Senado de la República.
LXIII Legislatura, Tercer Año de Ejercicio.
Sabado 18 de noviembre de 2017
Gaceta del Senado
    
    

¿Qué es la Gaceta?

La Gaceta es el órgano informativo  oficial del Senado. Depende de la Mesa Directiva y cuenta con un Consejo Directivo formado por los miembros de la propia Mesa y por los secretarios generales de  Servicios Administrativos y de Servicios Parlamentarios; el Presidente de la Mesa lo es del Consejo.

Artículo 306 del Reglamento del Senado de la República.

Leer más
Miércoles 10 de Julio de 2013
Gaceta: LXII/1SPR-19/42276
Miércoles 10 de Julio de 2013
Gaceta: LXII/1SPR-19/42276

De la Segunda Comisión, el que contiene punto de acuerdo:
Por el que se solicita un informe relativo a la tramitación recaída y el estado que guarda la solicitud de verificación sobre el manejo de datos personales contemplado en la Ley de Protección de Datos Personales en Posesión de Particulares, solicitado por diversas organizaciones de la sociedad civil en los expedientes IFAI/SPDP/DGV/544/2013 y IFAI/SPDP/DGV/545/2013, con relación al presunto uso indebido del software “Finfisher” por parte de cualquier proveedor de servicios de telecomunicaciones.

FUE APROBADO, EN VOTACIÓN ECONÓMICA.

SEGUNDA COMISIÓN

RELACIONES EXTERIORES, DEFENSA NACIONAL Y EDUCACIÓN PÚBLICA

DICTAMEN CON PUNTO DE ACUERDO POR EL CUAL SE EXHORTA AL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS, DAR INICIO AL PROCEDIMIENTO DE VERIFICACIÓN SOBRE EL MANEJO DE DATOS PERSONALES CONTEMPLADO EN LA LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES, SOLICITADO POR DIVERSAS ORGANIZACIONES DE LA SOCIEDAD CIVIL PARA INVESTIGAR EL PRESUNTO USO EN TERRITORIO MEXICANO DEL SOFTWARE PARA ESPIONAJE “FINFISHER”.

HONORABLE ASAMBLEA

A la Segunda Comisión de Trabajo de la Comisión Permanente del H. Congreso de la Unión, Relaciones Exteriores, Defensa Nacional y Educación Pública, en el Segundo Receso del Primer Año de Ejercicio Constitucional de la LXII Legislatura, fue turnada para su análisis y dictamen la Proposición con Punto de Acuerdo que exhorta al Instituto Federal de Acceso a la Información y Protección de Datos a dar inicio al procedimiento de verificación sobre el manejo de datos personales contemplado en la Ley de Protección de Datos Personales en Posesión de Particulares, solicitado por diversas organizaciones de la sociedad civil para investigar el presunto uso en territorio mexicano del software para espionaje "FINFISHER".

Con fundamento en el artículo 78 fracción III de la Constitución Política de los Estados Unidos Mexicanos; de los artículos 116, 127 y demás aplicables de la Ley Orgánica del Congreso General de los Estados Unidos Mexicanos; así como de los artículos 58, 60, 87, 88, 176 y demás aplicables del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, los legisladores integrantes de esta Segunda Comisión, sometemos a la consideración del Pleno el presente Dictamen, de conformidad con los siguientes:

ANTECEDENTES

1. Con fecha 3 de julio de 2013, el Diputado Juan Pablo Adame Alemán, integrante del Grupo Parlamentario del Partido Acción Nacional, presento ante el Pleno de la Comisión Permanente del Congreso de la Unión la proposición de mérito.

2. En esa misma fecha la Presidencia de la Mesa Directiva de la Comisión Permanente del Congreso de la Unión, dispuso que dicha proposición con Punto de Acuerdo se turnara para su estudio y elaboración del dictamen correspondiente a la Segunda Comisión, de Relaciones Exteriores, Defensa Nacional y Educación Pública, por lo que en este acto se emite el Dictamen correspondiente, de conformidad con lo siguiente:

CONTENIDO DE LA PROPOSICIÓN

El legislador proponente del punto de acuerdo que se dictamina, establece expresamente en sus consideraciones:

“La universidad de Toronto en Canadá publicó el 25 junio del 2012 una investigación realizada en su laboratorio “Citizen Lab” sobre un programa de computo denominado "Finfisher" propiedad de la empresa británica Gama International UK Ltd, que promociona la venta del software a gobiernos con fines de espionaje para combatir amenazas terroristas. 

