El 20 de febrero pasado, el Pleno del INAI resolvió el caso “Pegasus”, del que debemos recordar, tiene que ver con la adquisición de un programa cibernético, de tipo malware, por parte de la entonces Procuraduría General de la República (PGR) a una empresa denominada Grupo Tech Bull, S.A. de C.V. por 32 millones de dólares, unos 800 millones de pesos. Por otro lado, el importante número de quejas y denuncias formuladas por diversas comunicadoras y comunicadores, miembros de la sociedad civil y defensoras y defensores de Derechos Humanos, quienes señalaron ser víctimas de espionaje con el referido malware.
El INAI, de manera oficiosa, decidió iniciar una investigación formal previa el 30 de junio de 2017, dirigida a diversos sujetos obligados, pero encontró elementos formales para su continuación sólo en el caso de la PGR, pues se hallaron elementos como contratos relacionados con la adquisición del programa, materia de investigación. Desde esa fecha, se llevó a cabo un proceso exhaustivo de investigación, de obtención de pruebas, de valoración de las mismas y de un profundo análisis sobre cuál debería ser la determinación formal del INAI.
Al respecto, el 23 de noviembre de 2018, en cumplimiento a lo dispuesto en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), el INAI aprobó el inicio de una verificación a la entonces Procuraduría General de la República, relacionada con la adquisición del malware “Pegasus”.
Investigación
Durante la investigación, el INAI requirió a la PGR aclarar si entre 2015 a julio de 2018 ese órgano adquirió licencias de uso del programa o sus actualizaciones, a lo que la PGR respondió no haber adquirido actualización alguna del software mencionado; siendo oportuno reiterar que la vigencia del contrato de adquisición de la tecnología mencionada lo fue del 29 de octubre al 31 de diciembre de 2014”. Sin embargo, la hoy Fiscalía General, autónoma, informó el lunes 18 de febrero pasado que el software también fue contratado para los años 2016 y 2017, información fundamental y que dio sentido a la resolución, en la cual, se confirmó el incumplimiento al deber de seguridad, ya que la entonces PGR, estaba obligada a contar con un sistema de gestión y el documento de seguridad a que se refiere la ley general de la materia, aun cuando declara no haberlo utilizado, excusándose en que al momento de la compra del malware, las leyes en la materia no eran vigentes.
Sin embargo, al acreditarse que en los años 2016 y 2017 ese órgano de seguridad pública, adquirió la actualización del licenciamiento de dicho software, es inminente la obligación que tenía de contar con lo señalado.
Asimismo, se concluyó que la PGR incumplió con el principio de responsabilidad, toda vez que, no acreditó a este Instituto el borrado seguro del software, ni de las bases electrónicas que se pudieron generar.
Pegasus
Por lo anterior, se ordenó dar vista al Órgano Interno de Control de la Fiscalía General a fin de que determine las responsabilidades administrativas correspondientes, respecto de los servidores públicos de la entonces PGR involucrados en la contratación y utilización del programa Pegasus, así como por la obstrucción de las funciones de verificación del INAI. Además, se da vista a la Auditoría Superior de la Federación con motivo de la adquisición de un programa que, según lo sostenido por el sujeto obligado, no habría sido utilizado. Finalmente, se instruyó a la presentación de una denuncia ante la Fiscalía General de la República por la presunta comisión del delito de ejercicio ilícito del servicio público, al no existir documentos que debieron generarse según lo pactado en los contratos relacionados con el programa.
Con esta determinación se sienta un importante precedente en la protección de la actuación de la sociedad civil organizada, tanto de personas que ejercen el periodismo, como de aquellas que desarrollan acciones de activismo social en lo individual o a través de organizaciones, o defensoras y defensores de Derechos Humanos frente a cualquier actuación excesiva por parte de cualquier órgano del Estado, que vulnere, entre otros, su derecho de protección de datos personales.
Somos un país que ha conquistado avances democráticos importantes, que está en camino de su consolidación, con logros fundamentales en la protección de los Derechos Humanos, como de libre expresión, libre comunicación y protección de la privacidad y los datos personales, por ello cualquier acción de espionaje por parte del Estado debe ser rotundamente rechazada. La sociedad civil ha jugado un papel relevante para generar contrapesos y un rol de vigilancia de la actuación de nuestras autoridades. Mientras que los organismos autónomos hoy cumplen un papel relevante para darle seguimiento y verificar el cumplimiento de los compromisos de los gobernantes en turno. Por todo ello, México no necesita un Gobierno Espía, hoy cuenta con una sociedad madura y participativa y priva un clima de pluralidad e inclusión que debemos cuidar para que sigamos avanzando como una nación que privilegia los valores de la democracia.
De esta suerte, con resoluciones como la del caso Pegasus, así como otras relevantes, como aquellas donde se abre la información y se le instruye a la ahora Fiscalía General de la Nación que entregue una versión pública de la averiguación que se sigue en el conocido asunto sobre la empresa Odebrecht y presuntos actos de corrupción, el INAI refrenda su vocación ciudadana y autónoma, y su Pleno se confirma convencido de una actuación garantista en beneficio de los pilares de su función como son la Transparencia y el Acceso a la Información, además como en este caso, de la Protección de los Datos Personales, en posesión de sujetos privados y también en posesión de sujetos públicos, además de uno de los principales aliados en la lucha contra la corrupción.