto Nacíanal de 'J'ransparencia,
Acceso a
la
Información y
Protección de Datos Personales
[.
..
]
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
XXXII/. Tratamiento: Cualquier operación o conjunto
de
operaciones efectuadas mediante
procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con
la obtención,
uso,
registro, organización, conservación, elaboración, utilización, comunicación,
difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación,
transferencia o disposición
de
datos personales.
[. .. ]
Artículo
16. El responsable deberá observar los principios
de
licitud, finalidad, lealtad,
consentimiento, calidad, proporcionalidad, información y responsabilidad
en
el tratamiento
de
datos personales.
{.
.
.]
Artículo
31.
Con independencia del tipo
de
sistema
en
el que
se
encuentren los datos
personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y
mantener las medidas
de
seguridad de carácter administrativo, fisico y técnico para
la
protección
de
los datos personales, que permitan protegerlos contra daño, pérdida, alteración,
destrucción o
su
uso, acceso o tratamiento no autorizado, as! como garantizar su
confidencialidad, integridad y disponibilidad.
[..}
De
los artículos transcritos, se desprende lo siguiente:
•
•
•
Por dato personal debe entenderse a cualquier información concerniente a una
persona física identificada o identificable, siendo identificable cuando su identidad
pueda determinarse directa o indirectamente a través de cualquier información.
El
tratamiento se refiere a cualquier operación o conjunto de operaciones
efectuadas mediante procedimientos manuales o automatizados, relacionadas,
entre otros, con
la
obtención, uso, registro, conservación, utilización, comunicación, 1
difusión, almacenamiento, posesión, manejo, aprovechamiento,
divulgación,
transferencia o disposición de datos personales.
Todo responsable se encuentra obligado a observar los principios rectores de
la
protección de datos personales; siendo éstos, los de licitud, finalidad, lealtad,
66
ln¡;tituto Nacional de Transparencia,
Acceso a la Inform,'lción y
Protección
de
Datos
Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
consentimiento, calidad, proporcionalidad, información y responsabilidad en el
tratamiento que realicen.
• Con independencia del tipo de sistema en el que se encuentren los datos personales
o
el
tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener
las medidas de seguridad de carácter administrativo, físico y técnico para
la
protección de datos personales, que permitan protegerlos contra daño, perdida,
alteración, destrucción de uso, acceso o tratamiento no autorizado, así como
garantizar
su
confidencialidad, integridad y disponibilidad.
Lo
anterior resulta relevante, dado que,
en
los documentos vulnerados identificados por
la
Secretaría de Relaciones Exteriores, obran datos personales entre los que se
destacan: matrícula consular,
domicilio
particular, fecha de nacimiento, clave
única
de
registro
de
población
y sexo. Por
lo
que, en el presente caso, resulta relevante tener
en
consideración las siguientes precisiones respecto de cada uno:
• Matrícula
consular.
Al respecto se destaca que el Reglamento de Matrícula Consular, tiene por objeto regular
la
inscripción
en
el registro consular de los mexicanos que residen
en
el exterior del
territorio nacional y
la
expedición del certificado de matrícula consular en las oficinas
consulares.
Asimismo, define
al
certificado de matrícula consular, como
el
documento de identidad
que expíde una oficina consular a favor de un connacional, para hacer constar que en
el
registro de mexicanos se encuentra matriculado por residir dentro de
su
circunscripción
ya
la
matrícula
consular
como
la
inscripción oficial de los mexicanos que residen en
el
exterior en
el
registro consular que obra en las oficinas consulares, cuyo contenido es
confidencial.
Así, puesto que
la
matrícula consular da cuenta de que un mexicano vive en el exterior,
haciendo identificable
el
lugar
en
el
que reside, se considera que se trata de
un
dato
confidencial
en
términos de
lo
dispuesto
en
el artículo 113, fracción I de
la
Ley Federal
de Transparencia y Acceso a
la
Información Pública.
67
(
Instituto Nacional de
Tran~parcncia,
Acceso n
la
Información y
Protección
de
Datos Personales
•
Domicilio
particular.
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
El
domicilio es
el
lugar
en
donde reside habitualmente una persona física
'9
, por
lo
que
constituye
un
dato personal confidencial,
ya
que incide directamente
en
su
privacidad y
su
difusión podría afectar
la
esfera privada de las mismas. Por tanto, debe protegerse
en
términos del artículo 113, fracción I de
la
Ley Federal de Transparencia y Acceso a
la
Información Pública.
• Fecha de nacimiento.
La
fecha de nacimiento es información concerniente a una persona física identificada o
identificable ya que
al
conocerla se revelaría
la
edad de
la
persona. Es decir, se trata de
un dato personal confidencial, en virtud de que
al
revelarse se afectaría
su
intimidad; por
lo
tanto, dicho dato es considerado de carácter confidencial,
en
términos de
lo
dispuesto
en
el artículo 113, fracción I de
la
Ley Federal de Transparencia y Acceso a
la
Información
Pública.
• Clave Única de
Registro
de Población.
La
Clave Única de Registro de Población, es
un
instrumento que sirve para registrar
en
forma individual a todos los habitantes de México, nacionales y extranjeros; así como, a
los mexicanos que radican en otros países, en los registros de personas de las
dependencias y entidades de
la
Administración Pública Federal
2o
.
Al respecto, resulta aplicable por analogía
el
criterio 18/17
21
emitido por el Pleno de este
Instituto,
en
términos del cual:
Clave Única de Registro de
Población
(CURP). La Clave Única
de
Registro de Población
se integra
por
datos personales que sólo conciernen al particular titular
de
la
misma, como
lo
son su nombre, apellidos, fecha de nacimiento, lugar
de
nacimiento y sexo. Dichos datos,
19
Articulo 29 del Código Civil Federal.
20
https://www.gob.mxfsegob/accjones-y-programas/claV8Runica-de-registro-de-poblacion-curp
21
http://criteriosdeinterpretacion.inai.org.mxJPages/results,aspx?k=curp 68
Instituto Nacional
de
Trunspafcncia,
Accc",o
:1.
la
Información
\'
Protección de Datos
Pcrs01{alcs
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
constituyen información que distingue plenamente a una persona física del resto
de
los
habitantes del pals,
por
lo que la CURP está considerada como información confidencial.
De
conformidad con
lo
señalado, resulta procedente considerar como confidencial
la
Clave Única de Registro de Población en términos de
la
fracción I del artículo 113 de
la
Ley Federal de Transparencia y Acceso a
la
Información Pública.
• Sexo.
El
sexo es
el
conjunto de características biológicas y fisiológicas que distinguen a los
hombres y las mujeres, por ejemplo, órganos reproductivos, cromosomas, hormonas,
etcétera. Por tanto, revelar
el
dato en comento
se
considera
un
dato personal
confidencial, en términos de
lo
dispuesto
en
el artículo 113, fracción I de
la
Ley Federal
de Transparencia y Acceso a
la
Información Pública.
Lo
anterior resulta relevante, puesto que deja ver que, dentro de los documentos
vulnerados identificados por
la
Secretaria de Relaciones Exteriores, obran datos
personales como los mencionados, los cuales se consideran información clasificada
como confidencial con fundamento
en
lo
dispuesto
en
el artículo 113, fracción I de
la
Ley
Federal de Transparencia y Acceso a
la
Información Pública.
Ahora bien, de acuerdo
con
lo
señalado por
la
Secretaría de Relaciones Exteriores,
dentro de
la
información objeto de
la
vulneración de seguridad,
se
encuentran franquicias
de vehículo y franquicias de menaje de casa; es decir, los datos personales que fueron
objeto de
la
vulneración comprenden información relacionada con los bienes muebles e
inmuebles
de los miembros del servicio exterior mexicano y de las agregadurias
adscritas a
la
embajada acreditadas
en
Guatemala, los cuales en términos de
lo
señalado
en
el
articulo 66 de los Lineamientos Generales de Protección de Datos Personales para
el
Sector Público, constituyen derechos patrimoniales.
Aunado a que tal y como
lo
precisó
en
sujeto obligado durante
el
procedimiento de
investigación, también las personas que residen con los miembros del servicio exterior
mexicano y de las agregadurías adscritas a
la
embajada acreditadas en Guatemala y son
69
{
Tnstituto Naciorut\
de
Tr:ltlsparcncia,
Acceso n
la
Información y
Protección de
Dat()~
Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
sus dependientes
económicos,
se vieron afectados
con
la
vulneración de seguridad,
haciendo factible su identificación.
Lo
anterior resulta relevante puesto que
la
identificación de los dependientes económicos
de los miembros del servicio exterior mexicano y de las agregadurías adscritas a
la
embajada acreditadas en Guatemala, dan cuenta de los
afectos
y
vida
privada de
dichas personas,
lo
que se traduce
en
una afectación a sus derechos morales.
En
este sentido, puesto que se afectaron de forma significativa los derechos patrimoniales
y morales de los titulares, se corroborará si previo y durante
la
vulneración de seguridad
ocurrida en
la
Embajada de México
en
la
República de Guatemala,
la
Secretaria de
Relaciones Exteriores dio cumplimiento
al
deber de seguridad y
al
principio de
responsabilidad, contemplados
en
la
Ley General de Protección de Datos Personales
en
Posesión
de
Sujetos Obligados, de acuerdo a los señalamientos contenidos
en
el
acuerdo
de
inicio de verificación.
En
relación con
lo
anterior, no debe pasar por alto
lo
manifestado por
la
Secretaría de
Relaciones Exteriores, respecto a que
la
vulneración de seguridad se dio tras un ataque
cibernético a
la
sección consular de
la
Embajada de México
en
la
República de
Guatemala y afectó los datos personales contenidos
en
uno de los equipos; por
lo
que a
continuación corresponde determinar
si
el sujeto obligado incumplió
lo
dispuesto en
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados, por
cuanto hace a los supuestos indicados
en
el
acuerdo de inicio de verificación.
De
esta manera, entre los deberes que
la
Secretaría de Relaciones Exteriores está
obligada a cumplir, se encuentra
el
referido
deber
de seguridad.
Sobre
el
particular,
la
Secretaría de Relaciones Exteriores durante el procedimiento de
verificación precisó que:
• Cuenta
con
una política de seguridad de datos personales
la
cual se encuentra
en
los documentos de seguridad para
la
protección de datos personales Secretaría de
Relaciones Exteriores, Dirección General de Protocolo y Dirección General de
Servicios Consulares, elaborados por dichas direcciones
en
colaboración con
la
70
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA DE PROTECCiÓN DE DATOS
PERSONALES
InstituLO
Naoon:J.I
de Transparencia.
