RECURSOS DE APELACIÓN
EXPEDIENTES: SUP-RAP-96/2018 Y ACUMULADOS.
RECURRENTES: MOVIMIENTO CIUDADANO Y OTROS.
AUTORIDAD RESPONSABLE: CONSEJO GENERAL DEL INSTITUTO NACIONAL ELECTORAL
MAGISTRADA PONENTE: MÓNICA ARALÍ SOTO FREGOSO
SECRETARIO: OMAR ESPINOZA HOYO.
COLABORÓ: EDGAR BRAULIO RENDÓN TELLEZ
Ciudad de México, diecinueve de septiembre de dos mil dieciocho.
SENTENCIA, que confirma la resolución INE/CG271/2018, dictada por el Consejo General[1] del Instituto Nacional Electoral[2], en el procedimiento sancionador ordinario UT/SCG/Q/CG/12/2016 y su acumulado UT/SCG/Q/JLM/CG/13/2016, en la que, entre otras cuestiones, sancionó a Movimiento Ciudadano[3], José Manuel del Río Virgen y Juan Pablo Arellano Fonseca, por violación a la normativa electoral[4].
I. Antecedentes. De los hechos expuestos en la demanda, así como de las constancias que obran en autos, se advierte, en lo que interesa, lo siguiente:
1. Queja. El veintidós de abril de dos mil dieciséis, se recibió en la Unidad Técnica de lo Contencioso Electoral[5] del INE, un oficio por el cual el Director Ejecutivo de la Dirección Ejecutiva del Registro Federal de Electores[6] del INE, hizo de su conocimiento hechos presuntamente contraventores de la normativa electoral federal, ya que un archivo que al parecer contenía el listado nominal de electores, fue visible en un portal de internet denominado “Amazon”.
2. Segunda queja. El veinticinco de abril siguiente, se recibió en la UTCE un oficio por el cual el Diputado Jorge López Martín, Consejero del Poder Legislativo por el Partido Acción Nacional[7] ante el CG del INE, denunció el presunto uso indebido de la lista nominal de electores, derivado de que se encontró disponible en una fuente pública accesible, específicamente en el sitio de internet denominado “Amazon”, información de las personas inscritas en la misma.
3. Trámite de las quejas. El veintidós y veintisiete de abril de dos mil dieciséis, la UTCE radicó y admitió a trámite las denuncias presentadas, mismas que fueron registradas con las claves UT/SCG/Q/CG/12/2016 y UT/SCG/Q/JLM/CG/13/2016, respectivamente, ordenando su acumulación dada su estrecha vinculación; asimismo, la UTCE se reservó el emplazamiento respectivo hasta en tanto concluyera la investigación preliminar.
4. Emplazamiento y contestación. Mediante acuerdo de veintitrés de marzo de dos mil diecisiete, se ordenó emplazar, entre otros, a los ahora recurrentes, quienes en su oportunidad dieron contestación a la queja, ofrecieron pruebas y alegaron lo que a su derecho convino.
5. Resolución de los procedimientos sancionadores (acto impugnado). El veintiocho de marzo de dos mil dieciocho, se dictó la resolución INE/CG271/2018, mediante la cual se resolvieron los procedimientos sancionadores ordinarios en cuestión.
II. Recursos de apelación. Inconformes con dicha resolución, MC, José Manuel del Río Virgen y Juan Pablo Arellano Fonseca interpusieron en su contra recurso de apelación.
III. Turno de expedientes y trámite. La Magistrada Presidenta de este Tribunal, acordó integrar y registrar los expedientes SUP-RAP-96/2018, SUP-RAP-114/2018 y SUP-RAP-115/2018, y turnarlos a la ponencia de la Magistrada Mónica Aralí Soto Fregoso, para los efectos establecidos en el artículo 19 de la Ley General del Sistema de Medios de Impugnación en Materia Electoral[8]; oportunamente, la Magistrada instructora radicó, admitió y al no encontrarse diligencia pendiente de realizar, declaró cerrada la instrucción.
