El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) resolvió dar conocimiento al Órgano Interno de Control en la Fiscalía General de la República (FGR), a fin de que determine si los servidores públicos a cargo de operar el software Pegasus incurrieron en responsabilidades administrativas.
Asimismo, informó que se dará conocimiento a la Auditoría Superior de la Federación para que verifique los bienes adquiridos y los servicios contratados por la entonces PGR relacionados con el software Pegasus e investigue, los actos u omisiones que impliquen alguna irregularidad, o presunta conducta ilícita o comisión de faltas administrativas.
Después de concluir el proceso de verificación, el Instituto determinó que la entonces PGR incumplió con el deber de seguridad y el principio de responsabilidad, previstos en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Lo anterior, ya que la PGR carecía de una bitácora de uso respecto del tratamiento de datos personales vinculado con el software Pegasus, el cual preveía la recolección de datos personales y la generación de bases y aplicaciones para su almacenamiento; además de no acreditar que contaba con un sistema de gestión y con un documento de seguridad; así como haber llevado a cabo el borrado seguro del sistema, tras su desinstalación.
Durante la verificación, la entonces PGR sólo notificó a al Instituto la existencia del contrato suscrito en 2014 para la adquisición del software; sin embargo, en días recientes, la Fiscalía informó que existían otros dos contratos celebrados en 2016 y 2017, para actualizar la licencia de uso del sistema, obstruyendo con dicha conducta los actos de verificación del Instituto.
Luego de que la FGR manifestó que actualmente ya no tiene instalado el software, el Pleno del INAI instruyó a la Fiscalía implementar las siguientes medidas:
- Acreditar, de manera formal, que el software denominado Pegasus ha sido desinstalado del equipo de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas de la Agencia de Investigación Criminal y de cualquier otro equipo en posesión de la Fiscalía.
- Precisar las políticas, métodos y técnicas que dan cuenta de la desinstalación del software, considerando la irreversibilidad, seguridad y confidencialidad; así como, acreditar fehacientemente que no es factible instalar nuevamente el software adquirido en algún equipo en posesión de la ahora Fiscalía General.