¡\cceso a
la
Información y
Protección
de
Datos Per$onalcs DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Dirección General de Bienes Inmuebles y Recursos Materiales,
la
Dirección General
de Tecnologías de
la
Información e Innovación y
la
Unidad de Transparencia.
•
La
finalidad del "Anexo Técnico Especificaciones de Infraestructura y Equipamiento
Tecnológico 2017", es más amplia que
la
mera protección de datos personales, se
ocupa cabalmente de
la
salvaguarda de
la
información que
la
Secretaría de
Relaciones Exteriores transmite y recibe por los medios electrónicos que en dicho
documento
se
mencionan, incluyendo
los
datos personales y
biométricos
de los
usuarios y empleados.
Lo
anterior, toda vez que dispone el tipo de software y
hardware que
se
deberá ocupar en todas las instalaciones (dentro y fuera del
territorio nacional).
Ahora bien, previo
al
análisis de las manifestaciones realizadas por el sujeto obligado,
puesto que
la
vulneración de seguridad a
la
que
se
ha
hecho referencia ocurrió
en
la
Embajada de México en
la
República de Guatemala, se destaca
lo
dispuesto en
la
Ley
del Servicio Exterior Mexicano,
la
cual dispone
lo
siguiente:
f.
.
.]
ArtiCUlo 10.- El Servicio Exterior Mexicano es el cuerpo permanente
de
servidores públicos,
miembros del personal diplomático del Estado, encargado espec/fícamente
de
representarlo
en
el extranjero, responsable
de
ejecutar
la
política exterior de México, de conformidad con
los principios normativos que establece
la
Constitución Polltica
de
los Estados Unidos
Mexicanos.
El
Servicio
Exterior
depende
del
Ejecutivo Federal. Su dirección y
administración
están
a cargo de la Secretaria de Relaciones Exteriores,
en
lo sucesivo denominada
la
SecretarIa, conforme a
lo
dispuesto
por
la Ley Orgánica de
la
Administración Pública Federal
y a los lineamientos
de
política exterior que señale el Presidente de
la
República,
de
conformidad con las facultades que le confiere
la
propia Constitución.
f.
.
.]
Articulo
16.-
La
SecretarIa determinará
la
composición y funciones de las delegaciones que
representen a México
en
conferencias y reuniones Internacionales. Durante el desempeño de
su comisión, los integrantes
de
las delegaciones se ajustarán a las instrucciones espec/fícas
que imparta la SecretarIa. Cuando
la
delegación tenga una misión especifica que afecte
la
71
{
I nstiruw Nacional de Transparencia.
Acceso a
la
Información y
Protección
de
D"tos Pcrsomks
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
esfera
de
competencia de otra dependencia
de
la
Administración Pública Federal, la
Secretaria deberá escuchar, atender y asesorar a
la
dependencia que corresponda para
la
integración e instrucciones
de
la
delegación.
Todos los servidores públicos que se encuentren en el extranjero con representación o
comisión oficial, deberán informar sobre su arribo a los Jefes
de
Misión o de las
Representaciones Consulares, según sea el caso, asl como sobre sus actividades y atender
sus observaciones
en
calidad de representantes del Estado mexicano.
{.
. .]
Artículo
41.- Los servidores públicos del Servicio Exterior observarán en el desempeño
de
su
empleo, cargo o comisión, los principios
de
disciplina, legalidad, objetividad, profesionalismo,
honradez, lealtad, imparcialidad, integridad, rendición
de
cuentas, eficacia y eficiencia que
rigen el servicio público. Para
la
efectiva aplicación
de
dichos principios, los servidores
públicos observarán las disposiciones establecidas
en
la
presente Ley y las directrices
previstas en
la
Ley General
de
Responsabilidades Administrativas.
Para garantizar el derecho
de
acceso a
la
información pública, los Miembros del Servicio
Exterior, en el ejercicio
de
sus funciones, deberán observar los principios establecidos
en
la
Constitución Política
de
los Estados Unidos Mexicanos, los tratados internacionales
de
los que
el Estado mexicano
sea
parte y las leyes aplicables en materia
de
transparencia y acceso a
la
información pública.
Artículo
42.- Los Miembros del Servicio Exterior deberán guardar discreción absoluta acerca
de
los asuntos que conozcan con motivo
de
su desempeño oficial. Esta obligación subsistirá
aún después de abandonar el Servicio Exterior, cuando se trate de asuntos cuya divulgación
pudiera causar perjuicio a los intereses nacionales.
{..]
De los artículos transcritos
se
advierte
lo
siguiente:
•
El
servicio exterior (cuerpo permanente de servidores públicos, miembros del
personal diplomático del Estado, encargado específicamente de representarlo
en
el
extranjero, responsable de ejecutar
la
política exterior de México), depende del
Ejecutivo Federal, estando
su
dirección y administración a cargo de
la
Secretaría
de Relaciones Exteriores.
72
Instituto Nacíonal
de
Trnt1$patcndr¡,
Acceso a
la
Información y
Protección de
Dato~
Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• Todos los servidores públicos que se encuentren en el extranjero
con
representación o comisión oficial, deberán informar sobre su arribo a los jefes de
misión o de las representaciones consulares, según sea
el
caso; así como, sobre
sus actividades.
• Los servidores públicos del Servicio Exterior observarán
en
el desempeño de
su
empleo, cargo o comisión, los principios de disciplina, legalidad, objetividad,
profesionalismo, honradez, lealtad, imparcialidad, integridad, rendición de cuentas,
eficacia y eficiencia que rigen
el
servicio público.
En
el
presente asunto se considera que resulta relevante
lo
transcrito, puesto que es
la
Secretaría de Relaciones Exteriores
la
responsable de los datos personales en posesión
de las representaciones
en
el exterior,
al
tratarse de unidades administrativas que
le
están adscritas y cumplen
con
funciones propias de política exterior, asignadas
originalmente a dicha dependencia del Ejecutivo Federal.
Ahora bien, no debe pasar por alto que las medidas de seguridad referidas
en
la
Ley
General de Protección de Datos Personales en Posesión de Sujetos Obligados y en los
Lineamientos Generales de Protección de Datos Personales para el Sector Público,
constituyen mínimos exigibles, de ahi que los sujetos obligados puedan adoptar las
medidas adicionales que estimen necesarias para brindar mayores garantías en
la
protección de los datos personales
en
su
posesión.
Sobre el deber de seguridad que nos ocupa,
la
Ley General de Protección de Datos
Personales
en
Posesión de Sujetos Obligados establece
lo
siguiente:
r·.]
Articulo
29. El responsable deberá implementar los mecanismos previstos
en
el articulo 30
de
la
presente Ley para
acreditar
el
cumplimiento
de
los
principios,
deberes y
obligaciones
establecidos
en la
presente
Ley
y rendir cuentas sobre el tratamiento
de
datos
personales
en
su posesión al titular e Instituto o a los Organismos garantes, según {
corresponda, caso
en
el cual deberá observar
la
Constitución y los Tratados Internacionales
en
los que el Estado mexicano sea parte;
en
lo que
no
se
contraponga con
la
normativa
mexicana podrá valerse de estándares o mejores prácticas nacionales o internacionales para
tales
fines.
73
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de
Transparencia,
Acceso
a
la
Infonnacitm
y
Protección de Datos. Personajes DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
[. ,,]
Artículo 31. Con independencia del tipo
de
sistema en el que se encuentren los datos
personales o el tipo
de
tratamiento que se efectúe, el responsable deberá establecer y
mantener las medidas
de
seguridad de carácter administrativo, físico y técnico para
la
protección
de
los datos personales, que permitan protegerlos contra daño, pérdida, alteración,
destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su
confidencialidad, integridad y disponibilidad.
Artículo 32. Las medidas de seguridad adoptadas
por
el responsable deberán considerar:
l.
El riesgo inherente a los datos personales tratados;
11.
La sensibilidad de los datos personales tratados;
111.
El desarrollo tecnológico;
IV.
Las posibles consecuencias
de
una vulneración para los titulares;
V.
Las transferencias
de
datos personales que se realicen;
VI.
El número de titulares;
VII.
Las vulneraciones previas ocurridas en los sistemas
de
tratamiento, y
VIII.
El riesgo
por
el valor potencial cuantitativo o cualitativo que pudieran tener los datos
personales tratados para una tercera persona no autorizada para su posesión.
Artículo 33. Para establecer y mantener las medidas
de
seguridad para
la
protección
de
los
datos personales,
el
responsable deberá realizar, al menos, las siguientes actividades
interrelacionadas:
l.
Crear pollticas internas para la gestión y tratamiento de los datos personales, que tomen en
cuenta
el
contexto
en
el que ocurren los tratamientos y el ciclo
de
vida
de
los datos personales,
es decir, su obtención, uso y posterior supresión;
11.
Definir las funciones y obligaciones del personal involucrado
en
el
tratamiento
de
datos
personales;
111.
Elaborar un inventario
de
datos personales y
de
los sistemas
de
tratamiento;
IV.
Realizar un análisis de riesgo de los datos personales, considerando las amenazas y
vulnerabilidades existentes para los datos personales y los recursos involucrados en su
tratamiento, como pueden ser,
de
manera enunciativa más no limitativa, hardware, software,
personal del responsable, entre otros;
V.
Realizar un análisis de brecha, comparando las medidas
de
seguridad existentes contra las
faltantes en la organización del responsable;
VI.
Elaborar un plan
de
trabajo para
la
implementación
de
las medidas
de
seguridad faltantes,
asl
como las medidas para el cumplimiento cotidiano
de
las pollticas
de
gestión y tratamiento
de
los datos personales;
74
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACIÓN Y PROTECCIÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCIÓN
DE
DATOS
PERSONALES
Instituto Nacional de Tr.msparcncia,
l\CCCSO
a
l:t
Infonnad6n y
Protección
de
Datos Personales DIRECCIÓN GENERAL DE
INVESTIGACIÓN Y VERIFICACIÓN
PÚBLICO
EVALUACIÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
VII.
Monitorear y revisar de manera periódica las medidas de seguridad implementadas, asf
como las amenazas y vulneraciones a las que están sujetos los datos personales, y
VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando,
dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos
personales,
Artículo
34. Las acciones relacionadas con las medidas de seguridad para el tratamiento de
los datos personales deberán estar documentadas y contenidas en
un
sistema de gestión,
Se entenderá
por
sistema de gestión
al
conjunto de elementos y actividades interrelacionadas
para establecer, implementar, operar, monitorear, revisar,
mantenery
mejorar
el
tratamiento y
seguridad de los datos personales, de conformidad con
lo
previsto en
la
presente
Ley
y las
demás disposiciones que le resulten aplicables en
la
materia,
Artículo
35. De manera particular, el responsable deberá elaborar un documento de seguridad
que contenga,
al
menos, lo siguiente:
l.
