La SCT cometió violaciones en la transición digital: INAI

Redacción. El Pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) coincidió en señalar que la Secretaría de Comunicaciones y Transportes cometió violaciones a la ley  materia de Protección de Datos Personales con motivo del Programa de Trabajo para la Transición a la Televisión Digital Terrestre.

Durante la sesión de este jueves los comisionados aprobaron el Informe de Resultados con motivo del Programa de Trabajo para la Transición a la Televisión Digital y Terrestre, cuyo Acuerdo e Inicio de Investigación se dio por parte de este Pleno el 18 de agosto del año pasado, el cual tenía como objeto realizar las diligencias, gestiones y acciones necesarias para esclarecer si la SCT cumplía a cabalidad los principios rectores de la Protección de Datos Personales y para garantizar su adecuado tratamiento con motivo de dicho Programa.

En dicho programa se determinó que la SCT violó diversas disposiciones e incumplió con los objetivos para la obtención de datos personales que se recabaron con motivo del programa de trabajo para la transición a televisión digital terrestre, específicamente sobre las 10 huellas dactilares y la fotografía de los beneficiaros, mismos que no se encuentra previsto en ninguno de los ordenamientos legales.

Al presentar el informe el coordinador de Protección de Datos Personales del INAI, Gustavo Parra Noriega, dio a conocer que se concluyó que Principio de Licitud no se cumplió toda vez que la Secretaría de Comunicaciones y Transportes no recabó los Datos Personales a través de los medios previstos en las disposiciones legales que la facultan para tal efecto.

Y es que indicó que debió celebrarse el Convenio correspondiente con la Secretaría de Gobernación para haber permitido recabar los Datos Personales Biométricos.

Asimismo, señaló que la SCT incumplió con el Principio de Finalidad, toda vez que los Datos Personales que fueron recabados y se registraron con motivo del referido Programa, específicamente la recolección de 10 huellas dactilares y la fotografía de los beneficiarios, no cumple con su objetivo y fueron obtenidos por una finalidad no legítima consistente en la actualización de Padrones de Programas Federales, toda vez que dicha finalidad no estaba prevista en la normatividad que permitiera el tratamiento de Datos Personales al no contarse con el convenio específico, con la Secretaría de Gobernación que lo facultara para recaba esos datos personales biométricos como dependencia registradora.

De igual manera, se indicó que los principios de proporcionalidad y de calidad no se cumplieron pues no se justificó que dichos datos fueran los estrictamente necesarios para cumplir con los fines para los cuales se obtuvieron, en virtud de que la obtención mencionada se basó en el convenio con la SEDESOL y no existió el convenio celebrado con la Secretaría de Gobernación. Así como tampoco se llevaron a cabo las acciones necesarias para garantizar que los datos personales recabados con motivo de este programa fueran exactos y actualizados, ya que existía la posibilidad de que se hubieran recabado datos personales de personas que no son beneficiarias del programa en comento, e incluso había y hubo el riesgo de duplicidad de huellas dactilares y fotografías de representantes.

Respecto al análisis del principio de información, se concluyó que la Secretaría de  Comunicaciones y Transportes cumplió parcialmente este principio, toda vez que la leyenda de información utilizada con motivo de la obtención de los datos personales de los beneficiarios, se omitió señalar el nombre del Sistema de Datos Personales en el que serían incorporados, así como el nombre de la unidad administrativa responsable y en su caso la posibilidad de realizar otras transmisiones, además de a la Secretaría de Desarrollo Social.

Y en cuanto al principio de consentimiento,  se concluyó que no encontrarse la obtención eventual, transmisión de los datos biométricos prevista en el marco legal que fundamenta la existencia e implementación de dicho programa, ni obedece las atribuciones de la Secretaría de Comunicaciones y Transportes, no le resultaba aplicable la excepción al consentimiento previsto en el Artículo 22, fracción III,  e la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, y por lo tanto, se encontraba obligada a obtener de los beneficiarios su consentimiento expreso para dar tratamiento a los datos personales biométricos. Lo que en el caso concreto no sucedió y, por lo tanto la Secretaría de Comunicaciones y Transportes incumplió parcialmente el principio de consentimiento.

Mientras que de los principios de cuidado, custodia y seguridad o deberes,  se encuentran parcialmente atendidos, así como también el de seguridad, ya que en el tratamiento de los datos personales derivados de dicho programa se omitió contar con un lugar alterno para el resguardo de los respaldos, así como con el documento de seguridad en el que se plasmaran las medidas de seguridad físicas, administrativas y técnicas, cuya implementación fue constatada por este Instituto.

De tal manera, los comisionado que integran el Pleno del INAI votaron a favor del acuerdo mediante el cual se emiten recomendaciones a la Secretaría de Comunicaciones y Transportes derivado de los incumplimientos en materia de protección de datos personales con motivo del Programa de Trabajo para la Transición a la Televisión Digital Terrestre.

Así como también se propuso dar vista al Órgano de Control Interno de la Secretaría de Comunicaciones y Transportes, respecto a los incumplimientos detectados a los principios antes aludidos, a efecto de que en el ámbito de sus atribuciones determine lo que en Derecho corresponda.

De manera precisa el Pleno del  INAI emitió las siguientes recomendaciones:

Respecto al principio de licitud, se recomienda a la Secretaría de Comunicaciones y Transportes, se abstenga de dar tratamiento a los datos personales biométricos que recabó, ya que se determinó que su obtención no se encontraba prevista en el marco legal aplicable al programa de mérito.

Asimismo, le recomendó firmar los convenios para la obtención de todos los datos personales que se pretendan recabar y que se apegue a las facultades y obligaciones establecidas en su normatividad que rige la actuación en el caso concreto y a la normatividad en materia de protección de datos personales.

Además recomendó  a la Secretaría de Comunicaciones y Transportes que circunscriba el tratamiento de los datos personales recabados, a los fines establecidos en el marco jurídico aplicable al Programa de Trabajo para la Transición a la Televisión Digital Terrestre.

Así como se recomienda a la Secretaría de Comunicaciones y Transportes, establecer un periodo de bloqueo en el que se deberá considerar las obligaciones en materia de transparencia y rendición de cuentas, a las que la dependencia se encuentra sujeta durante dicho periodo, por lo que  los datos personales biométricos que fueron recabados, es decir, las 10 huellas dactilares y la fotografía, no pudieran ser objeto de tratamiento alguno, incluyendo la transmisión de los mismos a cualquier otra dependencia o entidad.

También se recomienda a la Secretaría de Comunicaciones y Transportes, que al implementar programas o servicios que impliquen la obtención de datos personales, además de  informar mediante la leyenda correspondiente que los datos personales serán protegidos en términos de la normatividad aplicable, los fundamentos legales que facultan a dicha dependencia para recabar los datos personales, las finalidades para las cuales serían tratados, las posibilidades de transmisiones y su finalidad, así como el domicilio de la Unidad de Enlace.

Respecto a los principios de cuidado, custodia y de seguridad, se recomienda a la Secretaría de Comunicaciones y Transportes, contar con otro lugar distinto al ubicado en el Centro de Datos Alestra Querétaro, destinado a almacenar los medios de respaldo del Sistema de Datos Personales, que cumpla con las condiciones de seguridad especificadas en los lineamientos de protección de datos personales, a fin de dar cumplimiento a la normatividad.

(Con información de MVS).