Una vez confirmada la eventual vulneración a datos personales en posesión de la Secretaría de Infraestructura, Comunicaciones y Transportes (SICT), la dependencia cuenta con 72 horas máximo, para notificar del ataque cibernético al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
“El artículo 66 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público prevé un plazo máximo de 72 horas para que la SICT notifique la vulneración de seguridad en materia de datos personales a este Instituto, el cual comienza a correr el mismo día natural en que se confirme el hecho y se hayan comenzado a tomar las acciones encaminadas a detonar un proceso de mitigación”.
La dependencia tendrá que detallar al INAI, la naturaleza del incidente; la hora y fecha de la identificación de la vulneración, el inicio de la investigación, así como las categorías y número aproximado de titulares afectados; las circunstancias en torno a la vulneración ocurrida; los sistemas de tratamiento y datos personales comprometidos; así como las acciones correctivas inmediatas, y las posibles consecuencias del ataque cibernético.
Esto de acuerdo con el artículo 38 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que establece que vulneraciones de seguridad, pérdida o destrucción no autorizada de datos personales; robo, extravío o copia no autorizada; así como uso, acceso o tratamiento no autorizado, daño, alteración o modificación no autorizada, deberá ser notificada al INAI..
La SICT, como sujeto obligado de la LGPDPPSO y responsable del tratamiento de datos personales que posee, debe informar sin dilación alguna al titular, así como al INAI sobre las vulneraciones que pudieran generar afectaciones a los derechos patrimoniales o morales de los titulares, tal como lo establece el artículo 40 de la Ley General.
Cumplida esta obligación, el INAI como organismo garante del derecho a la protección de datos personales, realizará las investigaciones correspondientes con la finalidad de allegarse de elementos que le permitan determinar el inicio de un procedimiento de verificación.
A través de la Dirección General de Evaluación, Investigación y Verificación del Sector Público de la Secretaría de Protección de Datos Personales, estableció contacto con la SICT, a fin de brindarle apoyo técnico para el cumplimiento de las obligaciones establecidas en la LGPDPPSO e informarle, mediante un oficio, sobre el deber de notificar tanto al INAI como a los titulares sobre la posible afectación de sus datos personales, por un acceso ilícito a los equipos informáticos de la dependencia.
C$T-EVP