IVAI acredita inadecuado tratamiento de datos personales por parte del IPE

Xalapa, Ver., 13 de junio de 2017.- Tras la sesión pública de este día, el Instituto Veracruzano de Acceso a la Información y Protección de Datos Personales (IVAI) resolvió el instructivo de responsabilidad 2/2017, interpuesto por un particular ante la presunta violación a la Ley para la Tutela de los Datos Personales en el Estado de Veracruz en contra del Instituto de Pensiones del Estado (IPE), en el que dio por acreditada la responsabilidad de ex servidores de dicho organismo por el inadecuado tratamiento de datos personales.

Este asunto se originó tras la queja que una persona presentó porque fue filtrado el acuerdo 88366, aprobado por el IPE el 24 de noviembre de 2016, por el que se modifica el monto de su pensión tras un trámite que realizó; se dieron sus datos sin autorización y fueron publicados en distintos medios de comunicación.

El afectado manifestó que esto transgredía las medidas de protección y confidencialidad que deben resguardar todos los servidores respecto de los datos personales que se entregan a las dependencias públicas.

Primeramente, al abrir el expediente, el IVAI dio vista a la Contraloría General del Estado con los documentos que se acompañaron en la queja para que procediera conforme a sus atribuciones en contra de aquellos ex servidores o servidores del IPE por los hechos que podrían constituir una irregularidad.

Luego del análisis de los comisionados Yolli García Alvarez y José Rubén Mendoza Hernández, el Instituto dejó a salvo los derechos del promovente para ejercer sus derechos de Acceso, Rectificación, Cancelación u Oposición (ARCO) ante los medios de comunicación privados que dieron difusión a sus datos.

En caso de que estos no le contesten o si la respuesta no le satisface, puede iniciar un procedimiento ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) que sería la instancia competente, toda vez que a que los medios de comunicación les rige la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Es así que el IVAI analizó concretamente si se realizó un indebido tratamiento de la información personal que tenía en su poder la dependencia, y concluyó que no tendría por qué publicarse el nombre ni el monto que la persona alcanzaría como pensión, puesto que –como lo reconoció el propio IPE– esta aún no tiene la calidad de pensionista, solo inició un trámite para que se determinara la cantidad que le correspondería; por lo que esos datos no corresponden a obligación de transparencia.

Si bien es información pública que alguien podría solicitar para conocer qué servidores han hecho trámite para ser considerados pensionados y con qué monto se han autorizado, no entra en el supuesto de la información que debe estar publicada, ya que todavía no se le están dando recursos públicos.

Una vez acreditada la vulneración, el IVAI deslindó de responsabilidad a la titular de la Unidad de Transparencia ya que –además de que el IPE rechazó que la información se hubiera dado al responder alguna solicitud de acceso– se verificó el sistema Infomex y se descartó que hubiese petición sobre ello; asimismo, exoneró al titular del banco de datos pues de acuerdo a la normatividad no tiene facultades para intervenir en la tramitación del acuerdo citado.

Por tanto, los comisionados encontraron como responsable directa a la persona que en ese tiempo ocupaba la Subdirección de Prestaciones Institucionales, ya que no tuvo cuidado en el tratamiento de dichos datos personales. Igualmente, identificaron una culpa in vigilando por parte del entonces director general del IPE y del consejo directivo porque ellos tienen como obligación supervisar y vigilar el adecuado actuar de los servidores públicos.

Tras estas conclusiones, el IVAI en el fallo ordenó dar nuevamente vista a la Contraloría –la cual ya inició procedimiento por la primera vista que le había dado el Instituto– para que al momento de resolver tome en cuenta que en concepto del IVAI sí quedó debidamente acreditada la responsabilidad de un inadecuado tratamiento de datos personales por parte de las personas señaladas. La Contraloría, en el ejercicio de sus atribuciones, tendrá que aplicar las medidas que considere pertinentes y adecuadas para inhibir que este tipo de conductas se repitan.

Finalmente, el IVAI puso de manifiesto que los servidores que actualmente ocupan los cargos a los que se les encontró responsabilidad y que tomaron posesión el 1 de diciembre de 2016 no han realizado ninguna acción para garantizar el adecuado tratamiento de los datos personales de los pensionados e incluso de los que trabajan en el Instituto.

Por tal motivo, los comisionados los apercibieron para que en un plazo que no exceda de 30 días realicen dos acciones: desarrollar un protocolo de incidencias que analice lo que originó la vulneración de los datos personales de la persona que se quejó y elaborar los documentos de seguridad para garantizar la protección de los datos personales tanto de pensionados como de derechohabientes en activo.

Lo anterior, puesto que es la primera vez que el IVAI tiene conocimiento de que se haya cometido una falta de esta naturaleza. Sin embargo, si no cumplen en este plazo, se aplicará una sanción de acuerdo al contenido del artículo 62 de la ley de la materia, que podrían ser multas de 50 a 500, 300 a mil o de mil a diez mil días de salario mínimo, de acuerdo a la gravedad de la conducta con la que se conduzcan.

En la sesión pública del día de hoy, el Instituto Veracruzano de Acceso a la Información y Protección de Datos Personales resolvió además 17 recursos de revisión.