C O N S I D E R A N D O
PRIMERO. Jurisdicción y competencia. El Tribunal Electoral del Poder Judicial de la Federación ejerce jurisdicción y la Sala Superior es competente para conocer y resolver los medios de impugnación al rubro indicados, conforme a lo previsto en los artículos 41, párrafo segundo, base VI, y 99, párrafo cuarto, de la Constitución Política de los Estados Unidos Mexicanos; 186, fracción III, de la Ley Orgánica del Poder Judicial de la Federación, y 44, párrafo 1, inciso a), de la Ley de Medios, en virtud de que se controvierte un acuerdo emitido por el CG del INE.
SEGUNDO. Acumulación. De la lectura integral de las demandas, se advierte que en todos los casos se reclama la resolución INE/CG271/2018 y se señala como autoridad responsable al CG del INE.
En ese sentido, al existir identidad en los actos impugnados y en la autoridad señalada como responsable, con fundamento en los artículos 199, fracción XI, de la Ley Orgánica del Poder Judicial de la Federación, 31, de la Ley de Medios, y 79 del Reglamento Interno del Tribunal Electoral del Poder Judicial de la Federación, se decreta la acumulación de los recursos de apelación SUP-RAP-114/2018 y SUP-RAP-115/2018, al diverso SUP-RAP-96/2018, por ser éste el medio de impugnación que se recibió primero en esta Sala Superior, según se advierte de las constancias de autos.
En consecuencia, se deberá glosar copia certificada de los puntos resolutivos de la presente resolución, a los autos de los expedientes acumulados.
TERCERO. Requisitos de procedencia. Se tienen por satisfechos, en los términos siguientes:
a) Forma. Los recursos se presentaron por escrito; se hace constar el nombre y firma autógrafa de quien interpone el recurso en representación del partido inconforme, así como de quienes comparecen por su propio derecho; se identifica el acto impugnado y la autoridad responsable; se mencionan los hechos que constituyen los antecedentes del caso y los agravios que se afirma causa el acto impugnado, así como los preceptos presuntamente violados.
b) Oportunidad. Se considera que los recursos fueron interpuestos de manera oportuna, dado que la resolución reclamada se emitió el veintiocho de marzo del año en curso, y MC presentó su demanda el tres de abril siguiente, es decir, dentro del término de cuatro días previsto por el artículo 8 de la Ley de Medios, de acuerdo con lo siguiente:
No se advierte alguna constancia que ponga de manifiesto la fecha en que se notificó la resolución reclamada a MC; sin embargo, éste manifiesta que “La Resolución del Consejo General del Instituto Nacional Electoral materia del Presente recurso de Apelación, se aprobó el día veintiocho de marzo de dos mil dieciocho, por lo que el plazo de interposición de la impugnación corre del veintinueve de marzo al tres de abril de dos mil dieciocho, según lo que dispone el artículo 7 numerales 2 y 8 de la Ley General del Sistema de Medios de Impugnación en Materia Electoral...”.
De lo reproducido se desprende que el partido, al indicar que la resolución reclamada se aprobó el veintiocho de marzo de dos mil dieciocho, y que el cómputo del plazo para impugnar debe iniciar el veintinueve siguiente, implícitamente reconoce que cuando se emitió la resolución reclamada, conoció de la misma.
En ese orden de ideas, efectivamente, el cómputo del plazo debe iniciar el jueves veintinueve de marzo y concluir el martes tres de abril, sin contar el sábado treinta y uno de marzo y el domingo uno de abril, todos de dos mil dieciocho.
En efecto, en el caso, sólo deben tomarse en consideración los días hábiles, no así los sábados y domingos, ni los inhábiles por disposición normativa, ya que el acto impugnado no tiene relación con algún proceso electoral que se esté llevando a cabo, en términos de lo dispuesto por el artículo 7, párrafo 2, de la Ley de Medios.
Sirve de apoyo a lo expuesto, la jurisprudencia de rubro: “PLAZO PARA IMPUGNAR ACTOS EMITIDOS DURANTE EL DESARROLLO DE UN PROCESO ELECTORAL, QUE NO ESTÉN VINCULADOS A ÉSTE. NO DEBEN COMPUTARSE TODOS LOS DÍAS Y HORAS COMO HÁBILES”.