"Citizen Lab" se constituyo como el programa diseñado por dicha universidad para estudiar los alcances de "Finfisher".

Dadas las características intrusivas del programa “Finfisher” analizadas y demostradas por “Citizen Lab” y el eventual riesgo de que se violente la legislación mexicana sobre privacidad y protección de datos personales, el que suscribe hace suya la preocupación que Organizaciones de la Sociedad Civil como Propuesta  Cívica  y  el  ContingenteMx, colectivo  de  activistas  digitales,  para trazar una ruta de acción que salvaguarde el ejercicio de los derechos contenidos en la normatividad sobre privacidad de datos, y para conocer si el programa  mencionado es operado en México o accede a información protegida. Lo anterior, bajo las siguientes:

Consideraciones

  • La Universidad de Toronto en Canadá publicó en junio del 2012 una investigación sobre un programa de cómputo denominado "Finfisher", propiedad de la empresa británica Gama International UK Ltd., que promociona la venta del software a gobiernos con fines de espionaje para el combate a actividades terroristas.  
  • "Citizen Lab" es el programa diseñado por dicha universidad para estudiar los alcances del software "Finfisher". Dicho laboratorio, detectó que éste es también ha sido usado para vigilar a periodistas y activistas de derechos humanos. 
  • Diversas investigaciones del “Citizen Lab” tales como "From Bahrain with Love: Finfisher spy kit exposed" de Morgan Marquis Boire, coinciden en que el programa espía, violenta la privacidad de los ciudadanos. 
  • “Finfisher”, de acuerdo con el estudio antes mencionado, es capaz de instalarse clandestinamente en los equipos de cómputo y crear un directorio que le permite tener acceso a contraseñas, información de conversaciones, audios e impresiones de pantalla de usuarios de dispositivos móviles. 

El 13 de marzo de 2013, la Universidad de Toronto en Canadá a través del mencionado programa “Citizen Lab” publicó el seguimiento a su investigación del año 2012 denominada “You only click twice: Finfisher global proliferation”, en la que  se ha encontrado a 25 países con Servidores que contienen el programa “Finfisher”, entre los cuales se encuentra México. 

Dichos estudios señalan que en estos 25 países, la utilización de este software permite desde el acceso a las bases de datos personales con las que cuentan empresas de telecomunicaciones, hasta la transmisión de datos que podrían alojarse en teléfonos móviles, tabletas y equipos personales de cómputo, sin que el usuario de éstos este enterado de tales acciones.

En los casos estudiados en mención se determinó por parte de la Universidad de Toronto que el software “Finfisher” es capaz de:

  • Burlar 40 diferentes programas anti virus. 
  • Cubrir la comunicación con un centro remoto 
  • Acceder a todos los datos enviados mediante el programa “Skype”. 
  • Grabar la comunicación enviada desde correo electrónico, chats y programas de llamadas y voz por internet (VOIP) 
  • Vigilancia desde la cámara y el micrófono del equipo en tiempo real 
  • La información a la que, que de acuerdo a dicha publicación, este programa podría acceder, es calificada por la legislación mexicana como datos personales y datos personales sensibles.  Lo anterior de conformidad con los artículos 2, 3, 6, 7, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 27, 36, 37, 38, 59 y 60  de la Ley Federal para la Protección de Datos Personales en Posesión de Particulares, así como de los artículos 128 al 131 del Reglamento de dicha ley. 
  • Con relación a lo señalado previamente, y en virtud de verificar, e incluso permitir un deslinde de responsabilidades por parte de cualquier empresa proveedora de servicios de comunicación, o en su caso sentar un precedente en la investigación de una eventual vulneración a la legislación vigente en materia de protección de datos se solicita al Instituto Federal de Acceso a la Información y Protección de Datos, actúe conforme a sus facultades e inicie el procedimiento de verificación contemplado en la ley de la materia, según lo solicitado en los expedientes IFAI/SPDP/DGV/544/2013 y IFAI/SPDP/DGV/545/2013 

Por lo anteriormente mencionado, y dado que un eventual uso del el programa “Finfisher” alojado en servidores de proveedores de servicios de telecomunicaciones en México, tendría acceso a las bases de datos personales y podría alojarse en los dispositivos electrónicos de los usuarios tales como  teléfonos móviles, tabletas y equipos personales de cómputo y así vulnerar la protección de datos personales, someto a consideración de esta soberanía, la siguiente proposición con: 

