Fundamentos destacados. 75. Respecto al hecho analizado en el presente caso, se verificó que por medio de la aplicación WhatsApp, personal de la administrada compartía información en tiempo real (imágenes de la interfaz del Sistema Integrado de Migraciones – SiM y de pasaportes) de diversos ciudadanos peruanos y extranjeros, incluidas “personalidades”, siguiendo las disposiciones de los servidores que ejercieron la Jefatura Zonal del Callao durante y hasta el 17 de octubre de 2021.
76. Dicha constatación se complementa con la declaración prestada por la Oficial III de Migraciones durante la visita de fiscalización del 18 de octubre de 2021, así como la Jefe Zonal del Callao en funciones, durante la visita de fiscalización del 22 de octubre de 2021, quienes detallaron que para tales transmisiones de información, se formaron cuatro grupos de WhatsApp, liderado cada uno por un Supervisor, así como un grupo con dichos supervisores y ocho coordinadores, a fin de comunicar a través de dicha aplicación, un reporte diario de ocurrencias que permitían entregar reportes puntuales al superior, el Director de Operaciones, quien en su declaración señaló no haber ordenado la toma de las mencionadas fotografías.
124. En el presente caso, se ha establecido la responsabilidad de la administrada por los siguientes hechos infractores:
• No haber garantizado la confidencialidad de los datos de las personas que ingresan y salen del país, que fueron compartidos a través de grupos de WhatsApp desde los teléfonos móviles personales de los trabajadores del área de control migratorio del Aeropuerto Internacional Jorge Chávez, con lo que se ha incumplido el artículo 17 de la LPDP, configurando la infracción grave tipificada en el literal g) del numeral 2 del artículo 132 del reglamento de dicha ley.
• No haber implementado las medidas de seguridad necesarias en los módulos de control migratorio del Sistema Integrado de Migraciones “SIM” del Aeropuerto Internacional Jorge Chávez, al no restringir la generación de copias o reproducción de los datos personales de ciudadanos peruanos y extranjeros (que incluyen datos sensibles) que ingresan y salen del país, según se dispone en el artículo 43 del Reglamento de la LPDP, configurando la infracción grave tipificada en el literal c) del numeral 2 del artículo 132 de dicho reglamento.
Resolución Directoral N° 655-2022-JUS/DGTAIPD-DPDP
Expediente N° 025-2021-JUS/DGTAIPD-PAS
Lima, 14 de febrero de 2022
VISTOS:
El Informe N° 003-2022-JUS/DGTAIPD-DFI del 13 de enero de 2022[1], emitido por la Dirección de Fiscalización e Instrucción de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la DFI), y demás documentos que obran en el respectivo expediente, y;
CONSIDERANDO:
I. Antecedentes
1. El 17 de octubre de 2021 se difundió un reportaje televisivo del programa “Punto Final”, en el cual se ponía en conocimiento del público acciones de tratamiento inadecuado de datos personales por parte del personal de la Superintendencia Nacional de Migraciones (en adelante, la administrada), responsable de la atención en los módulos de control migratorio del Aeropuerto Internacional Jorge Chávez; tratamiento que consistía en obtener fotografías de los reportes migratorios arrojados por el Sistema Integrado de Migraciones – SIM y de los pasaportes de ciertas personas públicas, para su posterior transmisión a otros empleados que no habían atendido al titular de la información.
2. Habiendo tomado conocimiento de ello, el 18 de octubre de 2021, la DFI dispuso a través de la Orden de Fiscalización N° 288-2021-JUS/DGTAIPD-DFI[2], el inicio de acciones de fiscalización sobre la administrada, iniciando con una visita de fiscalización a la sede de atención del aeropuerto Jorge Chávez.
3. Durante dicha visita de fiscalización, el personal de la DFI dejó constancia en el Acta de Fiscalización N° 01-2021-DFI[3], respecto del empleo del Sistema Integrado de Migraciones – SIM y de los dispositivos con los que se le utiliza, de lo siguiente:
Dicho sistema es operado por empleados de la administrada en los módulos de control migratorio, cada uno, por medio de 39 computadoras desde las que se puede acceder a la información migratoria de ciudadanos peruanos y extranjeros.
• Dichas computadoras cuentan con los puertos USB y grabador de DVD habilitados, comprobándose la efectiva copia de archivos en un dispositivo USB (Anexo 1)[4].
• Las computadoras mencionadas no restringen el envío de información a correos no institucionales de la administrada, ni emiten alertas respecto del envío de información a correos no autorizados (Anexo 3)[5].
• Se comprobó que no se requiere contraseña para el uso del equipo multifuncional de fotocopiado del área fiscalizada (Anexo 4)[6].
• Por medio del Sistema Integrado de Migraciones – SIM, se puede acceder a los siguientes datos personales: Número de documento de identidad, nombres y apellidos, fecha de nacimiento, nacionalidad, estado civil, ocupación, teléfono, estatura, color de cabello, color de ojos, huella digital, sexo, destino de viaje, motivo de viaje, categoría de pasajero, fechas de ingreso y salida al país, países de procedencia y destino (Anexo 5)[7].