Por otra parte, la resolución reclamada fue notificada a José Manuel del Río Virgen y a Juan Pablo Arellano Fonseca, el cinco de abril siguiente, y ellos presentaron su demanda el inmediato once de abril, es decir, dentro del término de cuatro días previsto por la normativa electoral, por lo siguiente:
Si a dichos recurrentes se les notificó el día cinco de abril, el término para impugnar inició el viernes seis y concluyó el miércoles once, del mismo mes, sin considerar el sábado siete ni el domingo ocho, al tratarse de días inhábiles, de conformidad con lo expuesto con antelación.
c) Legitimación y personería. Los partidos políticos, así como las y los ciudadanos se encuentran legitimados para impugnar los actos o resoluciones de los órganos del INE, en tratándose de imposición de sanciones, de conformidad con los artículos 42 y 45, párrafo 1, inciso b), de la Ley de Medios.
Por tanto, si en la especie es un partido político y dos ciudadanos los que impugnan un acto del CG del INE, en el que se les impusieron sanciones derivadas de un procedimiento sancionador ordinario, se concluye que están legitimados para interponer los presentes medios de impugnación.
En cuanto a la personería de quien interpone el recurso en representación de MC, la misma se encuentra reconocida por la responsable en su informe circunstanciado; habida cuenta que las dos personas físicas que impugnan, lo hacen por su propio derecho.
d) Interés jurídico. Los recurrentes tienen interés jurídico para impugnar el acto que reclaman, porque les impone sanciones que repercuten en su esfera jurídica.
e) Definitividad. El requisito en cuestión se considera colmado, en virtud de que la Ley de Medios no prevé algún otro recurso o juicio que deba ser agotado previamente a la tramitación del presente medio de impugnación.
CUARTO. Análisis de la controversia. Para mayor claridad, en principio se apuntarán los antecedentes que interesan en el justiciable y enseguida se sintetizaran y estudiaran los motivos de inconformidad.
4.1 Antecedentes relevantes. De las constancias que obran en autos, se desprenden los siguientes hechos que interesan en el caso.
4.1.1. Correos electrónicos enviados del extranjero a personal del INE, a través de los cuales se hace saber al órgano electoral que se podía acceder por internet a los nombres y domicilios de 93 millones de votantes de México.
Dos personas extranjeras hicieron saber al órgano electoral, a través de correo electrónico, que se podía acceder por internet a los nombres y domicilios de 93 millones de votantes de México.
Por tal motivo, dichas personas y personal del INE intercambiaron diversos correos electrónicos; a continuación se hará referencia a aquellos con base en los cuales la autoridad electoral inició la aplicación de protocolos con la finalidad de obtener y resguardar información que sirviera para conocer la veracidad de los hechos informados.
a) El dieciocho de abril de dos mil dieciséis, el Consejero Presidente del INE recibió un correo electrónico mediante el cual Adam Tanner[9] le informó que en una “fuente pública accesible” (sitio Amazon), estaban disponibles nombres y direcciones de noventa y tres millones de votantes de México.
En dicho correo electrónico, el remitente (Adam Tanner) menciona que escribía acerca de “privacidad y seguridad” y que, con motivo de ello, asistió a una ponencia de Chris Vickery[10], quien dijo, haber descubierto que se podía acceder por internet a los nombres y domicilios de 93 millones de votantes de México, ya que dicha información se encontraba alojada en la nube de “Amazon Web Services”, sin protección de seguridad o contraseña; el remitente mencionó la dirección de correo electrónico de Chris Vickery, para que, en su caso, pudieran contactarlo para conocer los detalles técnicos de la vulnerabilidad.
Al respecto se transcribe la traducción[11] del correo electrónico en cuestión:
"De: Tanner, Adam [Texto Oculto]
Enviado el: lunes, 18 de abril de 2016 06:20 p.m.
Para: CORDOVA VIANELLO LORENZO <lorenzo.cordova@ine.mx>
CC: [Texto Oculto]
Asunto: Vulnerabilidad de seguridad masiva en la base de datos electoral mexicana
Dr. Cordovo[sic.]:
Soy un becario de Harvard que escribe acerca de privacidad y seguridad. El día de hoy asistí a una ponencia de Chris Vickery, un investigador de seguridad, quien descubrió que se podía acceder públicamente por internet a los nombres y domicilios de 93 millones de votantes mexicanos debido a una falta de protección básica en Internet. Esta información se encuentra alojada en el sitio de computación en la nube de Amazon Web Services sin ninguna protección de seguridad o contraseña.