Ante lo expuesto, la proposición que nos ocupa establece el siguiente punto resolutivo:

ÚNICO.- La Comisión Permanente del Honorable Congreso de la Unión, exhorta respetuosamente al Instituto Federal de Acceso a la Información y Protección de Datos, de inicio al procedimiento de verificación sobre el manejo de datos personales contemplado en la Ley de Protección de Datos Personales en Posesión de Particulares, solicitado por diversas organizaciones de la sociedad civil en los expedientes IFAI/SPDP/DGV/544/2013 y IFAI/SPDP/DGV/545/2013, con relación al presunto uso indebido del software “Finfisher” por parte cualquier proveedor de servicios de telecomunicaciones.

CONSIDERACIONES

I.- Los legisladores que integramos esta Segunda Comisión de Trabajo de la Comisión Permanente coincidimos con la proposición de mérito en la preocupación del contexto tecnológico que en lo que va del siglo XXI, aqueja no solamente a la población mexicana sino al mundo entero. Con un despliegue tecnológico estelar con el cual ya no es posible concebir la vida de los seres humanos ni su interacción, sin el uso de tecnologías informáticas. Está expansión conlleva el intercambio de flujos de información de todo tipo, incluida la relativa a las personas. Hoy en día, es posible acceder a información sobre millones de seres humanos y sus actividades en prácticamente cualquier parte del planeta debido a lo cual el tema de la protección de los datos personales, tiende a ser trascendental.

A lo largo de la historia de la humanidad se han conquistado grandes espacios en materia de libertad de información y de expresión, el hecho de que los avances tecnológicos permitan irrumpir silenciosamente en el ámbito de lo privado, vulnera la esfera de uno de los derechos fundamentales de los individuos, el de la privacidad.

En este contexto, puede afirmarse que los horizontes de la privacidad se están transformando en un terreno desconocido para quienes lo habitan, debido a que sin que las personas se enteren, ni mucho menos otorguen su consentimiento, terceros, ya sean entes públicos o privados pueden recabar y transmitir información sobre los datos personales a través de todo tipo de procedimientos que echan mano de tecnologías de las punta, entre las cuales destacan la minería de datos o la geo localización, la detección remota o la video vigilancia, los dispositivos que hoy en día han madurado y están fácilmente disponibles en prácticamente cualquier lugar de México y el mundo. Además, de todo lo anterior se difunde a través de las supercarreteras de información en Internet en donde los proveedores de servicios cuentan con una monumental capacidad para almacenar y analizar los datos recabados.

Por tanto la probabilidad de que se susciten abusos a la vida privada aumenta como consecuencia del desarrollo de la llamada "sociedad de la información". La expansión global de las redes informáticas y de comunicación hace cada vez más frecuentes los casos de robo de identidad o de discriminación a través de la obtención de perfiles que hacen identificables a las personas en sus patrones de consumo y de ahorro, o en sus inclinaciones y preferencias.

II.- Esta Dictaminadora  considera preocupante la tendencia internacional de usar espionaje electrónico contra ciudadanos y activistas, en el caso de nuestro país es muy importante combatir los atentados contra la privacidad y la seguridad informática

 Ante un presunto espionaje en las redes de telecomunicaciones, algunas organizaciones civiles solicitaron el 20 de junio de 2013 al Instituto Federal de Acceso a la Información Pública y Protección de Datos Personales (IFAI) iniciar un procedimiento de verificación a las empresas involucradas, para conocer si el software FINFISHER es operado en territorio mexicano y accede a información protegida por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares  de manera lícita.  

FinFisher es un software promocionado para oficiales de seguridad nacional, a quienes se les explica que el programa se instala de forma inadvertida en las computadoras y otros dispositivos de los sospechosos. El procedimiento implica colocar el software que se hace pasar por otro, por ejemplo, un parche de seguridad o una extensión del navegador  y así se infecta el ordenador que se espiará.

