Advierten posible vulneración de datos personales

CIUDAD DE MÉXICO.- El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales ( Inai) advirtió sobre una posible vulneración de datos personales en posesión de la Secretaría de Infraestructura, Comunicaciones y Transportes (SICT), tras el ataque cibernético a sus equipos informáticos, registrado el 24 de octubre pasado.
Por ese motivo, la SICT, debe informar "sin dilación alguna" al titular, así como al Inai sobre las vulneraciones de las que haya sido objeto, en cuanto éstas hayan sido confirmadas.
Explicaron que de acuerdo con el artículo 38 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), "se consideran vulneraciones de seguridad la pérdida o destrucción no autorizada de los datos personales; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, y el daño, la alteración o modificación no autorizada".
Agregaron que, conforme al artículo 66 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público, la SICT cuenta con un plazo máximo de 72 horas para notificar la vulneración de seguridad, el cual comienza a correr el mismo día natural en que se confirme el hecho y se hayan comenzado a tomar las acciones encaminadas a detonar un proceso de mitigación.
Como parte de la notificación, la dependencia deberá informar al Inai, entre otras cuestiones, la naturaleza del incidente; la hora y fecha de la identificación de la vulneración, así como del inicio de la investigación del hecho; las categorías y número aproximado de titulares afectados; las circunstancias en torno a la vulneración ocurrida; los sistemas de tratamiento y datos personales comprometidos; las acciones correctivas realizadas de forma inmediata, y las posibles consecuencias de lo ocurrido.
Una vez recibida la notificación, el Instituto, como organismo garante del derecho a la protección de datos personales, estará en posibilidad de realizar las investigaciones previas con la finalidad de allegarse de elementos que le permitan, en su caso, determinar el inicio de un procedimiento de verificación.
En tanto, el Inai, a través de la Dirección General de Evaluación, Investigación y Verificación del Sector Público de la Secretaría de Protección de Datos Personales, ha establecido contacto con la SICT, a fin de brindarle apoyo técnico para el cumplimiento de las obligaciones establecidas en la LGPDPPSO e informarle, mediante un oficio, sobre el deber de notificar tanto al Instituto como a los titulares sobre la posible afectación de datos personales, tras el acceso ilícito a sus equipos informáticos.