Por Victoriano Martínez
Lo más grave del hackeo a la Fiscalía General del Estado es la exhibición de la vulnerabilidad de las bases de datos sensibles de miles de personas en todo el país y, en el caso potosino, el riesgo de que más de 73 mil personas puedan ser afectadas por el uso de su información sin que hayan sido alertados sobre ese riesgo.
Hackear una institución para robar los datos personales que están bajo su resguardo tiene en la mayoría de los casos la intención de la venta de la información, o en todo caso –si el hackeo es patrocinado por alguna organización, sea gubernamental o privada– para un uso de control o manipulación, pero en todos los casos se trata de fines ilícitos.
Una circunstancia que es el punto de partida para la emisión de leyes de protección de datos personales en las que, si bien los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición a su tratamiento) son la parte esencial, evitar que se utilicen para fines delictivos es su aspecto de efectiva protección.
De acuerdo con la oferta que sobre los datos robados a la Fiscalía hace el hacker, según lo publicado por el periodista Ignacio Gómez Villaseñor en su red social de X, 73,156 personas han resultado afectadas por la vulneración de sus datos en los archivos de la dependencia7, relacionados con constancias de antecedentes penales.
De acuerdo con la propia Fiscalía, se trata de un problema del que prefiere no hablar, pero sí da cuenta en un comunicado que tomó medidas de presunta “revisión y mantenimiento en sus servidores informáticos destinados a brindar servicios a la ciudadanía”, que incluso los menciona como “actualización preventiva”.
Hablar de “actualización preventiva” es una forma de negar el hackeo del que el responsable exhibe como prueba de que efectivamente lo realizó la publicación de 50 constancias de antecedentes penales. El caso es que si sólo hubiese extraído esas 50 constancias, haberlas obtenido es en sí mismo una vulneración a la base de datos de la dependencia.
Negar el hecho, aunque sea de manera indirecta, representa una violación por parte de la Fiscalía a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, de la misma manera que a la Ley local en esa misma materia.
La Ley General obliga a la Fiscalía, como sujeto obligado, a llevar una bitácora de las vulneraciones a la seguridad de sus bases de datos y, en caso de ocurrir, a “informar sin dilación alguna a la persona titular” (artículos 33 y 34). Es decir, la Fiscalía está obligada a avisar a las 73,156 personas afectadas sobre el riesgo en el que están.
La Ley local (artículo 56)establece esa misma medida en los mismos términos, que incluyen la obligación de una revisión exhaustiva de la magnitud de la afectación, “a fin de que las personas titulares afectadas puedan tomar las medidas correspondientes para la defensa de sus derechos”.
La Fiscalía debe notificar a los afectados la naturaleza del incidente, los datos personales comprometidos, las recomendaciones acerca de las medidas que la persona titular pueda adoptar para proteger sus intereses, las acciones correctivas realizadas de forma inmediata y los medios donde puede obtener más información al respecto.
En los Lineamientos de Protección de datos personales para el sector público emitidos por la Comisión Estatal de Garantía de Acceso a la Información Pública (CEGAIP), agrega que se debe informar a los afectados “la descripción de las circunstancias estatales en torno a la vulneración ocurrida, que ayuden al titular a entender el impacto del incidente y cualquier otra información y documentación que considere conveniente” para apoyarlos.
Si antes que tomar esas medidas a las que las dos leyes obligan a la Fiscalía opta por fingir que nada pasó y asegura que si no opera sus servidores informáticos destinados a brindar servicios a la ciudadanía es por “revisión y mantenimiento”, es evidente que no ha notificado “sin dilación” a los afectados y no sólo los deja con sus datos vulnerados, sino también en estado de indefensión.
La CEGAIP, como garante del derecho de protección de datos personales, también debió ser informada “sin dilación” sobre el hackeo. Quizá en su condición de institución moribunda podría dar una señal de un último aliento a favor de la ciudadanía afectada… pero es demasiado pedir, obvio.
Entre 2010 y 2020, la Fiscalía emitió un promedio de 58 mil 800 constancias de antecedentes penales al año, por lo que es probable que los datos robados correspondan al último año o los últimos 18 meses.
Así es de que, si usted hizo ese trámite en el último año podrá constatar si la Fiscalía lo alerta sobre los riesgos de mal uso de sus datos o lo deja en estado de indefensión.