Vickery es una fuente fidedigna. En diciembre, descubrió que podía acceder a los registros de 191 millones de votantes americanos. Él estuvo en el campus esta tarde y me demostró que realmente podía acceder a la base de datos por Internet. Buscamos al padre de un estudiante mexicano que se encontraba cerca de nosotros y confirmó que la información era correcta.
Vickery está interesado terminar con esta vulnerabilidad lo más pronto posible y quisiera escribir sobre este caso. ¿Estaban al tanto de este problema y la cifra de 93 millones parece ser el número correcto en la base de datos? ¿Qué perspectiva o aprendizaje sacan de este problema?
Incluyo el correo electrónico de Chris, para que usted o su equipo pueda contactarlo para conocer los detalles técnicos de la vulnerabilidad.
Le agradezco su oportuna respuesta.
Adam Tanner
Becario de Investigación, Instituto para Ciencias Sociales Cuantitativas Universidad de Harvard
[Texto Oculto]
[…]
b) El diecinueve de abril de dos mil dieciséis, el Coordinador de Procesos Tecnológicos de la DERFE, en respuesta al correo electrónico de referencia, vía correo electrónico, hizo del conocimiento del informante, que el INE no contaba con un servicio alojado en el sitio de almacenamiento en la nube de Amazon Web Services, motivo por el cual resultaba de gran importancia obtener mayor información para verificar si se encontraba relacionada con votantes de México y de ser posible identificar la fuente.
Asimismo, solicitó que Chris Vickery proporcionara mayores detalles sobre los hechos denunciados; al respecto se transcribe la traducción del correo electrónico en cuestión:
De: ANDRADE JAIMES ALEJANDRO <alejandro.andrade@ine.mx>
A: "[Texto Oculto]
CC: MIRANDA JAIMES RENE <rene.miranda@ine.mx>; JACOBO MOLINA EDMUNDO <edmundo.jacobo@ine.mx>; GIMÉNEZ CACHO GARCÍA LUIS EMILIO <luis.gimenez@ine.mx>; CARRILLO MARTÍNEZ JULIO ALBERTO [ilegible]lio.carrillo@ine.mx>
Enviado: Martes, 19 de abril de 2016 5:55 PM
Asunto: RE: RV: Vulnerabilidad de seguridad masiva en la base de datos electoral mexicana
Sr. Adam Tanner:
Le agradecemos nos haya notificado sobre el descubrimiento de la base de datos que hizo Chris Vickery que podría estar relacionado con votantes mexicanos. El Instituto no cuenta con un servicio alojado en el sitio de almacenamiento en la nube de Amazon Web Services, pero es importante para nosotros obtener más información sobre la base de datos con objeto de verificar si la información está relacionada con votantes mexicanos e identificar la fuente.
¿Podría Chris Vickery proporcionarnos más información sobre el sitio en el que se aloja la base de datos y decirnos si hay otra información que pudiera guiarnos al propietario del servicio?
Saludos cordiales,
Alejandro Andrade
[…]
c) Por su parte, Adam Tanner, vía correo electrónico, solicitó a Chris Vickery que proporcionara mayores detalles de su descubrimiento a funcionarios electorales; se transcribe la traducción del correo electrónico que les reenvió.
De: Tanner, Adam [Texto oculto]
Enviado el: martes, 19 de abril de 2016 06:05 p.m.
Para: ANDRADE JAIMES ALEJANDRO <alejandro.andrade@ine.mx>
CC: MIRANDA JAIMES RENE <rene.miranda@ine.mx>; JACOBO MOLINA EDMUNDO <edmundo.jacobo@ine.mx>; GIMÉNEZ CACHO GARCÍA LUIS EMILIO <luis.gimenez@ine.mx>; CARILLO MARTÍNEZ JULIO ALBERTO <julio.carrillo@ine.mx>
Asunto Re: RV: Vulnerabilidad de seguridad masiva en la base de datos electoral mexicana
Chris:
Por favor proporciónales los detalles a estos funcionarios electorales. Muchas gracias
Adam Tanner
Becario de Investigación, Instituto para las Ciencias Sociales Cuantitativas
Universidad de Harvard 1737
Cambridge St.