4. Aparte de lo señalado, se incluyeron en un CD adjunto los siguientes elementos[8]:
• Entrevistas a siete inspectores de migración en sus respectivos módulos, respecto del uso de sus teléfonos móviles durante su horario de trabajo.
• Grabaciones del teléfono móvil de la Oficial III de Migraciones, en el que se aprecia las conversaciones de WhatsApp de servidores de la administrada con la Jefe Zonal Callao, en la cual esta solicitaba que se le comparta información sobre “personalidades” y se remitían imágenes de datos de estas, tomadas en los respectivos módulos, al momento de pasar por estos.
5. Por medio del Oficio N° 133-2021-JUS/DGTAIPD-DFI del 19 de octubre de 2021, se solicitó a la administrada informar sobre lo siguiente:
• Si los números de teléfono XXXXXXXXX habían sido asignados a quienes ejercieron la Jefatura de la Zonal Callao en el 2021, o si fueron declarados por tales servidoras.
• La identificación de los funcionarios que durante el 2021 laboraron en el puesto migratorio del Aeropuerto Internacional Jorge Chávez, con sus respectivos números de teléfonos móviles, declarado o asignado por la entidad.
• La documentación de los procedimientos de gestión de acceso, de gestión de privilegios y de verificación periódica de privilegios aplicables al Sistema Integrado de Migraciones-SIM.
• La generación de registros de interacción lógica de acciones de inicio y cierre de sesión, así como de acciones relevantes, correspondientes a la trazabilidad de los usuarios del mencionado sistema.
6. De otro lado, mediante el Oficio N° 134-2021-JUS/DGTAIPD-DPDP del 19 de octubre de 2021, se programó una siguiente visita de fiscalización, para el 22 de octubre de 2021.
7. A su vez, por medio del Oficio N° 135-2021-JUS/DGTAIPD-DPDP, se solicitó al Organismo Supervisor de la Inversión Privada en Telecomunicaciones – Osiptel, informar sobre los datos de los titulares de número de teléfonos móviles que habrían sido utilizados para el tratamiento de datos personales cuestionado.
8. Se consignó en el Acta de Fiscalización N° 02-2021-DFI del 22 de octubre de 2021[9], la siguiente declaración de la Jefe Zonal del Callao:
• En el puesto de control migratorio del Aeropuerto Internacional Jorge Chávez, se dispuso la creación de un grupo de WhatsApp, integrado por esta funcionaria, cuatro supervisores y ocho coordinares de dicha área; teniendo como finalidad, la elaboración de un reporte diario de ocurrencias, sin que haya un informe oficial diario de las mismas, si no que se efectúa un informe puntual al Director de Operaciones, por dicha vía, sobre “personalidades”.
• Cada supervisor está a cargo de un grupo, sin que se sepa si en el interior de cada grupo se formó otro grupo aparte en WhatsApp para reportar incidencias sobre “personalidades”.
• Desconoce sobre el uso de teléfonos móviles en el interior de los módulos de dicho puesto de control.
• Los ciudadanos peruanos que generan una alerta, son reportados sincrónicamente a la Policía Nacional del Perú, en atención a un Oficio que figure en el sistema, informando el motivo de alerta.
9. Asimismo, se consignó la declaración del Director de Operaciones de la administrada, que manifestó lo siguiente:
• Como encargado de todas las jefaturas zonales de migraciones desde octubre de 2020, informó sobre un grupo de WhatsApp para el reporte de incidencias, integrado por él y los diecisiete jefes zonales.
• Nunca autorizó la captura fotográfica de los datos personales de los ciudadanos, que se visualizan en el Sistema Integrado de Migraciones – SIM, ni ha coordinado con la Jefe Zonal del Callao, a cargo del puesto de control migratorio del Aeropuerto Internacional Jorge Chávez que se le reporte de forma diaria y en tiempo real el ingreso o salida de “personalidades”.
• Desconoce la existencia de algún grupo de WhatsApp integrado por los mencionados jefes zonales y sus respectivos subordinados, para coordinación.
• Desconoce la finalidad del reporte de “personalidad” a través de la imagen de sus datos personales y de su entrada o salida del país.
10. Por su parte, la Oficial de Seguridad de la Información y la Oficial de Protección de Datos Personales declararon que desconocían del uso de la aplicación WhatsApp para transmitir la información tratada a través del Sistema Integrado de Migraciones – SIM, motivo por el cual no cuentan con documentos de gestión del empleo de dicha aplicación.
11. Se adjuntó a la mencionada acta de fiscalización la documentación de los procedimientos de gestión de acceso, de gestión de privilegios y de verificación periódica de privilegios, así como los documentos laborales del personal del puesto de control migratorio del Aeropuerto Internacional Jorge Chávez.
12. Mediante el Oficio N° 000223-2021-OTIC/MIGRACIONES, ingresado con la Hoja de Trámite N° 288517 del 5 de noviembre de 2021[10], la administrada dio respuesta al requerimiento que se le hizo, informando lo siguiente:
• En el Informe N° 000199-2021-RAVUAP/MIGRACIONES, se señala que los números de teléfono móvil XXXXXXXXX, fueron declarados como números personales, como figura en sus respectivos legajos.