El inventario de datos personales y de los sistemas de tratamiento;
11.
Las funciones y obligaciones de las personas que traten datos personales;
111.
El análisis de riesgos;
IV. El análisis de brecha;
V.
El plan de trabajo;
VI.
Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
VII.
El programa general de capacitación,
Artículo
36. El responsable deberá actualizar
el
documento de seguridad cuando ocurran los
siguientes eventos:
l. Se produzcan modificaciones sustanciales
al
tratamiento de datos personales que deriven
en un cambio en el nivel de riesgo;
11.
Como resultado de
un
proceso de mejora continua, derivado del monitoreo y revisión del
sistema de gestión;
111.
Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a
la
seguridad ocurrida, y
IV. Implementación de acciones correctivas y preventivas ante una vulneración de seguridad,
Artículo
37.
En
caso de que ocurra una vulneración a
la
seguridad, el responsable deberá f
analizar las causas
por
las cuales
se
presentó e implementar en su plan de trabajo las acciones
preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos
personales
si
fuese el caso a efecto de evitar que la vulneración
se
repita,
75
Instituto Nacional de Transparencia,
Acceso a
la
lnformación y
Protccóón
de-
Datos Personales
f.
.
.]
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
En
relación con
lo
anterior, en los Lineamientos Generales de Protección de Datos
Personales para
el
Sector Público se establece
lo
siguiente:
f.
.
.]
Artículo
46. El responsable deberá adoptar políticas e implementar mecanismos para
asegurar y acreditar el cumplimiento
de
los principios, deberes y demás obligaciones
establecidas en la Ley General y los presentes Lineamientos generales; asf como establecer
aquellos mecanismos necesarios para evidenciar dicho cumplimiento ante los titulares y el
Instituto.
[
..
.]
Artículo
55. El responsable deberá establecer y mantener medidas
de
seguridad
de
carácter
administrativo, flsico y técnico para
la
protección de los datos personales en su posesión de
conformidad con lo previsto en los arifculos
31,
32 Y 33
de
la
Ley general, con el objeto
de
impedir, que cualquier tratamiento de datos personales contravenga las disposiciones
de
dicho
ordenamiento y los presentes Lineamientos generales,
Las medidas
de
seguridad a las que se refiere el párrafo anterior constituyen mlnimos
exigibles,
por
lo que el responsable podrá adoptar las medidas adicionales que estime
necesarias para brindar mayores garantías
en
la protección de los datos personales en su
posesión.
[. . .]
Asi, para que pueda considerarse que los sujetos obligados cumplen con
el
deber de
seguridad deben,
al
menos:
•
•
Establecer y mantener las medidas de seguridad de carácter administrativo, fisico y
técnico para
la
protección de los datos personales, que permitan protegerlos contra {
daño, pérdida, alteración, destrucción o
su
uso, acceso o tratamiento no autorizado; \
así como, garantizar
su
confidencialidad, integridad y disponibilidad,
Al adoptar medidas de seguridad, considerar: el riesgo inherente a los datos
personales tratados,
el
desarrollo tecnológico,
la
sensibilidad de los datos
76
Instituto Nacional de Transparencia,
Acceso
ala
Información y
Protección de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
personales tratados, las posibles consecuencias de una vulneración para los
titulares, el número de titulares.
• Contar con un sistema de gestión,
en
el
que se documenten y contengan las
medidas de seguridad para el tratamiento de los datos personales.
• Elaborar un
documento
de
seguridad
que contenga:
El
inventario de datos personales y de los sistemas de tratamiento.
Las funciones y obligaciones de las personas que traten datos personales.
El
análisis de riesgos.
El
análisis de brecha.
El
plan de trabajo.
Los mecanismos de monitoreo y revisión de las medidas de seguridad.
El
programa general de capacitación.
Lo
anterior resulta relevante
en
el presente asunto, dado que, durante el procedimiento
de investigación previa,
la
Embajada de México
en
la
República de Guatemala22 destacó
que
no
cuenta
con
política o
programa
de
seguridad
de
datos
personales,
ni
ha
recibido
algún
lineamiento
de la Secretaría de Relaciones
Exteriores
al respecto.
Ahora bien,
en
el
desahogo
al
requerimiento de información formulado
al
sujeto obligado
durante el procedimiento de verificación,
la
Secretaría de Relaciones Exteriores precisó
que:
•
•
La
política de seguridad de datos personales se encuentra en los documentos de
seguridad para
la
protección de datos personales Secretaría de Relaciones
Exteriores, Dirección General de Protocolo y Dirección General de Servicios
Consulares, elaborados por dichas direcciones en colaboración con
la
Dirección
General de Bienes Inmuebles y Recursos Materiales,
la
Dirección General de
Tecnologías de
la
Información e Innovación y
la
Unidad de Transparencia.
Los documentos de seguridad para
la
protección de datos personales
son
de
uso
común
para
cualquier
representación.
22 Correo electrónico del veintiocho de mayo de dos mil diecinueve, remitido por
el
embajador de México en la República
de Guatemala a la Dirección General de Asuntos Juridicos de la Secretaria de Relaciones Exteriores, 77
{
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Institulo Nacional de Transparencia,
Acceso
a la InforrTtlción y
Protección de
Dato~
Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• No
se
cuenta
con
el
soporte
documental
de
cuándo
y
cómo
se
habrian
hecho
del
conocimiento
de
la Embajada de
México
en la República de Guatemala.
Así, por cuanto hace
al
contenido de dichos documentos de seguridad, se destaca que
los mismos se hicieron del conocimiento de este Instituto durante el procedimiento de
investigación, sobre
el
particular,
en
el acuerdo de inicio de procedimiento de verificación
emitido el tres de julio de dos mil diecinueve, se manifestó lo siguiente:
f..]
Ahora bien,
no
pasa inadvertido que
la
Secretaría
de
Relaciones Exteriores remitió los que
indicó son el:
• Documento de seguridad para
la
protección
de
datos personales Secretaría
de
Relaciones Exteriores, Dirección General
de
Protocolo elaborado
por
dicha direccíón en
colaboración con
la
Dirección General
de
Bienes Inmuebles y Recursos Materiales,
la
Dirección General
de
Tecnologías
de
la
Información e Innovación y
la
Unidad
de
Transparencia.
• Documento de seguridad para
la
protección de datos personales Secretaría
de
Relaciones Exteriores, Dirección General
de
Servicios Consulares elaborado
por
dicha
dirección en colaboración con
la
Dirección General
de
Bienes Inmuebles y Recursos
Materiales,
la
Dirección General
de
Tecnologías
de
la
Información e Innovación y
la
Unidad
de
Transparencia.
r·]
Ahora, toda vez que con la vulneración de seguridad que sufrió la Secretaria de
Relaciones Exteriores, derivada de
un
ataque cibernético a la sección consular de
la
Embajada de México en la República de Guatemala, se sustrajo sin autorización
información de un equipo de cómputo que resguardaba, entre otra información, datos
personales de miembros del servicio exterior mexicano, de las agregadurias adscritas a
la embajada acreditadas
en
Guatemala y de los dependientes económicos que residen 1
con ellos, y que en los documentos de seguridad señalados se describen los trámites
relacionados con los documentos diplomáticos que se vieron afectados, se considera
que los mismos deben ser analizados.
78
Instituto Nacional de Transparencia,
Acceso a
i:l.
lnfonnación y
Prorección de Datos Pcrson'a]cs
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Al respecto, de
la
revisión del documento de seguridad para
/a
protección
de
datos
personales Secretaría
de
RelaGÍones Exteriores, DirecGÍón General de Servicios
Consulares y del documento
de
seguridad para
la
protección de datos personales
Secretaría de Relaciones Exteriores, Dirección General
de
Protocolo, se advierte que
en
los mismos se consideró:
•
El
inventario de datos personales y de los sistemas de tratamiento.
• Las funciones y obligaciones de las personas que traten datos personales.
•
El
análisis de riesgos.
•
El
análisis de brecha.
•
El
plan de trabajo.
• Los mecanismos de monitoreo y revisión de las medidas de seguridad.
En
relación con
lo
descrito y por cuanto hace a
la
emisión de los documentos de
seguridad,
la
Secretaría de Relaciones Exteriores precisó que
el
Comité de
Transparencia
no
está facultado para aprobar dichos documentos.
Ahora bien, no debe pasar por alto que las acciones relacionadas con las medidas de
seguridad para
el
tratamiento de los datos personales, deberán estar documentadas y
contenidas en un sistema de gestión,
el
cual será
el
conjunto de elementos y actividades
interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar
el
tratamiento y seguridad de los datos personales23 •
Asi, dentro del sistema de gestión de seguridad se contemplan los documentos
de
seguridad, los cuales deberán ser elaborados por los responsables24 , entendiéndose por
documento de seguridad el instrumento que describe y da cuenta de manera general
sobre
las
medidas
de
seguridad
técnicas,
físicas
y
administrativas
adoptadas
por
el
responsable
para
garantizar
la
confidencialidad,
integridad
y
disponibilidad
de
los
datos
personales
que
posee
25.
23
Articulo 34 de
la
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
24 Articulo 35 de
la
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
25 Articulo 3, fracción XIV de
la
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
79
{
r nstiluto Nacional de Transparencia,
Acceso a
la
Infonnación y
Protccdón de Datos Personales
INSTITUTO
NACIONAL
DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
De lo anterior se advierte que
la
esencia o principal función de los documentos de
seguridad es garantizar
la
confidencialidad, integridad y disponibilidad de los datos
personales que poseen los sujetos obligados. Hecho que resulta relevante, si se
considera que el Comité de Transparencia es
la
autoridad máxima en materia de
protección de datos personales26, encargado de realizar las acciones necesarias para
garantizar el derecho a la protección de los datos personales27 ; así como, supervisar el
cumplimiento de las medidas, controles y acciones previstas en el documento de
seguridad
28
•
Lo señalado resulta relevante puesto que, si bien
la
Secretaria de Relaciones Exteriores
cuenta con una política de seguridad de datos personales y con los documentos
mencionados, contrario a
lo
que manifestó, su Comité de Transparencia al ser
la
autoridad
máxima
en
materia
de
protección
de
datos
personales,
encargado
de
realizar
las
acciones
necesarias
para
garantizar
el
derecho
a la
protección
de
los
datos
personales
y
responsable
de
supervisar
el
cumplimiento
del
documento
de
seguridad,
debió aprobar los documentos de seguridad mencionados.
