Investigarán al Ayuntamiento de Morelia por supuesto “hakeo”; violaron el derecho a la protección de datos personales

Morelia, Michoacán.-El pleno del Instituto Michoacano de Transparencia, Acceso a la Información y Protección de Datos Personales aprobó iniciar una investigación al Ayuntamiento de Morelia con motivo del hackeo o robo de bases de datos que aparentemente sufrió. Luego iniciará un procedimiento de verificación.

Ello una vez que se fundó la existencia de violaciones al derecho de la protección de datos personales.

Los comisionados del IMAIP aprobaron en sesión la resolución del expediente de verificación iniciado de oficio contra el H. Ayuntamiento de Morelia el pasado 22 de agosto de 2021 con motivo del hackeo y/o robo de bases de datos que sufrió el referido Ayuntamiento.

El sentido de la resolución fue que resultó fundada la existencia de violaciones al derecho de protección de datos personales contenido en los artículos 6° y 16 de la Constitución Política de los Estados Unidos Mexicanos; considerando que se transgredieron el principio de responsabilidad y el deber de seguridad, previstos en los artículos 3, fracciones XX, XXI, XXII y XXIII, 26, fracciones IV, V, VI, VII, 27, 28, fracciones III, IV, VI, VII y VIII, 33 y 34, fracciones II, III y IV de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Michoacán y 34 de los Lineamientos de la ley invocada.

El hackeo afectó 16 bases de datos, de las cuáles seis se tratan de bases de datos personales, siendo las siguientes:

1. Servidor Morelia 12. Sistema Catastral. (Actualización del padrón cartográfico, cuenta con los valores catastrales de los predios y sus adeudos), se utiliza para la actualización del impuesto predial.
2. Servidor Morelia 13. Sistema Licencias de Funcionamiento. El cual se utiliza para la expedición y actualización de Licencias de los comercios establecidos y sus adeudos.
3. Servidor Morelia 14. Sistema Licencias de Funcionamiento. El cual se utiliza para la expedición y actualización de Licencias de los comercios establecidos y sus adeudos.
4. Servidor Morelia 15. Historial Sistema SISAM (Sistema de Administración Municipal). Se utiliza para captura y seguimiento de los documentos que afectan el presupuesto de egresos y contabilidad, se tiene la información de trámites y servicios de ejercicios cerrados anteriores al dos mil veintiuno.
5. Servidor Morelia 042. Servidor de Respaldos. Que por su naturaleza contiene la información de uno, de varios o de todos los demás servidores, es decir que, se conforma y caracteriza por albergar la información y datos personales que obran en otros servidores.
6. Servidor Morelia 043. Sistema Mejora Regulatoria. Se tiene la aplicación y base de datos de los trámites y servicios solicitados por la ciudadanía por medio de la plataforma en línea.

Lo anterior causó violación al derecho de protección de datos personales, en específico al principio de responsabilidad y al deber de seguridad, en virtud de que el sujeto obligado evitó prevenir el ciberataque a los servidores mencionados.

Debido a esto, se dictaron medidas para el Ayuntamiento de Morelia, con las cuales se podrán evitar hackeos futuros a las bases de datos personales municipales, como lo son: capacitación con carácter de urgente, auditorías y revisiones, análisis de riesgo, documento de seguridad, así como políticas, guías, estándares, métodos y procesos, entre otras medidas impuestas.

Asimismo, en la resolución se ordenó dar vista a:

1. El Órgano Interno de Control del Ayuntamiento de Morelia, Michoacán, a efecto de que determine si existe responsabilidad administrativa en el actuar de los servidores públicos que estuvieron involucrados en el tratamiento de datos personales que sufrieron afectación.
2. A la Coordinación Jurídica de este Instituto, para que informe al Pleno, si existen motivos y fundamentos para presentar denuncia ante el Ministerio Público de la Fiscalía General del Estado de Michoacán, en contra de quienes resulten responsables por el incumplimiento al principio de responsabilidad y al deber de seguridad, así como por el incumplimiento de sus obligaciones para la protección de los datos personales contenidos en los servidores y sistemas afectados del Ayuntamiento de Morelia, Michoacán.