El Instituto Veracruzano de Acceso a la Información y Protección de Datos Personales (IVAI) determinó que la Comisión Municipal de Agua Potable y Saneamiento de Xalapa (CMAS) –al responder a una solicitud para conocer la relación de personas morales y empresas morosas con montos y adeudos y si tenían convenios– incurrió en irregularidad al proporcionar datos confidenciales distintos a los solicitados, como el número de cuenta de los usuarios.
Dentro del estudio del recurso de revisión IVAI-REV/1969/2018/I, el órgano garante identificó que la coordinadora de Acceso a la Información Pública, el gerente comercial y el jefe de la Unidad de Ejecución Fiscal remitieron al solicitante un listado que contenía datos confidenciales, por lo que estos documentos se dejaron en el secreto de la Secretaría de Acuerdos del IVAI.
Pese a que el Instituto emitió un acuerdo sobre el resguardo de esta documentación, los servidores públicos mencionados remitieron al organismo la misma información con los datos personales confidenciales, aun cuando esta situación ya había sido analizada en otro expediente interpuesto en contra de CMAS Xalapa, del cual el ente ya tenía conocimiento.
Por tanto, al no haberse tomado medidas de seguridad en la protección de los datos personales al proporcionar la información, los comisionados Yolli García Alvarez, José Rubén Mendoza Hernández y Arturo Mariscal Rodríguez ordenaron dar vista al Órgano Interno de Control de la Comisión Municipal para que verifique que estas se tomen en todas las áreas y aplique, en su caso, las sanciones correspondientes.
Por otro lado, el IVAI consideró que esta información no puede permanecer en un sitio abierto como es la consulta pública del Sistema de Solicitudes de Información de Veracruz al que cualquier persona puede acceder; es así que ordenó notificar a su propia Unidad de Sistemas Informáticos para que, en el ámbito de sus funciones, proceda a bajar el archivo.
En ese sentido, CMAS Xalapa deberá proporcionar al peticionario el listado vigente a la fecha de la solicitud de información, únicamente con el nombre de los deudores, domicilio donde se consume el agua, montos del adeudo y señalar si tienen convenio, ya que ningún otro dato es pertinente.
En otros asuntos, el IVAI resolvió el expediente de investigación IVAI-INVS/1567/2018 y su acumulado, formado a raíz de dos denuncias en materia de datos personales que dos personas presentaron en contra del Comité de Participación Ciudadana (CPC) del Sistema Estatal Anticorrupción (SEA) de Veracruz, luego de que este les aplicara una encuesta en la dependencia en que trabajaban y notaran que el aviso de privacidad correspondía a casos en que se presentan denuncias relacionadas con corrupción y no a los datos personales que les recabaron. Uno de los denunciantes solicitó, además, que se garantizara que no se diera mal uso a los datos que proporcionó al CPC.
De la revisión de las denuncias, se observó que ninguna contaba con firma, que una de ellas era anónima y que en la otra se solicitaba que sus datos no se dieran a conocer. Para los comisionados, esta circunstancia no debía generar la extinción de la investigación, ya que tienen atribuciones para actuar de oficio y, además, requerir los requisitos faltantes y que no se proporcionaran hubiese impedido investigar la posible vulneración a datos personales. Por tanto, el actuar del organismo es acorde con el principio de expeditez al que debe ceñirse.
En principio, el Instituto estableció que si bien los miembros del CPC no son servidores públicos, reciben remuneración con cargo al erario; que al recabar datos personales son sujetos obligados para efectos de la ley de la materia y que sus actos son equiparables a los de una autoridad.
De la revisión del aviso de privacidad que venía en la encuesta, se observó que efectivamente la liga electrónica que se insertó no correspondía a la acción que se estaba llevando a cabo. Por tanto, se requirió al Comité para que informara diversas cuestiones acerca de los hechos denunciados, ante lo que manifestó que por un error involuntario el vínculo remitía a un documento distinto.
Como parte de la investigación, el IVAI llevó a cabo una visita a las instalaciones del CPC donde verificó que no contaban con protocolos de control y acceso al lugar donde se resguardan las encuestas, pues el ingreso fue permitido por el Secretario Técnico de la Secretaría Ejecutiva del SEA y no por los responsables del tratamiento de los datos, esto es, cualquiera de los miembros del Comité.
Asimismo, se detectó que había una falta de mobiliario que resguardara la información, mismo que no contaba con llaves; no existían medidas de protección civil ni protocolos de seguridad para prevenir o atender contingencias ambientales, de desalojo y resguardo de información; y no se contaba con un sistema de gestión que asegure el ciclo de vida de los datos personales.
El Pleno del IVAI determinó que con la confesión expresa por parte del CPC quedó acreditada la vulneración del tratamiento de los datos personales; que si bien el Comité dio aviso posteriormente al Instituto de que había publicado el aviso de privacidad correcto en la liga, omitió colocar el aviso de privacidad simplificado en la encuesta al hacer la corrección y no tomó ninguna medida compensatoria para informar del cambio por lo menos en todas las dependencias donde aplicó la encuesta, situación que la norma establece como necesaria.
Así, el IVAI determinó presentar una denuncia dirigida al Órgano Interno de Control de la Secretaría Ejecutiva del SEA para que en el ejercicio de sus atribuciones inicie el procedimiento respectivo y determine si corresponde la aplicación de alguna sanción. Además, los comisionados ordenaron que se adopten diversas medidas relacionadas con la elaboración de avisos de privacidad; un diagnóstico de seguridad física, administrativa y técnica en el área donde se resguarda la información; y establecer un vínculo de colaboración entre los integrantes del Comité y la Unidad de Transparencia de la Secretaría Ejecutiva del SEA para que esta dé trámite y atención a las solicitudes de derechos ARCO e implemente las medidas de seguridad para la protección de datos personales.