Cambridge, MA 02138
Tel. 617-932-5001
[Texto Oculto]
[…]
d) El mismo diecinueve de abril, el Coordinador de Procesos Tecnológicos de la DERFE, recibió un correo electrónico que le envió Chris Vickery; en él informó que descubrió una filtración de datos, que a su criterio involucraba a millones de mexicanas y mexicanos; mencionó que la base de datos que contiene la información, se encontraba en un servidor "MongoDB", que se ubicaba en la dirección “IP 52.6.226.190 en el puerto 27017”, en un servidor en la nube de Amazon, enfatizando que no había ninguna clase de seguridad protegiéndolo; se transcribe la traducción del correo electrónico:
De: Chris Vickery <[Texto oculto]
Enviado el: Martes, 19 de abril de 2016 06:27 p.m.
Para: ANDRADE JAIMES ALEJANDRO
CC: MIRANDA JAIMES RENE; JACOBO MOLINA EDMUNDO; GIMÉNEZ CACHO GARCÍA LUIS EMILIO; CARRILLO MARTÍNEZ JULIO ALBERTO
Asunto: Re: RV: Vulnerabilidad de seguridad masiva en la base de datos electoral mexicana
Datos adjuntos: db_overview.png; example_record.png
Buenas tardes:
He descubierto una filtración de datos que involucra los registros de 93.4 millones de ciudadanos mexicanos. La base de datos que contiene esta información actualmente se encuentra a disposición del público en Internet. Es un servidor "MongoDB" ubicado en la dirección IP 52.6.226.190 en el puerto 27017 (el puerto de MongoDB predeterminado). Está alojado en un servidor en la nube de Amazon. No hay ninguna contraseña u otra seguridad protegiéndolo.
Sé que México toma la seguridad de estos registros muy seriamente. Estoy seguro de que querrá que esta base de datos se elimine o proteja lo más pronto posible.
Adjunto dos capturas de pantalla de la base de datos como prueba de que esto es real.
Atentamente,
Chris Vickery
[Texto oculto]
4.1.2. Aplicación de Protocolos.
El veinte de abril de dos mil dieciséis, se llevó a cabo una diligencia en instalaciones del INE, en la que se aplicaron diversos protocolos con la finalidad de obtener y resguardar información que sirviera para conocer la veracidad los hechos informados:
a) Personal de la DERFE y de la Oficialía Electoral aplicaron el “Protocolo para la Obtención de Evidencia”[12], con la finalidad de recabar archivos del servidor reportado.
Se llevó a cabo el cotejo de la información obtenida del servidor reportado, con el respaldo de información del padrón electoral que obraba en el Centro de Cómputo y Resguardo Documental de la DERFE, con la finalidad de identificar si la evidencia correspondía al padrón electoral.
Derivado de ello, se obtuvo que la información contenida en la evidencia recabada del sitio reportado, sí correspondía a la lista nominal de electores entregada para revisión a los partidos políticos acreditados ante las comisiones de vigilancia en el marco del proceso electoral federal 2014-2015, de conformidad con el Acuerdo INE/CG249/2014.
b) Personal de la DERFE en colaboración con la Unidad Técnica de Servicios de Informática del INE, llevaron a cabo la aplicación del “Protocolo para Obtener la Copia del Disco de ADN[13]”[14], a fin de obtener las marcas de rastreabilidad que se incluyeron en los archivos referentes a la lista nominal de electores para revisión, que fueron entregados a las y los representantes de los partidos políticos acreditados ante las comisiones de vigilancia en el marco del proceso electoral federal 2014-2015.
4.1.3. Identificación de fecha de corte y registros de ADN.
Durante los días 21 y 22 de abril de dos mil dieciséis, la Coordinación de Procesos Tecnológicos, con apoyo en la Dirección de Operaciones, llevó a cabo el proceso para identificar “la fecha de corte” de la información descargada del sitio Amazon, así como al representante partidista al que se le entregó la información.