Asimismo, no pasa por alto que la Secretaria de Relaciones Exteriores informó que
no
se
cuenta
con
el
soporte
documental
de
cuándo
y
cómo
se
habrian
hecho
del
conocimiento
de
la
Embajada
de
México
en la
República
de
Guatemala, las
políticas
y
los
documentos
de
seguridad,
relacionados con el sistema de gestión de
datos personales contenidos en el equipo informático vulnerado.
Sobre el particular, se destaca lo manifestado por la
Dirección
General de
Servicios
Consulares
de
la
Secretaria de Relaciones Exteriores, durante el procedimiento de
verificación:
•
El
documento de seguridad correspondiente a esta dirección general abarca los
temas de seguridad que aplicarán para los sistemas con los que se opera la emisión
de los servicios consulares, toda vez que las solicitudes son atendidas a través de
una plataforma informática, la cual alberga de manera central toda
la
información
26 Articulo 83 de la Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados.
27 Articulo 84, fracción I de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
28
Articulo 84, fracción V de la Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados. 80
Instituto N
Jc
Transparencia,
Acccm
ala
informac.ión v
Protección
de
Datos Pcrson:tlcs
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
recabada y es administrada por
la
Dirección General de Tecnologías de Información
e Innovación, motivo por el cual
el
documento no fue remitido a las oficinas
consulares.
• Toda
la
información concerniente a
la
prestación de servicios consulares está
almacenada únicamente
en
el
Sistema Integral de Administración Consular el cual,
si bien es alimentado con información proveniente de las oficinas consulares,
su
almacenamiento está centralizado en los servidores de
la
Secretaría de Relaciones
Exteriores, a cargo de
la
Dirección General de Tecnologías de Información e
Innovación.
• Las oficinas consulares de México tienen
la
instrucción de utilizar exclusivamente
este sistema, por
lo
que ninguna información referente a cualquier trámite consular,
debe ser albergada de manera local por alguna oficina consular
ni
ser expuesta a
redes externas a través de otros mecanismos.
No obstante
lo
señalado por
la
Dirección
General de
Servicios
Consulares,
en
el
documento
de
seguridad para
la
protección
de
datos personales Secretaría
de
Relaciones Exteriores, Dirección General
de
Servicios Consulares, se precisa que
en
las
oficinas
consulares:
•
El
titular
en
turno
es el principal responsable de
la
prestación del servicio y emisión
de documentos consulares.
•
El
cónsul
adscrito
es el segundo responsable en
la
oficina consular, encargado de
la
misma
en
ausencia del titular, responsable en
la
prestación y correcta emisión de
los documentos consulares.
• Los
cónsules
que
realizan tareas de
documentación
se tratan de funcionarios
con responsabilidades asignadas por
el
titular para
la
prestación y emisión del
documento consular.
•
El
personal local es
el
apoyo contratado para
la
recepción y procesamiento de los
documentos requeridos al solicitante.
De acuerdo con
lo
señalado, aún y cuando las solicitudes son atendidas a través de una f
plataforma informática y
la
información concerniente a
la
prestación de servicios ,
consulares está almacenada únicamente
en
el Sistema Integral de Administración
Consular, cada uno de los servidores públicos mencionados,
los
cuales se
encuentran
81
fnstituto Nacional de Transparencia,
Accesü a
la
Información y
Protección de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
en las
oficinas
consulares, tienen relación directa
con
la utilización, actualización
y manejo de
los
datos
personales
que
correspondan
a cada
uno
de
los
trámites,
por
lo
que debieron conocer los documentos de seguridad.
Así, si bien
la
Secretaría de Relaciones Exteriores tiene una política de seguridad
la
cual
está contemplada
en
documentos de seguridad como los descritos, los mismos
no
se
hicieron
del
conocimiento
de
la
Embajada de México en
la
República de Guatemala,
por
lo
que
en
el presente caso se estima que no se cuentan con elementos que permitan
a este Instituto desvirtuar
la
manifestación que realizó dicha representación,
en
el
sentido
de que
al
momento de
la
vulneración de seguridad
no
contaba
con
política o
programa
de
seguridad
de
datos
personales, ni había recíbido
algún
lineamiento
de la
Secretaría de Relaciones Exteriores al respecto.
Ahora, durante el procedimiento de investigación
la
Embajada de México
en
la
República
de Guatemala destacó que,
si
bien no cuenta con política o programa de seguridad de
datos personales,
ni
ha
recibido algún lineamiento de
la
Secretaría de Relaciones
Exteriores
al
respecto, ha implementado las recomendaciones de seguridad establecidas
por
la
Dirección General de Tecnologías de Información e Innovación
en
el "Anexo
Técnico Especificaciones de Infraestructura y Equipamiento Tecnológico 2017".
En
relación con
lo
anterior,
el
sujeto obligado
al
realizar sus manifestaciones
en
el
procedimiento de verificación, puntualizó
lo
siguiente:
•
La
finalidad del "Anexo Técnico Especificaciones de Infraestructura y Equipamiento
Tecnológico 2017", es más amplia que
la
mera protección de datos personales, se
ocupa cabalmente de
la
salvaguarda de
la
información que
la
Secretaría de
Relaciones Exteríores transmite y recibe por los medios electrónicos que
en
dicho
documento se mencionan, incluyendo
los
datos
personales y
biométricos
de los
usuarios y empleados.
Lo
anterior, toda vez que dispone el tipo de software y
hardware que se deberá ocupar
en
todas las instalaciones (dentro y fuera del
.{
territorio nacional).
Asimismo,
la
Dirección
General de Tecnologías de
Información
e
Innovación
de
la
Secretaría de Relaciones Exteriores, indicó que:
82
Instituto Nacional de Transparencia,
Acceso a
la
Información y
Protección
de.
Datos: Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
•
En
la
elaboración y aprobación del "Anexo Técnico Especificaciones de
Infraestructura y Equipamiento Tecnológico 2017' no intervino el Comité de
Transparencia de
la
Secretaría de Relaciones Exteriores.
•
El
"Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico
2017', es
un
documento elaborado por las áreas técnicas que conformaban
la
Dirección General de Tecnologías de Información e Innovación en dos mil
diecisiete, que tuvo por objeto apoyar a las representaciones de México en
el
exterior,
en
el proceso de recopilación de cotizaciones para
la
adquisición,
arrendamiento y contratación de servicios informáticos para
su
operación en calidad
de áreas requirentes,
en
igualdad de condiciones bajo las características técnicas
que permitieran definir una configuración tecnológica básica del equipamiento
informático y de comunicaciones, considerando las condiciones de mercado
aplicables
en
cada país.
•
En
el
numeral 5 "Seguridad" del "Anexo Técnico Especificaciones de Infraestructura
y Equipamiento Tecnológico 2017', se establecen una serie de recomendaciones
de equipamiento, servicios y software para reducir los niveles de exposición
al
riesgo de
la
infraestructura
de
tecnologías de
la
información, encaminadas a
resguardar y proteger
la
información de las representaciones de México
en
el
exterior, considerando los principios de seguridad de
la
información, como es
la
integridad, disponibilidad y confidencialidad.
•
El
"Anexo Técnico Especificaciones de Infraestructura y Equipamiento Tecnológico
2017' fue hecho del conocimiento de las Representaciones de México
en
el
Exterior
mediante correo electrónico TIN034 de diez de febrero de dos mil diecisiete.
Así,
en
el presente caso
se
estima que
la
manifestación del sujeto obligado sobre
la
finalidad del "Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento
Tecnológico 2017', resulta ilustrativa,
ya
que señaló que es más amplia que
la
mera
protección de datos personales.
Tal y como se
ha
precisado, una de las obligaciones de los responsables contemplada
en
la
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados,
es
la
elaboración de
un
documento de seguridad en
el
que se den cuenta sobre las
medidas de seguridad técnicas, físicas y administrativas adoptadas por
el
responsable
83
{
[nstituto Nacion::tl
de
Tmmparendu,
Acceso a
la
Información y
Protección
de
Datos
Pcrsonalés
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
para garantizar la confidencialidad, integridad y disponibilidad de los datos personales
que posee, de lo que se advierte que una de sus finalidades es
justamente
la
protección
de
datos
personales; es decir, los documentos de seguridad están hechos
principalmente
para
proteger
datos
personales.
El
hecho de que la finalidad del "Anexo Técnico Especificaciones
de
Infraestructura y
Equipamiento Tecnológico 2017", sea más amplia que la mera protección de datos
personales y tenga por objeto apoyar a las representaciones de México
en
el
exterior,
en
el
proceso de recopilación de cotizaciones para
la
adquisición, arrendamiento y
contratación de servicios informáticos para
su
operación
en
calidad de áreas requirentes,
en
igualdad de condiciones bajo las características técnicas que permitieran definir una
configuración tecnológica básica del equipamiento informático y de comunicaciones,
considerando las condiciones de mercado aplicables
en
cada país, hace que
el
mismo
no
pueda
ser
considerado
como
documento
de
seguridad.
En
relación con lo señalado, no debe pasar desapercibido que aún y cuando
el
numeral
5 "Seguridad" del "Anexo Técnico Especificaciones de Infraestructura y Equipamiento
Tecnológico 2017",
se
establecen una serie de recomendaciones encaminadas a
resguardar y proteger la información de las representaciones de México
en
el
exterior, ní
en
el
numeral
5,
ni
en
los
demás
numerales del anexo,
se
contemplan
los
requisitos
minimos
establecidos
en el
articulo
35
de la Ley General
de
Protección
de Datos
Personales en
Posesión
de Sujetos Obligados.
Lo
anterior resulta relevante,
al
considerar que la vulneración de seguridad se dio
derivada de
un
ataque cibernético a la sección consular de la Embajada de México
en
la
República de Guatemala, por
lo
que resultaba fundamental que las medidas técnicas de
seguridad con que contaba el sujeto obligado
al
momento de la vulneración, consideraran
el
inventario de datos personales y
el
de los sistemas de tratamiento, las funciones y
obligaciones de las personas que tratan datos personales,
el
análisis de riesgos,
el
análisis de brecha, el plan de trabajo, los mecanismos de monitoreo y revisión de las {
medidas de seguridad; así como, el programa general de capacitación
en
materia de
datos personales.