Una vez que el software infecta un sistema ya sea una computadora de escritorio, una portátil o un teléfono celular, el intruso obtiene acceso remoto al equipo. De este modo, es capaz de recolectar y extraer una gran cantidad de datos. En el caso de un celular atacado, FINFISHER puede grabar conversaciones, llamadas, correos electrónicos y mensajes de texto, así como habilitar la descarga de fotos, contactos, archivos y demás contenidos. Por lo que existen razones para dudar sobre el uso legítimo de este software en relación a datos sensibles de la población del territorio mexicano

"Los datos recopilados por FinFisher son calificados como datos sensibles, de acuerdo con la Ley para la Protección de Datos Personales en Posesión de Particulares en su artículo 2 fracción VI. Además, la Constitución Política de los Estados Unidos Mexicanos, en sus artículos 6 y 12 (fracción II del inciso A del artículo 6, párrafos primero, segundo y décimo segundo del artículo 12), establece que las comunicaciones privadas son inviolables; y que la protección de la privacidad y de los datos personales es un derecho de las y los mexicanos.

México como miembro de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y signatario de la Declaración Universal de Derechos Humanos, promueve una fuerte protección para la privacidad de las personas.

Esta situación hace que nos preocupemos por los defensores de derechos humanos ya que se observa una tendencia internacional hacia el espionaje electrónico contra los ciudadanos y contra el activismo político.

El aumento en los casos de extorsiones y amenazas contra periodistas y defensores de los derechos humanos hacen suponer que algo está sucediendo y necesitamos que la autoridad competente que en este  caso es el Instituto Federal de Acceso a la Información Pública y Protección de Datos Personales (IFAI)  esclarezca la situación de los datos personales y cuál es la magnitud hecho.

III.- La Segunda Comisión reitera su compromiso con la importancia de que no se soslaye el derecho de la protección de datos personales, ya que todos quedamos vulnerables al no contar con los derechos mínimos de protección a nuestra intimidad, a través de la propagación que se podría hacer de nuestra información de carácter personal, como lo es el nombre, domicilio, edad, salario, y distintas preferencias desde las comerciales, religiosas, políticas o sexuales, ya que todos estos datos quedan susceptibles de ser objeto de múltiples usos.

El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) en un comunicado con número IFAI/064/13, de fecha 5 de julio de 2013 indico que dio inició a los procedimientos previstos en la ley, para atender la solicitud que presentaron en días recientes algunos representantes de Organizaciones de la Sociedad Civil (OSC’s), para verificar presuntas irregularidades en el manejo de datos personales mediante la utilización del programa de cómputo FINFISHER.

La ley de protección de datos personales en posesión de particulares y su reglamento  establecen el mecanismo para que la autoridad en materia de datos personales en este caso el Instituto Federal de Acceso a la Información y Protección de Datos determine si alguna institución pública o privada o una persona viola la ley de privacidad.

Este procedimiento de verificación es mediante el cual la autoridad evaluara  la operación de dicho software en el territorio nacional, para lo cual cuenta con un término de 180 días que puede ser prorrogable por un periodo igual. Y si el Instituto Federal de Acceso a la Información y Protección de Datos considera que se ha violado la Ley de Protección de Datos personales podría imponer las sanciones correspondientes.

A partir de que el Instituto Federal de Acceso a la Información Pública y protección de datos personales recibió la queja el día 20 de junio de 2013, la Dirección General de Verificación del Instituto, envió los requerimientos a las empresas señaladas por los representantes de las asociaciones civiles, con base en un análisis que en su momento  realice el Instituto de la información que proporcionen las empresas requeridas, se determinará, en su caso, el inicio del procedimiento de verificación establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), mismo que de acuerdo con la normatividad debe ser tramitado de manera confidencial.

Por lo anteriormente expuesto, los legisladores integrantes de la Segunda Comisión, de Relaciones Exteriores, Defensa Nacional y Educación Pública, de la Comisión Permanente del Congreso de la Unión, someten a la consideración de esta Soberanía el siguiente:

PUNTO DE ACUERDO

ÚNICO.- La Comisión Permanente del Honorable Congreso de la Unión, solicita al Instituto Federal de Acceso a la Información y Protección de Datos, un informe relativo a la tramitación recaída y el estado que guarda la solicitud de verificación sobre el manejo de datos personales contemplado en la Ley de Protección de Datos Personales en Posesión de Particulares, solicitado por diversas organizaciones de la sociedad civil en los expedientes IFAI/SPDP/DGV/544/2013 y IFAI/SPDP/DGV/545/2013, con relación al presunto uso indebido del software “Finfisher” por parte de cualquier proveedor de servicios de telecomunicaciones.

Sala de Comisiones de la Comisión Permanente del H. Congreso de la Unión, a los nueve días del mes de julio de 2013.

SEGUNDA COMISIÓN

http://www.senado.gob.mx:80/index.php?ver=sp&mn=2&sm=2&id=42276