En síntesis, dicho procedimiento se realizó de la siguiente manera:
- Se utilizaron los siguientes insumos:
a) Evidencia descargada del sitio de internet Amazon Web Services.
b) Archivos ADN de la lista nominal de electores para revisión, correspondiente al año 2015.
- Se verificó que la estructura de datos de los archivos descargados era de 27 campos, los cuales correspondían con los establecidos en el “Procedimiento de entrega de la Lista Nominal de Electores para Revisión a los representantes de los Partidos Políticos acreditados ante las Comisiones de Vigilancia, en el Marco del Proceso Electoral Federal 2014-2015”[15], y se realizó un cruce informático, registro a registro, utilizando la clave de elector, entre los archivos descargados como evidencia y la base de datos original, identificando correspondencia en todos los registros.
Con base en lo anterior, se confirmó que la información descargada como evidencia, correspondía a la lista nominal de electores para revisión 2015 (con fecha de corte 15 de enero de 2015).
- Para la identificación del archivo especifico de ADN[16], se buscaron[17] las marcas de ADN de los 15 juegos entregados a los representantes de los 10 partidos políticos acreditados ante la Comisión Nacional de Vigilancia, en los archivos descargados como evidencia, localizándose correspondencia con las marcas del archivo ADN denominado ARFNJN72062909H800_MO_CNV-NACIONAL.txt.adn(1).adn.[18]
4.1.4. Vista a la UTCE. El veintidós de abril de dos mil dieciséis, se recibió en la UTCE el oficio INE/DERFE/542/2016, por medio del cual el Director Ejecutivo de la DERFE, hizo del conocimiento hechos que a su juicio son contraventores a la normativa electoral federal, en virtud de que información que presuntamente corresponde al listado nominal de electores, fue visible en un portal de internet denominado Amazon.
4.1.5. Radicación. El veintidós de abril de dos mil dieciséis, el Titular de la UTCE radicó a trámite la denuncia presentada, misma que fue registrada con la clave UT/SCG/Q/CG/12/2016, reservándose llevar a cabo el emplazamiento respectivo hasta en tanto culminara la etapa de investigación preliminar y se determinara a las y los presuntos responsables.
4.1.6. Cotejo de información entre la encontrada en el sitio web Amazon y la entregada a MC.
El veinticinco de abril de dos mil dieciséis, personal de la DERFE y de la Oficialía Electoral llevaron a cabo la diligencia para la verificación de correspondencia entre la evidencia obtenida del sitio de internet reportado y las marcas de rastreabilidad contenidas en el disco de ADN que se encontraba en resguardo la autoridad electoral, de tal forma que se pudiera corroborar que la marca de rastreabilidad ARFNJN72062909H800_MO_CNV_NACIONAL.txt.adn, con que se marcó la lista nominal entregada a Juan Pablo Arellano Fonseca, correspondía con la marca extraída del sitio de internet reportado.
De la comparación de las marcas de rastreabilidad, se advirtió que el archivo encontrado en Amazon, correspondía a la lista nominal de electores para revisión, que se le entregó al representante suplente de MC, acreditado ante la Comisión Nacional de Vigilancia, generado para Juan Pablo Arrellano Fonseca.
El Director de la DERFE hizo llegar la documentación atinente a los autos del procedimiento abierto por la UTCE.
4.1.7. Segunda queja. El veinticinco de abril de dos mil dieciséis, el Diputado Jorge López Martín, Consejero del Poder Legislativo del PAN ante el CG, denunció el presunto uso indebido de la información del Registro Federal de Electores, derivado de que se encontró disponible en una fuente pública accesible, específicamente en el sitio de internet denominado Amazon, información de los nombres y direcciones de votantes de México.
4.1.8. Radicación y acumulación. Mediante proveído de veintisiete de abril de dos mil dieciséis, el Titular de la UTCE radicó y admitió a trámite el procedimiento, mismo que fue registrado con la clave UT/SCG/Q/JLM/CG/13/2016. Asimismo, se ordenó su acumulación al diverso UT/SCG/Q/CG/12/2016, dada la estrecha vinculación advertida en ambos procedimientos.