84
Instituto Nacional
de
'l'tansparencia,
Acceso a
la
Información y
Protección de
DaW$
Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.0? .01-003/2019
Así, si bien
la
Embajada de México en
la
República de Guatemala conoce y
ha
implementado las recomendaciones de seguridad establecidas por la Dirección General
de Tecnologías de Información e Innovación en el "Anexo Técnico Especificaciones
de
Infraestructura y Equipamiento Tecnológico 2017',
en
el
presente caso se estima que no
se cuentan con elementos que permitan a este Instituto desvirtuar la manifestación que
realizó dicha representación,
en
el
sentido de que previo a
la
vulneración de seguridad
no
contaba
con
política
o
programa
de
seguridad
de
datos
personales,
ni
habia
recibido
algún
lineamiento
de
la Secretaría
de
Relaciones
Exteriores
al respecto.
Ahora bien, por relacionarse directamente con lo señalado,
en
el presente caso no debe
perderse de vista lo dispuesto
en
la Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados29, en relación con la
obligación
de
los
responsables,
en caso de
que
ocurra
una
vulneración
a la
seguridad,
de
informar
a
los
titulares,
la
siguiente información:
• La naturaleza del incidente.
• Los datos personales comprometidos.
• Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para
proteger sus intereses.
• Las acciones correctivas realizadas de forma inmediata.
• Los medios donde puede obtener más información al respecto.
Así, la Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados
establece como una
obligación
del responsable,
hacer
del
conocimiento
de
los
titulares
de
los
datos
personales
gue
ocurrió
una
vulneración
a la
seguridad.
Lo anterior resulta relevante,
al
considerar que
en
el acuerdo de inicio de procedimiento
de verificación emitido el tres de julio de dos mil diecinueve, se manifestó lo siguiente:
f.
.
.]
Asimismo, se omitió hacer del conocimiento de la totalidad
de
los titulares de los datos
personales objeto
de
la
vulneración
de
seguridad (funcionarios del servicio exterior mexicano,
29
Artículo
41
de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
85
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de Transparencia,
Acceso
a
la
lnfonTI;1Ción
y
Protección de Datos, Personales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
de
sus dependientes económicos;
asi
como,
de
agregados
de
distintas dependencias que
estuvieron
adscritos
y que ya
concluyeron
su
comisión
en Guatemala), el incidente, las
recomendaciones; asi como, el medio puesto a
su
disposición para obtener mayor información
al respecto.
Aunado a
lo
anterior,
si
bien el sujeto obligado refiere que se dejó a consideración
de
la
Dirección General de Asuntos Juridicos hacer del conocimiento de los titulares
de
los datos
personales objeto de
la
vulneración
de
seguridad que estuvieron
adscritos
y que ya
concluyeron
su
comisión
en Guatemala,
no
existe constancia
en
el expediente de
investigación previa que nos ocupa,
de
que los mismos hubieren sido notificados, aunado a
que se considera que el hecho
de
que los documentos perdieran vigencia no es causa
suficiente para no informar a
la
totalidad
de
los titulares, puesto que sus datos personales se
vieron afectados.
r·.]
Al respecto, por cuanto hace
al
cumplimiento de
la
obligación de hacer del conocimiento
de los titulares de los datos personales que ocurrió una vulneración a
la
seguridad,
el
sujeto obligado
en
el
desahogo
al
requerimiento de información formulado durante
el
procedimiento de verificación, informó que:
•
La
Embajada de México
en
la
República de Guatemala notificó por escrito
(a
sus
agregados: Militar y Aéreo, Naval, Legal para Centro América y
el
Caribe de
la
Fiscalía General de
la
República; del Centro Nacional e Inteligencia en Guatemala
y Belice; de
la
Consejería Comercial de ProMexico para Centroamérica acreditada
en
Guatemala; y de
la
Consejería Agropecuaria para Centroamérica acreditada
en
Guatemala)
el
incidente materia del presente procedimiento de verificación,
haciéndoles de su conocimiento
el
listado del personal afectado.
• Cada una de las Secretarías de Estado es responsable de los actos realizados por
sus representantes.
Asimismo, de los documentos remitidos por
la
Secretaría de Relaciones Exteriores,
se
destaca el:
a) Oficio número ASJ-26213 del diez de julio de dos mil diecinueve, emitido y signado
por
el
director jurídico contencioso, dirigido a
la
Embajada de México en
la
República
86
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
InsLÍtuto
Nacional
de
Transparencia,
¡\cccso a la Información y
Protccd6n de Daros Pcrson'ales DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
de Guatemala, ambos de
la
Secretaría de Relaciones Exteriores, a través del cual
hizo de
su
conocimiento de manera preliminar la respuesta que dio a través del
oficio número ASJ/26217 del diez de julio de dos mil diecinueve, le solicitó consultar
con sus agregados
el
procedimiento adoptado en relación
al
caso e informar
si
por
su conducto o por conducto de
la
Dirección General del Servicio Exterior y Recursos
Humanos, se realizaron las notificaciones.
Ahora bien, por relacionarse directamente con lo manifestado por
el
sujeto obligado, debe
hacerse referencia a lo dispuesto
en
el artículo 8 de la Ley del Servicio Exterior Mexicano,
en términos del cual:
f..]
Artículo
80.- El personal asimilado se compone de servidores públicos y agregados a
Misiones Diplomáticas y Representaciones Consulares, cuyo nombramiento haya sido
gestionado
por
otra dependencia o entidad de
la
Administración Pública Federal u otra
autoridad competente, con cargo a su propio presupuesto. Cuando
la
SecretarIa considere
procedente
la
solicitud dicho personal será acreditado con el rango que ésta determine y su
asimilación al Servicio Exterior tendrá efectos sólo durante el tiempo que dure
la
comisión que
se
le
ha
conferido.
El personal asimilado estará sujeto a las mismas obligaciones que los miembros del personal
de carrera del Servicio Exterior y las dependencias o entidades que hayan solicitado su
asimilación serán las únicas responsables de los actos realizados
por
sus representantes.
Asimismo, estará comisionado
en
el extranjero bajo
la
autoridad del jefe
de
la
misión
diplomática o representación consular correspondiente, a quien deberá informar
de
sus
actividades y atender las recomendaciones que formule sobre sus gestiones, especialmente
por
lo que se refiere a las políticas generales y las prácticas diplomáticas o consulares.
La
Secretaria determinará los casos
en
que el personal temporal o asimilado deba acudir a
cursos
de
capacitación
en
el Instituto Matías Romero, antes
de
asumir su cargo
en
el
extranjero.
[
..
.]
Lo señalado resulta relevante puesto que,
si
bien
el
personal asimilado se compondrá de
servidores públicos y agregados a misiones diplomáticas y representaciones consulares,
cuyo nombramiento haya sido gestionado por otra dependencia o entidad de la
87
{
Instituto Nacional de Transparencia,
Acceso ti
la
Inform
ac
ión y
Protección de Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Administración Pública Federal u otra autoridad competente,
su
asimilación
al
servicio
exterior tendrá efectos sólo durante
el
tiempo que dure
la
comisión.
Así, aún y cuando los nombramientos del personal asimilado a las embajadas, depende
y fue gestionado por otra dependencia o entidad de
la
Administración Pública Federal u
otra autoridad competente, con cargo a
su
propio presupuesto, se considera que dicha
situación no exime a
la
Secretaría de Relaciones Exteriores. una vez ocurrida una
vulneración de seguridad en
la
que se vieran afectados sus datos personales, de
notificarles
la
misma a los titulares.
Ahora bien, en
el
presente caso se considera que toda vez que tras
la
vulneración de
seguridad ocurrida en la Embajada de México en
la
República de Guatemala, se vieron
afectados diversos documentos en los que obraban datos personales,
la
Secretaria de
Relaciones Exteriores era
la
responsable de notificar dicha vulneración de seguridad a
todos los titulares. con independencia de
la
naturaleza del encargo de los servidores
públicos, puesto que sus datos personales
se
encontraban resguardados en
la
Embajada
de México en
la
República de Guatemala, tan es así que
dicha
embajada al
ser
quien
recopiló
y
resguardó
los
datos
personales,
con
taba
con
el
listado
del
personal
afectado,
aún y
cuando
ya
no
se
encontraran
adscritos
por
haber
concluido
su
comisión
.
En
relación con
lo
anterior, no pasa por alto que dentro de los datos personales que
se
vieron afectados durante
la
vulneración de seguridad referida,
se
encontraban datos
personales de los dependientes económicos de los servidores públicos. Al respecto,
si
bien dichos dependientes económicos son titulares de sus propios datos personales,
puesto que
la
Embajada de México en
la
República de Guatemala recopiló sus datos a
través de los servidores públicos que se encontraban en dicha embajada (ya sea como
agregados o miembros del servicio exterior) , se estima que bastaba con que ellos
hubieren sido notificados de
la
vulneración de seguridad.
De ahí que el hecho de que
la
Embajada de México en
la
República de Guatemala
notificara por escrito a sus agregados: Militar y Aéreo, Naval, Legal para Centro América
y
el
Caribe de
la
Fiscalía General de
la
República; del Centro Nacional e Inteligencia en
Guatemala y Belice; de
la
Consejería Comercial de ProMexico para Centroamérica
88
i
Instln.lto
Naclon:l.l
de Transparencia,
¡\cccso a
la
Información y
Protección de Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
acreditada en Guatemala; y de
la
Consejería Agropecuaria para Centroamérica
acreditada
en
Guatemala,
el
incidente materia del presente procedimiento de verificación,
haciéndoles de su conocimiento
el
listado del personal afectado que
al
momento de
la
vulneración ya no se encontraba adscrito a dicha representación
al
haber concluido
su
encargo, no es suficiente para acreditar por parte de
la
Secretaría de Relaciones
Exteriores el cumplimiento a
lo
dispuesto
en
el artículo
41
de
la
Ley General de Protección
de Datos Personales
en
Posesión de Sujetos Obligados.
Aunado a
lo
descrito y
en
relación directa con el cumplimiento a
lo
dispuesto en
el
artículo
41
de
la
Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados, se destaca que
en
el acuerdo de inicio de procedimiento de verificación
emitido el tres de julio de dos mil diecinueve, se manifestó
lo
siguiente:
f.
.
.]
De
lo anterior
se
advierte
que,
si bien
se
/levaron a cabo tres reuniones con el personal del
servicio exterior y con los funcionarios
de
las agregadurlas
adscritos
en este
momento
a la
embajada,
en
las que hizo
de
su
conocimiento el incidente
de
seguridad y las acciones que
/levó
a cabo,
de
lo
expuesto
por
el sujeto obligado
no
se
desprende que les hubiere
hecho
saber
recomendación
alguna
para
evitar
las
posibles
consecuencias de la vulneración
ocurrida.
