El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) emitió un comunicado en el que advierte sobre una posible vulneración de datos personales de la Secretaría de Infraestructura, Comunicaciones y Transportes (SICT), luego del ciberataque registrado el pasado 24 de octubre.
El INAI comunicó que la vulneración de datos se justifica en el artículo 38 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que cita ‘la pérdida o destrucción no autorizada de los datos personales; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, y el daño, la alteración o modificación no autorizada’.
Te puede interesar: México vive una “epidemia silenciosa” por movilidad e inseguridad vial
La SICT está obligada a informar al INAI sobre las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales de los titulares, ya que es considerada sujeto obligado de la LGPDPPSO y responsable del tratamiento de datos personales que posee, como lo establece el artículo 40 de la Ley General.
La dependencia tiene un plazo máximo de 72 horas, a partir de que se haya confirmado la vulneración de seguridad en materia de datos personales, que inicia al correr el día natural en el que se confirma el hecho.
Lo que la SICT deberá informar al INAI es: la naturaleza del incidente; la hora y fecha de la identificación de la vulneración; el inicio de la investigación del hecho; las categorías y número aproximado de titulares afectados; las circunstancias en torno a la vulneración ocurrida; los sistemas de tratamiento y datos personales comprometidos; las acciones correctivas realizadas de forma inmediata, y las posibles consecuencias de lo ocurrido.
Puedes ver: SCT cambiará de nombre a Secretaría de Infraestructura, Comunicaciones y Transportes
Al ser recibida la notificación, el INAI estará en posibilidad de realizar las investigaciones previas con la finalidad de allegarse de elementos que le permitan determinar el inicio de un procedimiento de verificación, ya que es un organismo garante del derecho a la protección de datos personales.
A través de la Dirección General de Evaluación, Investigación y Verificación del Sector Público de la Secretaría de Protección de Datos Personales, se estableció el contacto con la SICT, con el fin de apoyar técnicamente para garantizar el cumplimiento de las obligaciones dictadas en la LGPDPPSO; así como informar a través de un oficio el deber de notificiación al Instituto tras el acceso ilícito a sus equipos informáticos.
