- El INAI ordenó al Órgano Interno de Control en la ahora FGR que determine si los servidores públicos a cargo de operar el software incurrieron en responsabilidades administrativas
- Se ordenó al Ministerio Público de la Federación que investigue la probable comisión de delitos por la celebración de los contratos de 2016 y 2017
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ordenó al Órgano Interno de Control en la Fiscalía General de la República (FGR) que determine si los servidores públicos a cargo de operar el software Pegasus incurrieron en responsabilidades administrativas.
El Instituto también ordenó al Ministerio Público de la Federación que investigue la probable comisión de delitos por la celebración de los contratos de 2016 y 2017 para la actualización de la licencia de uso del sistema Pegasus, a efecto de que en el ámbito de su competencia determine lo que en derecho corresponda, así como a la Auditoría Superior de la Federación, para que emita la resolución a que haya lugar en la esfera de sus atribuciones, con motivo de dichos contratos.
Tras concluir el proceso de verificación, que inició de oficio en noviembre de 2018, el Instituto determinó que la entonces Procuraduría General de la República (PGR) incumplió con el deber de seguridad y el principio de responsabilidad, previstos en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Lo anterior, ya que la entonces PGR carecía de una bitácora de uso respecto del tratamiento de datos personales vinculado con el software Pegasus, el cual preveía la recolección de datos personales y la generación de bases y aplicaciones para su almacenamiento; además de no acreditar que contaba con un sistema de gestión y con un documento de seguridad; así como haber llevado a cabo el borrado seguro del sistema en comento, tras su desinstalación.
Durante la verificación, la entonces PGR sólo notificó a al Instituto la existencia del contrato suscrito en 2014 para la adquisición del software, sin embargo, en días recientes, la Fiscalía informó que existían otros dos contratos celebrados en 2016 y 2017, para actualizar la licencia de uso del sistema.
Bajo estas consideraciones, y luego de que la dependencia manifestó que actualmente ya no tiene instalado el software, el Pleno del INAI instruyó a la Fiscalía General de la República implementar las siguientes medidas:
*Acreditar, de manera formal, que el software denominado Pegasus ha sido desinstalado del equipo de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas de la Agencia de Investigación Criminal y de cualquier otro equipo en posesión de la Fiscalía.
*Precisar las políticas, métodos y técnicas que dan cuenta de la desinstalación del software, considerando la irreversibilidad, seguridad y confidencialidad; así como, acreditar fehacientemente que no es factible instalar nuevamente el software adquirido en algún equipo en posesión de la ahora Fiscalía General.
La Fiscalía deberá remitir al Instituto los documentos con los que compruebe haber comunicado a sus unidades administrativas que desarrollan actividades sustantivas de investigación criminal, la necesidad de adoptar las medidas mencionadas en la operación de todos y cada uno de los sistemas que impliquen el tratamiento de datos personales.
A propuesta del comisionado Guerra Ford, el Pleno del INAI ordenó a la Fiscalía General de la República publicar en su portal y en la Plataforma Nacional de Transparencia la versión pública de los contratos celebrados en 2016 y 2017, para la actualización de la licencia de uso del software.
Al votar la resolución en sesión pública del Pleno, el comisionado presidente, Francisco Javier Acuña Llamas, aseguró que el Instituto desde junio de 2017, cuando apenas el caso alcazaba una dimensión internacional, inició una investigación de oficio y, posteriormente, en noviembre de 2018, un procedimiento de verificación a la entonces PGR, por lo que ahora es necesario que la Fiscalía actúe en consecuencia: “Hoy, con honradez republicana, podemos decir que el INAI llega a poner a la República elementos para que la autoridad de una Fiscalía General autónoma, de la que mucho debemos esperar todos los mexicanos, deba hacer una revisión integral; reabrir cuantas carpetas de investigación se puedan y abrir las nuevas que hagan falta para llegar a poder sentar las bases para que ese acto de no repetición tenga verdadera promesa”.
El comisionado Joel Salas Suárez afirmó que el INAI, en el ámbito de sus atribuciones, responde a la demanda de contribuir a esclarecer el caso Pegasus; sin embargo, consideró necesario que todas las autoridades competentes cierren filas para hacer las investigaciones correspondientes, que permitan develar la verdad: “La resolución de verificación oficial a la Procuraduría General de la República llevada a cabo por el INAI agota los aspectos relacionados con la garantía del derecho de protección de datos personales, pero continúan los procesos penales, a cargo de la Fiscalía Especial para la Atención de Delitos cometidos contra la Libertad de Expresión, de la hoy Fiscalía General de la República e inician los procesos administrativos que se deriven a cargo de su Órgano Interno de Control”.
La comisionada Blanca Lilia Ibarra Cadena señaló que la resolución adoptada hace evidente la forma en que la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) coadyuva al ejercicio y respeto de los derechos y libertades y por ende al fortalecimiento de la democracia en México, pues prevé una serie de mecanismos correctivos para advertir tratamientos de datos personales que no se ajustan a su disposición: “Es una resolución apegada a principios constitucionales y estándares internacionales, que busca inhibir categóricamente conductas ilícitas que atenten contra la libertad de expresión, pues pone de manifiesto que cualquier intervención de comunicaciones sin que cumplan los requisitos legales para su realización, así como los principios y deberes de Ley General de Protección de Datos Personales en Posesión de sujetos obligados será investigada y sancionada”.
La comisionada María Patricia Kurczyn Villalobos señaló que el procedimiento de verificación arrojó como resultado el incumplimiento de la dependencia con el deber de seguridad y el principio de responsabilidad.
Enfatizó que, con independencia de las medidas que deberá adoptar el sujeto obligado y la vista dada al Órgano Interno de Control, no se deben limitar las acciones que correspondan conforme a las leyes de transparencia, las normas penales y en general toda aquella legislación vigente aplicable al caso.
El comisionado Oscar Guerra Ford informó que el siguiente paso es que el Instituto presente una denuncia ante la Fiscalía General de la República sobre las irregularidades detectadas, con el propósito de que el Ministerio Público inicie las investigaciones correspondientes: “Es una oportunidad que tiene esta nueva Fiscalía, en su carácter de autónoma, y esta nueva administración, de poder aclarar e indagar si sí o no, como lo dijo el 19 de diciembre el actual Presidente de la República, él dijo que ya no habrá golondrinas en el alambre, primero hay que ver si no hubo antes y si hubo que se hagan las investigaciones, se demuestren los hechos y se hagan las sanciones”.
El comisionado Rosendoevgueni Monterrey Chepov destacó que, con el procedimiento de verificación y las medidas instruidas a la Fiscalía, el Instituto brinda certeza de que este tipo de tecnología no pueda ser utilizada sin contar con los controles adecuados y suficientes en materia de protección de datos personales: “En el caso que discutimos hoy la materia de protección de datos personales se abordó con la máxima exhaustividad y congruencia, por lo que el INAI, con el dictado de la resolución al procedimiento de verificación, cumple con su parte al establecer las medidas y las consecuencias ante el uso de este tipo de tecnología en términos de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados”.
Con información del INAI