[.
..
]
Al respecto, por cuanto hace a
la
omisión de notificar a los servidores públicos adscritos,
al
momento de
la
vulneración de seguridad a
la
Embajada de México en
la
República de
Guatemala, las recomendaciones que se les hicieron saber para evitar las posibles
consecuencias de
la
vulneración ocurrida, resulta importante no perder de vista que
en
el
requerimiento de información que se formuló durante
el
procedimiento de verificación
a
la
Secretaria de Relaciones Exteriores se
le
requirieron dichas constancias; sin
embargo, el sujeto obligado omitió remitirlas y se limitó a referir que atendió
el
principio
de responsabilidad.
En
atención a
lo
descrito, se concluye que el sujeto obligado incumplió
lo
dispuesto
en
el
1
artículo
41
de
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos
Obligados, toda vez que:
89
lnstiluto Nacional
de
Transparencia,
Acceso a la r nformación y
Protección de Dutos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARÍA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• Tenía
la
obligación de notificar
la
vulneración ocurrida a todos los titulares de los
datos personales afectados, con independencia de si los mismos se encontraban
adscritos o no al momento de
la
vulneración a
la
Embajada
de
México en
la
República de Guatemala.
•
No
existen constancias de que notificara a los servidores públicos adscritos,
al
momento de
la
vulneración de seguridad a
la
Embajada de México
en
la
República
de Guatemala, las recomendaciones que se les hicieron saber para evitar las
posibles consecuencias de
la
vulneración ocurrida.
De
conformidad con
lo
expuesto, toda vez que durante
la
verificación,
la
Secretaría de
Relaciones Exteriores
no
acreditó
que
al
momento de
la
vulneración de seguridad
la
Embajada de México en
la
República de Guatemala conociera los documentos de
seguridad30; es decir, que contara
con
una política o programa de seguridad de datos
personales, es dable concluir que dicho sujeto obligado
incumplió
con
el
deber
de
seguridad
que
prevé la Ley General de
Protección
de Datos Personales en
Posesión de Sujetos Obligados.
Aunado a que tal y como se ha señalado, durante
la
verificación
la
.Secretaría de
Relaciones Exteriores no acreditó que
al
momento de
la
vulneración de seguridad:
• Hubiere notificado a
la
totalidad de los titulares de los datos personales afectados
tras
la
vulneración de seguridad ocurrida
en
términos de
lo
dispuesto
en
el
artículo
41
de
la
Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados.
30 Documento
de
seguridad para la protección de datos personales Secretaria
de
Relaciones Exteriores, Dirección I
General de Protocolo elaborado
por
dicha dirección en colaboración con la Dirección General de Bienes Inmuebles y
Recursos Materiales. la Dirección General de Tecnologias
de
la Información e Innovación y la Unidad
de
Transparencia ,
y documento de seguridad para
la
protección de datos personales Secretaría
de
Relaciones Exteriores, Dirección
General de Servicios Consulares elaborado por dicha dirección en colaboración con la Dirección General
de
Bienes
Inmuebles y Recursos Materiales, la Dirección General de Tecnologias
de
la Información e Innovación y la Unidad
de
Transparencia.
90
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
In:;tituto Nacional
de
'!'r:mj;parcncia.
Acceso:t
la
[nfonnación y
Protección de Datos Personale s DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• Hubiere notificado a los servidores públicos adscritos,
al
momento de
la
vulneración
de seguridad a
la
Embajada de México en
la
República de Guatemala, las
recomendaciones que se les hicieron saber para evitar las posibles consecuencias
de
la
vulneración ocurrida.
Por otra parte, respecto
al
principio
de
responsabilidad,
en
el
acuerdo de inicio de
verificación
se
señaló que
la
Secretaría de Relaciones Exteriores presuntamente lo había
incumplido, en tanto que:
Ahora bien, al presumirse incumplido por el sujeto obligado el deber anterior, establecido en
la
Ley General de Protección
de
Datos Persona les en Posesión
de
Sujetos Obligados. resulta
importante no perder
de
vista lo dispuesto en el
principio
de
responsabilidad
.
•
Principio
de
responsabilidad
f.
.
.]
Tomando en cuenta lo señalado. en el presente caso dentro de las constancias que fueron
remitidas
por
la
Secretaria
de
Relaciones Exteriores,
no
existe evidencia de que en
la
Embajada
de
México en
la
República
de
Guatemala:
•
Se
destinaran recursos para
la
instrumentación de programas y políticas
de
protección
de
datos personales.
• Tengan conocimiento sobre políticas y programas
de
protección
de
datos personales.
•
No
se
ha
puesto en práctica
un
programa
de
capacitación y actualización del personal
sobre las obligaciones y demás deberes en materia
de
protección
de
datos personales.
•
Al
presumirse el incumplimiento del deber de seguridad, no se cuentan con elementos
que permitan confirmar que se adoptaron pollticas para asegurar el cumplimiento de los
deberes y obligaciones establecidos en
la
ley.
En
consecuenc
ia
, existen elementos que permiten presumir que
la
Secretaria
de
Relaciones
Exteriores incumplió también con el
principio
de
responsabilidad
contemplado en
la
Ley
General de Protección
de
Datos Personales en Posesión de Sujetos Obligados.
f.
.
.]
91
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de ]'mnsparen6a,
Acceso n
la
Información y
Protección de Datos Personales DIRECCiÓN . GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Así, respecto
al
principio de responsabilidad que nos ocupa, se destaca que dicho
principio se regula tanto en
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados, como
en
los Lineamientos Generales de Protección
de
Datos Personales para
el
Sector Público de
la
siguiente manera:
Ley
General de
Protección
de Datos Personales en
Posesión
de
Sujetos
Obligados
r,.]
Artículo
29. El responsable deberá implementar los mecanismos previstos en el artículo 30
de
la
presente Ley
para
acreditar
el
cumplimiento
de
los
principios,
deberes y
obligaciones
establecidos
en la
presente
Ley
y rendir cuentas sobre
el
tratamiento
de
datos
personales en su posesión al titular e Instituto o a los Organismos garantes, según
corresponda, caso
en
el cual deberá observar
la
en
los que el Estado mexicano sea parte; en lo que no se contraponga con
la
normativa
mexicana podrá valerse
de
estándares o mejores prácticas nacionales o internacionales para
tales fines,
Artículo
30. Entre los mecanismos que deberá adoptar el responsable para cumplir con
el
principio
de
responsabilidad establecido en
la
presente
Ley
están,
al
menos, los siguientes:
l. Destinar recursos autorizados para tal
fin
para
la
instrumentación de programas y políticas
de
protección
de
datos personales;
11.
Elaborar políticas y programas
de
protección
de
datos personales, obligatorios y exigibles
al
interior
de
la
organización del responsable;
111.
Poner en práctica
un
programa
de
capacitación y actualización del personal sobre las
obligaciones y demás deberes
en
materia
de
protección
de
datos personales;
IV.
Revisar periódicamente las políticas y programas
de
seguridad
de
datos personales para
determinar las modificaciones que se requieran;
V.
Establecer
un
sistema
de
supervisión y vigilancia interna y/o externa, incluyendo auditorlas,
para comprobar el cumplimiento de las pollticas
de
protección
de
datos personales;
VI,
Establecer procedimientos para recibir y responder dudas y quejas
de
los titulares;
VII.
Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas
o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique
el tratamiento
de
datos personales,
de
conformidad con las disposiciones previstas en
la
presente Ley y las demás que resulten aplicables en
la
materia, y
VIII.
Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento
92
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto Nacional de Tr.msparencia,
Acceso a
la
Informad6n y
Protección
de
Datos
Pcrsonalc.s
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
de
datos personales, cumplan
por
defecto con las obligaciones previstas
en
la
presente Ley y
las demás que resulten aplicables en
la
materia.
r··}
En
relación
con
lo
anterior,
en
los Lineamientos Generales de Protección de Datos
Personales para
el
Sector Público
se
establece
lo
siguiente:
r·}
Artículo
46. El responsable deberá adoptar pollticas e implementar mecanismos para
asegurar y acreditar el cumplimiento de los principios, deberes y demás obligaciones
establecidas
en
la
Ley General y los presentes Lineamientos generales; as! como establecer
aquellos mecanismos necesarios para evidenciar dicho cumplimiento ante los titulares y el
Instituto.
r·}
De los artículos transcritos
se
advierte que:
•
El
principio
de responsabilidad consiste en que
el
sujeto obligado debe adoptar
políticas e implementar mecanismos para asegurar
el
cumplimiento de los
principios, deberes y obligaciones establecidos en
la
ley y rendir cuentas sobre
dicho tratamiento. Encontrándose entre dichos mecanismos, los siguientes:
Destinar recursos para
la
instrumentación de programas y políticas de
protección de datos personales.
Elaborar políticas y programas de protección de datos personales, obligatorios
y exigibles
al
interior de
la
organización del responsable.
Poner en práctica un
programa
de capacitación y actualización del
personal
sobre
las
obligaciones
y demás deberes en materia de {
protección
de
datos
personales.
93
!nsútuto
Nacíonal
de
Transpan:ncia,
Acceso;\
la
lnformación
y
ProtcccUll1
de
Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Revisar periódicamente las políticas y programas de seguridad de datos
personales para determinar las modificaciones que se requieran.
Establecer un sistema de supervisión y vigilancia interna y/o externa,
incluyendo auditorías, para comprobar
el
cumplimiento de las políticas de
protección de datos personales.
Diseñar, desarrollar e implementar sus políticas públicas, programas,
servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o
cualquier otra tecnología que implique
el
tratamiento de datos personales, de
conformidad con las disposiciones previstas
en
la
ley y en las demás que
resulten aplicables
en
la
materia.
Garantizar que sus políticas públicas, programas, servicIos, sistemas o
plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología
que implique
el
tratamiento de datos personales, cumplan por defecto con las
obligaciones previstas en
la
ley y en las demás que resulten aplicables
en
la
materia.
Sobre dicho principio, el sujeto obligado destacó durante
el
procedimiento de verificación
que, incluyendo a
la
Embajada de México
en
la
República de Guatemala, ha observado
el
principio de responsabilidad.
De
esta manera, por cuanto hace
al
programa general de capacitación, durante
la
investigación previa
la
Embajada de México
en
la
República de Guatemala
31
precisó que
no
cuenta
con
programas
formales
implementados
de capacitación,
en
materia de
protección de datos personales.