• En el Informe N° 000037-2021-JMSUST/MIGRACIONES se precisa que a las funcionarias que ejercieron la Jefatura Zonal del Callao, se les asignaron equipos móviles institucionales, de acuerdo con las actas de entrega respectivas.
13. Por medio del Oficio N° 142-2021-JUS/DGTAIPD-DFI del 9 de noviembre, se solicitó a la administrada informar sobre lo siguiente:
• Los procedimientos regulares para la obtención del reporte migratorio de los ciudadanos peruanos y extranjeros
• Las funciones específicas de la jefa del puesto de control migratorio de la Superintendencia Nacional de Migraciones de la dependencia del Aeropuerto Internacional Jorge Chávez
• Las funciones específicas de los supervisores, coordinadores de grupo, y los inspectores u oficiales migratorios
• La finalidad del reporte diario de ocurrencias de “personalidades”, mediante la aplicación de mensajería WhatsApp y a través de qué medio se ordenó a la Jefa Zonal del Callao obtener estos reportes de ocurrencias.
14. Asimismo, por medio de la Carta N° 523-2021-JUS/DGTAIPD-DFI, se solicitó a la Jefa Zonal del Callao al 18 de octubre de 2021, informar sobre la finalidad del reporte diario de ocurrencias de “personalidades”, mediante la aplicación de mensajería WhatsApp, a través de qué medio se le ordenó obtener estos reportes y cómo remitía estos al Director de Operaciones de la administrada.
15. De otro lado, el 10 de noviembre de 2021, personal de la administrada entregó un USB con información referida a la generación de registros de interacción lógica de las acciones de los usuarios del Sistema Integrado de Migraciones – SIM, registrando tal entrega en el acta firmada por el Analista de Fiscalización en Seguridad de la Información de la DFI[11].
16. Por medio de la Carta N° 06244-DAPU.I/2021, ingresada con la Hoja de Trámite N° 297774-2021MSC del 11 de noviembre de 2021[12], el Osiptel remitió la información que se le había requerido.
17. Mediante la carta ingresada con la Hoja de Trámite N° 303776-2021MSC del 16 de noviembre de 2021, la Jefe Zonal del Callao dio respuesta a la Carta N° 523-2021-JUS/DGTAIPD-DFI, indicando que el reporte de ocurrencia que recibían de los supervisores y coordinadores era sobre cualquier incidencia que se presente en el puesto de control migratorio del Aeropuerto Internacional Jorge Chávez y que no hubo una orden expresa por parte de algún superior, sino que obedecía a cuestiones de momento, como detección de incumplimientos de la normativa migratoria, personas involucradas en casos de relieve (“Los dinámicos del centro”), personalidades, peruanos deportados, entre otros. Se adjuntó a esta carta, diez capturas de pantalla de los reportes y comunicaciones sostenidas con el Director de Operaciones[13].
18. En el Informe Técnico N° 273-2021-DFI-VARS del 17 de noviembre de 2021[14], el Analista de Fiscalización en Seguridad de la Información de la DFI indicó los siguiente:
• La administrada no establece medidas de seguridad y/o procedimientos que restrinjan la generación de copias o reproducción de documentos y/o información de ciudadanos peruanos y extranjeros que ingresan y salen del territorio nacional, generándose un alto riesgo de fuga de información.
• Se ha vulnerado la confidencialidad de tales ciudadanos, a través del uso de la aplicación WhatsApp, siguiendo la disposición dictada por la Jefe Zonal Callao, a cargo del puesto de control migratorio del Aeropuerto Internacional Jorge Chávez.
19. Por medio del Informe de Fiscalización N° 302-2021-JUS/DGTAIPD-DFI-JYHV del 19 de noviembre de 2021[15], se remitió a la Directora de la DFI el resultado de la fiscalización a la administrada, concluyendo que se han determinado preliminarmente las circunstancias que justifican el inicio de un procedimiento administrativo sancionador contra ella, relativas al supuesto incumplimiento de lo establecido en la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, LPDP) y su reglamento, aprobado por Decreto Supremo N° 003-2013-JUS (en adelante, Reglamento de la LPDP). Dicho informe fue notificado a la administrada a través de la Cédula de Notificación N° 907-2021-JUS/DGTAIPDDFI, el 22 de noviembre de 2021[16].
[Continúa…]
Descargue la resolución aquí
[1] Folios 500 al 536
[2] Folio 2
[3] Folios 3 al 41
[4] Folios 6 al 13
[5] Folios 18 al 20
[6] Folio 21
[7] Folios 22 al 40
[8] Folio 41
[9] Folios 53 al 162
[10] Folios 183 al 271
[11] Folios 282 y 283
[12] Folios 285 al 287
[13] Folios 289 al 299
[14] Folios 300 al 312
[15] Folios 313 al 339
[16] Folio 345
[17] Folios 359 al 383