En
relación
con
lo
anterior, de los documentos remitidos por
la
Secretaría de Relaciones {
Exteriores a través de los cuales pretendió desahogar
el
requerimiento de información
que se
le
formuló durante el presente procedimiento de verificación, se destacan los
31
Correo electrónico del seis de mayo de dos mil diecinueve, remitido por
el
embajador de México en
la
República de
Guatemala a la Dirección General de Asuntos Juridicos de la Secretaría de Relaciones Exteriores. 94
Instituto Nacional de Tnmsparcnc:ia,
Acceso a
la
Infonnacibn y
Protección de Datos Personales
siguientes:
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
• Correo electrónico del diecisiete de junio de dos mil diecinueve, a través del cual
la
Unidad de Transparencia, remitió a
la
Embajada de México en
la
República de
Guatemala, ambas de
la
Secretaría de Relaciones Exteriores, el listado de los
servidores públicos
con
nivel de mando adscritos a dicha embajada, con
la
finalidad
de cumplir con
el
objetivo de obtener el reconocimiento de institución 100%
capacitada; asimismo,
le
informó
la
forma en
la
que dichos servidores públicos
podrían generar
su
registro e iniciar los cursos virtuales a través del Centro Virtual
de Capacitación del Instituto Nacional de Transparencia, Acceso a
la
Información y
Protección de Datos Personales.
• Correo electrónico del diecisiete de junio de dos mil diecinueve, por medio del cual
la
titular Unidad de Transparencia de
la
Secretaría de Relaciones Exteriores, solicitó
a las Embajadas de México su apoyo para exhortar al personal con nivel de mandos
medios y superiores, participar
en
diversos cursos en línea, con
la
finalidad de
cumplir
con
el
objetivo de obtener el reconocimiento de institución 100% capacitada.
• Correo electrónico del ocho de julio de dos mil diecinueve, a través del cual
la
Embajada de México
en
la
República de Guatemala, remitió a
la
titular de
la
Unidad
de Transparencia, ambas de
la
Secretaría de Relaciones Exteriores, las constancias
de participación
en
los cursos Introducción a
la
Ley Federal de Transparencia y
Acceso a
la
Información Pública del veintiséis de junio de dos mil diecinueve e
Introducción a
la
Ley General de Transparencia y Acceso a
la
Información Pública
del cinco de julio de dos mil diecinueve, expedidas a nombre de Jose Eduardo
Buenrostro Vielmas.
Los correos descritos resultan relevantes en el presente asunto, puesto que dan cuenta
de que al
momento
de la
vulneración
notificada, la Embajada de
México
en la
República de Guatemala
no
contaba
con
programas
formales
de
capacitación
implementados
en el
tratamiento
y
seguridad
de
los
datos
personales de acuerdo 1
a los roles de los servidores públicos involucrados
en
su manejo;
lo
que resulta relevante
en el presente asunto, dado que, tal y como se
ha
expuesto,
su
personal interviene
directamente en
la
utilización, actualización y manejo de los datos personales que
95
Tn~lituto
Nacional de 'l'ransparenda,
Acceso a
la
lnfonrución y
Protección de Datos Personales
INSTITUTO
NACIONAL
DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
correspondan a cada uno de los trámites para emitir el documento consular
correspondiente, mismos que fueron objeto de
la
vulneración.
Así, si bien durante el procedimiento de verificación, el sujeto obligado remitió constancias
de capacitación, las mismas
no
corresponden
a la
totalidad
de
los
servidores
públicos
con
nivel
de
mando
adscritos
a la
Embajada
de
México
en la
República
de
Guatemala, aunado a que fueron emitidas
después
de la
vulneración
de
seguridad
32
y
no
se
relacionan
directamente
con
el
tratamiento
y
seguridad
de
los
datos
personales.
Asimismo,
la
Secretaría de Relaciones Exteriores no remitió ni aportó documento alguno
a través del cual se acreditara que en
la
Embajada de México en la República de
Guatemala, al momento de la vulneración de seguridad:
• Se hubieren destinado recursos para la instrumentación de programas y políticas
de protección de datos personales.
• Tuviera conocimiento sobre políticas y programas de protección de datos
personales.
• Se
hubiere
puesto
en
práctica
un
programa
de
capacitación
y
actualización
del
personal
sobre
las
obligaciones
y
demás
deberes
en
materia
de
protección
de
datos
personales.
En
términos de
lo
anterior, dado que el sujeto obligado no acreditó
lo
señalado, aunado
al hecho de que incumplió el deber de seguridad, se estima que no se cuentan con
elementos que permitan confirmar que se adoptaron políticas para asegurar el !
cumplimiento de los deberes y obligaciones establecidos en
la
ley, por lo que
incumplió
,
con
el
principio
de
responsabilidad.
32
El
veinte
de
abril
de
dos
mil
diecinueve,
la Secretaría
de
Relaciones Exteríores con apoyo de su Dirección
de
Tecnologías de Información determinó los datos personales en riesgo, tras lo que se confirmó la vulneración de
seguridad y empezó a tomar las acciones encaminadas a detonar un proceso de mitigación
de
la afectación; sin
embargo, las constancias
de
capacítación remitidas son del veintiséis de junio y del cinco
de
julio de dos mil diecinueve.
96
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
Instituto Nacional de Tram:pttrcncia,
/\CCC$O:l
h Información y
Protecóón de Datos Personales DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
SEXTO. Ahora bien, dado que el responsable incumplió con el
deber
de
seguridad
y
con el
principio
de responsabilidad; además, de no haber acreditado cumplir con
lo
dispuesto
en
el artículo
41
de
la
Ley General de Protección de Datos Personales en
Posesión de Sujetos Obligados y que
al
momento de
la
vulneración acaecida hubiere
establecido medidas de seguridad de acuerdo a
lo
que disponen los artículos
31,32
Y
33
de dicha ley, resulta necesario no perder de vista
lo
siguiente:
Ley
General de
Protección
de
Datos
Personales en
Posesión
de
Sujetos
Obligados
f.
.
.}
Articulo
163. Serán causas de sanción
por
incumplimiento
de
las obligaciones establecidas
en
la
materia
de
la presente Ley, las siguientes:
f.
.
.]
IV.
Dar
tratamiento,
de
manera intencional, a los datos personales en contravención a los
principios y deberes establecidos en
la
presente Ley;
f.
.
.}
VIII.
No establecer las medidas de seguridad
en
los términos que establecen los articulas
31,
32 Y
33
de
la
presente Ley;
f.
.
.]
Las causas
de
responsabilidad previstas
en
las fracciones
1,
1/,
IV,
VI.
X,
XII.
Y XIV.
asi
como
la
reincidencia en las conductas previstas en
el
resto
de
las fracciones de este articulo, serán
consideradas como graves para efectos de su sanción administrativa.
En
caso
de
que
la
presunta infracción hubiere sido cometida
por
algún integrante
de
un partido
polftico.
la
investigación
y.
en
su caso. sanción. corresponderán a
la
autoridad electoral
competente.
Las sanciones de carácter económico no podrán
ser
cubiertas con recursos públicos.
Artículo
164. Para las conductas a que se refiere el artículo anterior se dará vista a
la
J.
autoridad competente para que imponga o ejecute
la
sanción.
....1
97
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A LA INFORMACiÓN Y PROTECCiÓN DE
DATOS PERSONALES
SECRETARiA DE PROTECCiÓN DE DATOS
PERSONALES
Instituto
Nacional
de
Trampare1lela,
Accc,m
¡¡la Jnfonnaci6n r
ProtccciÓll
de
Datos
Personales
DIRECCiÓN GENERAL DE
INVESTIGACiÓN Y VERIFICACiÓN
PÚBLICO
EVALUACiÓN
DEL SECTOR
EXPEDIENTE: INAI.3S.07.01-003/2019
Artículo 165. Las responsabilidades que resulten
de
los procedimientos administrativos
correspondientes, derivados
de
la
violación a
lo
dispuesto
por
el artículo 163 de esta Ley, son
independientes
de
las del orden civil, penal o
de
cualquier otro tipo que se puedan derivar de
los mismos hechos.
Dichas responsabilidades se determinarán, en forma autónoma, a través
de
los
procedimientos previstos en
las
leyes aplicables y las sanciones que, en su caso, se impongan
por
las autoridades competentes, también se ejecutarán
de
manera independiente.
Para tales efectos, el Instituto o los organismos garantes podrán denunciar ante las
autoridades competentes cualquier acto u omisión violatoria
de
esta Ley y aportar las pruebas
que consideren pertinentes, en los términos
de
las leyes aplicables.
f.
.
.]
Artículo 167.
En
aquel/os casos
en
que
el
presunto infractor tenga
la
calidad
de
servidor
público, el Instituto o el organismo garante, deberá remitir a
la
autoridad competente, junto con
la
denuncia correspondiente,
un
Expediente en que se contengan todos los elementos que
sustenten
la
presunta responsabilidad administrativa.
La
autoridad que conozca del asunto, deberá informar
de
la
conclusión del procedimiento
y,
en
su caso,
de
la
ejecución
de
la
sanción
al
Instituto o
al
organismo garante, según
corresponda.
A efecto
de
sustanciar
el
procedimiento citado en este articulo, el Instituto, o el organismo
garante que corresponda, deberá elaborar
una
denuncia dirigida a
la
contraloria, órgano
interno
de
controlo equivalente, con
la
descripción precisa
de
los actos u omisiones que, a su
consideración, repercuten
en
la
adecuada aplicación
de
la
presente Ley y que pudieran
constituir una posible responsabilidad.
Asimismo, deberá elaborar
un
expediente que contenga todos aquellos elementos
de
prueba
que considere pertinentes para sustentar
la
existencia
de
la
posible responsabilidad. Para tal
efecto, se deberá acreditar
el
nexo causal existente entre los hechos controvertidos y las
pruebas presentadas.
La
denuncia y
el
Expediente deberán remitirse a
la
contraloría, órgano interno de
controlo
equivalente dentro de los quince dlas siguientes a partir
de
que
el
Instituto o
el
organismo
garante correspondiente tenga conocimiento
de
los hechos.
98
1
rn~titut()
Nacional de 'fransparcncia,
t\ccem
"la
Inform.1GÍún y
Protccd6n de Datos Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL
DE
EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Artículo
168.
En
caso de que el incumplimiento
de
las determinaciones
de
los Organismos
garantes implique
la
presunta comisión
de
un delito, el organismo garante respectivo deberá
denunciar los hechos ante
la
autoridad competente.
En
términos de los artículos transcritos, serán causas de sanción por incumplimiento de
las obligaciones establecidas
en
la
materia de
la
Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados, las siguientes:
• Dar tratamiento, de manera intencional, a los datos personales en
contravención
a
los
principios
y deberes
establecidos
en
la
Ley General de Protección de Datos
Personales
en
Posesión de Sujetos Obligados.
• No
establecer
las medidas de
seguridad
en
los términos establecidos
en
la
Ley
General de Protección de Datos Personales
en
Posesión de Sujetos Obligados.
Sobre ambos supuestos, tomando en cuenta las consideraciones expuestas
en
la
presente resolución, deberá considerarse respectivamente y
en
lo
que atañe a cada uno,
que
el
responsable incumplió con
el
deber
de
seguridad
y con el
principio
de
responsabilidad;
además, de no haber acreditado cumplir con
lo
dispuesto en el artículo
41
de
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos
Obligados y que
al
momento de
la
vulneración acaecida hubiere establecido medidas de
seguridad de acuerdo a
lo
que disponen los artículos 31,
32
Y
33
de dicha ley.
Así, es preciso recordar que en aquellos casos en que el presunto infractor tenga
la
calidad de servidor público, se deberá remitir a
la
autoridad competente, junto con
la
denuncia correspondiente
la
cual debe estar
dirigida
a la contraloría,
órgano
interno
de
control
o equivalente, un expediente que contenga todos los elementos que
sustenten
la
presunta responsabilidad administrativa, con
la
descripción precisa de los
actos u omisiones que, a su consideración, repercuten
en
la
adecuada aplicación de
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados y que
pudieran constituir una posible responsabilidad.
En
razón de
lo
anterior, puesto que
la
conducta del responsable presuntamente actualiza
J,
las hipótesis contenidas
en
el artículo 163, fracciones IV y VIII de
la
Ley General de
'\
99
InstitULO
Nacional dc 'rransp:m:ncia,
Acceso a l:lln(ormación y
Proteccion
de
Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN
DE
DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Protección de Datos Personales
en
Posesión de Sujetos Obligados,
se
estima
procedente
dar
vista
al
Órgano
Interno
de
Control
en la Secretaría de Relaciones
Exteriores, con copia certificada del expediente citado
al
rubro, para que determine las
responsabilidades administrativas que pudieran haberse originado
en
el
actuar de los
servidores públicos.
En
consecuencia, por
lo
expuesto y fundado, este Pleno emite las siguientes:
MEDIDAS
Respecto de las medidas resulta importante precisar que,
el
sujeto obligado incumplió el
deber de seguridad y
el
principio de responsabilidad.
PRIMERA. Con fundamento
en
lo
dispuesto
en
el artículo 150 de
la
Ley General de
Protección de Datos Personales en Posesión de Sujetos Obligados y
en
relación con
el
deber
de seguridad, se instruye
al
sujeto obligado para que una vez que los documentos
de seguridad intitulados documento
de
seguridad para
/a
protección
de
datos persona/es
Secretaría
de
Relaciones Exteriores, Dirección General
de
Protocolo y documento de
seguridad para la protección
de
datos personales Secretaría
de
Relaciones Exteriores,
Dirección General
de
Servicios Consulares, sean aprobados por
su
Comité de
Transparencia, se notifiquen a todas las representaciones de México
en
el
exterior,
incluida
la
Embajada de México en
la
República de Guatemala.
SEGUNDA. Con fundamento en
lo
dispuesto
en
el artículo 150 de
la
Ley General de
Protección de Datos Personales
en
Posesión de Sujetos Obligados y en relación con
el
deber
de responsabilidad, se instruye
al
responsable capacitar
en
materia seguridad y
protección de datos personales, a todos los servidores públicos adscritos a
la
Embajada
de México
en
la
República de Guatemala; de acuerdo a los roles que tienen en
el
tratamiento de datos personales.
TERCERA. Con fundamento
en
lo
dispuesto
en
el
artículo 150 de
la
Ley General de
Protección de Datos Personales
en
Posesión de Sujetos Obligados y de conformidad
con
lo
señalado
en
el artículo
41
de
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados, se instruye
al
responsable notificar a todos los servidores
100
f
Insututo Nllciooal de Tmnsparcncia,
Acceso
a
la
Inform'lción y
Protección de
Datos
Personales
INSTITUTO NACIONAL
DE
TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
públicos miembros del servicio exterior mexicano; así como, a los agregados que
estuvieron adscritos y que
al
momento de
la
vulneración habían concluido su comisión
en Guatemala,
la
vulneración de seguridad ocurrida.
CUARTA. Con fundamento
en
lo
dispuesto en el artículo 150 de
la
Ley General de
Protección de Datos Personales en Posesión de Sujetos Obligados y de conformidad con
lo
señalado en
el
artículo
41
de
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados, se instruye
al
responsable notificar a los servidores
públicos adscritos,
al
momento de
la
vulneración de seguridad a
la
Embajada de México
en
la
República de Guatemala, las recomendaciones que se les hicieron saber para evitar
las posibles consecuencias de
la
vulneración ocurrida.
ConcJuiGlo
el
análisis de los hechos y constancias correspondientes al presente asunto,
este Pleno:
RESUELVE
PRIMERO.
En
razón de los incumplimientos detectados
al
deber
de seguridad,
al
principio
de responsabilidad, a
lo
dispuesto en
el
artículo
41
de
la
Ley General de
Protección de Datos Personales
en
Posesión de Sujetos Obligados; aunado a que
al
momento de
la
vulneración acaecida, no estableció medidas de seguridad de acuerdo a
lo
que disponen los artículos 31,
32
Y
33
de dicha ley, en relación con
lo
previsto por el
artículo 163, fracciones IV y VIII de
la
Ley General de Protección de Datos Personales en
Posesión de Sujetos Obligados, con fundamento
en
lo
dispuesto en el artículo 164 de
la
de
la
Ley General de Protección de Datos Personales
en
Posesión de Sujetos Obligados,
se
da
vista
al
Órgano Interno de Control
en
la
Secretaria de Relaciones Exteriores, a
efecto de que en
el
ámbito de sus atribuciones determine
lo
que en derecho corresponda
en relación con las responsabilidades administrativas en que pudieron haber incurrido
servidores públicos.
SEGUNDO. Con fundamento
en
lo
dispuesto en los artículos
3,
fracción XIII y 28, fracción
XVI del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a
la
{
Información y Protección de Dalas Personales, túrnese el expediente a
la
Secretaría
Técnica del Pleno a efecto de que, con el apoyo técnico de
la
Secretaría de Protección
101
Instituto Nacional de T rnnsparcncia,
Acceso a
la
J nform
aóón
y
Protección de Dat
os
Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA DE PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
de Datos Personales, dé
el
seguimiento
al
cumplimiento de las medidas,
el
cual debe
efectuar
la
Secretaría de
Relaciones
Exteriores
en
un
término de
treinta
días
hábiles
a partir de la notificación de la presente resolución.
TERCERO. De conformidad con lo dispuesto en
el
artículo 12, fracción XXXVI del
Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a
la
Información y
Protección de Datos Personales,
la
presente resolución se hará pública por
lo
cual se
instruye a
la
Secretaría de Protección de Datos Personales, de este Instituto para que
elabore
la
versión pública respectiva, eliminando aquella información clasificada por ser
información que identifique o haga identificable a las personas físicas y
la
confidencialidad
de las personas morales, en términos de los artículos 113 y 116 de la Ley General de
Transparencia y Acceso a
la
Información Pública y 110 Y 113 de
la
Ley Federal de
Transparencia y Acceso a
la
Información Pública; y una vez hecho lo anterior, dicha
resolución sea remitida a
la
Secretaría Técnica del Pleno para que, previa revisión, se
publique en
la
página de internet del Instituto.
CUARTO. Se hace del conocimiento del responsable que, con fundamento en los
artículos 152 y 168 de
la
Ley General de Protección de Datos Personales en Posesión
de Sujetos Obligados; así como, 217 de los Lineamientos Generales de Protección de
Datos Personales para el Sector Público, este Instituto podrá imponer las medidas de
apremio que correspondan en caso de incumplimiento a
la
presente resolución .
QUINTO.
El
presente expediente puede ser consultado en
el
domicilio del Instituto,
ubicado en avenida Insurgentes Sur, número 3211, colonia Insurgentes Cuicuilco,
Coyoacán, C
.P.
04530, en
la
Ciudad de México, en
la
Dirección General de Evaluación ,
Investigación y Verificación del Sector Público.
SEXTO. Notifíquese
la
presente resolución por conducto de
la
Secretaría de Protección f
de Datos Personales
al
responsable; asi como,
al
Órgano Interno de Control en
la
Secretaría de Relaciones Exteriores, para efectos de
la
vista ordenada.
Así, por unanimidad,
lo
resolvieron y firman los comisionados del Instituto Nacional de
Transparencia, Acceso a
la
Información y Protección de Datos Personales, Francisco
Javier Acuña Llamas, Oscar Mauricio Guerra Ford, Blanca Lilia Ibarra Cadena, María
102
I
n~lituto
Nacional de '¡'ransparcncia.
Acceso a
la
Información y
l'rotl'cción de Datos Personales
INSTITUTO NACIONAL DE TRANSPARENCIA,
ACCESO A
LA
INFORMACiÓN Y PROTECCiÓN
DE
DATOS PERSONALES
SECRETARíA
DE
PROTECCiÓN DE DATOS
PERSONALES
DIRECCiÓN GENERAL DE EVALUACiÓN
INVESTIGACiÓN Y VERIFICACiÓN DEL SECTOR
PÚBLICO
EXPEDIENTE: INAI.3S.07.01-003/2019
Patricia Kurczyn Villa lobos, Rosendoevgueni Monterrey Chepov, Josefina Román
Vergara y Joel Salas Suárez, en sesión celebrada
el
dieciocho de septiembre de dos mil
diecinueve, ante el Secretario Técnico del Pleno y
el
Secretario de Protección de Datos
Personales.
O
'
~
"O
Guerra
Ford
Comisionado
R
ose
ncl;~~
I('.B1
U
9f
Monte«"·\lA..OeDOV
Francisco
Javie
Acuña
Llamas
Comisionado \residente
Joel
Salas S . ez
Co
..
nado
Jonathan
Mendoza IseOrt...-
-:TI
Secretario de Protección de Datos
Personales
Esta hoja pertenece a la resolución del expediente INAI.3S.07.
01
·
Q03
/2019, aprobada por unanimidad de los comisionados en
sesión o rdinaria
de
Pleno de este Instituto. celebrada
el
dieciocho de septiembre de dos mil diecinueve. 103
Para continuar leyendo
Solicita tu prueba