4.1.9. Emplazamiento. Mediante acuerdo dictado el veintitrés de marzo de dos mil diecisiete[19], se ordenó emplazar, entre otros, a los recurrentes.
4.1.10. Resolución impugnada. En su oportunidad, el CG del INE emitió la resolución INE/CG271/2018, mediante la cual resolvió el procedimiento sancionador ordinario en cuestión.
En lo que interesa, la responsable consideró que era infundado el procedimiento instaurado en contra de las y los integrantes de la Comisión Operativa Nacional de MC e INDATCOM, S.A. DE C.V.
En cambio, consideró que era fundado el procedimiento instaurado en contra de MC, Juan Pablo Arellano Fonseca y José Manuel del Río Virgen.
4.2 Síntesis y estudio de agravios. Los motivos de inconformidad de los recurrentes se relacionan, esencialmente, con los temas siguientes:
I. Indebida sanción, al no prever alguna norma como falta, a la conducta irregular que se les atribuye.
II. Variación de la litis
III. La supuesta ilegalidad de algunos aspectos del procedimiento sancionatorio y valor probatorio de diversos medios de convicción.
IV. Individualización de la sanción.
Ahora bien, ante el mandato del artículo 17 constitucional, de garantizar a la ciudadanía el acceso real, completo y efectivo a la administración de justicia, los Tribunales se encuentran obligados a llevar a cabo el estudio de los agravios planteados por la parte impugnante que pudieran ser más favorables.
Por tanto, primeramente se estudiarán los motivos de disenso en que los recurrentes alegan que fue indebida la sanción, al no prever alguna norma como falta administrativa, la conducta irregular que se les atribuye.
Ello tiene que ser así, en razón de que en el supuesto de que fuera fundado lo que alegan, provocaría que se revocara lisa y llanamente la sanción que se les impuso, lo que no sucedería, necesariamente, si les asistiera la razón en los demás agravios que aducen, puesto que, por ejemplo, tocante a las violaciones procesales que alegan, de ser fundadas, en principio tendría que reponerse el procedimiento y una vez subsanadas, dictarse una nueva resolución.
4.2.1. Indebida sanción, al no prever alguna norma como falta, a la conducta irregular que se les atribuye.
4.2.1.1. La parte recurrente alega que:
• Atento al principio de reserva de ley, es indispensable que la conducta prohibida, esto es, la acción u omisión previstas en el supuesto hipotético, se encuentren descritas en una ley en sentido formal y material, y en el caso concreto, no existe disposición legal que prevea como infracción, la omisión de eliminar o destruir la información correspondiente a la lista nominal de electores, ni omitir verificar que las medidas de seguridad sean óptimas y eficaces, a fin de garantizar su confidencialidad.
• La facultad de la autoridad electoral para imponer sanciones, está limitada a las infracciones previstas en el capítulo de la Ley General de Instituciones y Procedimientos Electorales[20] denominado “De los sujetos, conductas sancionables y sanciones”, y a la comisión de faltas previstas en la misma ley; luego entonces, la responsable carece de facultades para imponer sanciones por presuntas violaciones a la Constitución o Convenios Internacionales.
• “Si bien es cierto se mantuvo salvaguardada la información durante el período de tiempo que se señala”, no menos verídico lo es que en la fecha en que incurrió la irregularidad que se les atribuye, no existía alguna disposición que lo prohibiera, pues de los artículos 8 y 33 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales[21], se desprende, afirma el impugnante, que era el archivo electrónico el que debía reintegrarse.
Lo anterior, porque dicha norma hace referencia a un archivo electrónico, no al padrón electoral o listado nominal, sin embargo, la parte final alude al género femenino, sin especificar a qué se refiere con "ésta", y sin precisar la temporalidad de la reproducción o almacenamiento, lo que torna oscura su redacción, habida cuenta que, de conformidad con los instructivos que se entregan con el archivo electrónico, dado su formato -información cifrada y comprimida-, su consulta es a través de un dispositivo distinto, y por ello instruye el establecimiento de una ruta en donde se guardará el archivo que será descifrado.
• En el oficio mediante el cual le fue entregado el listado nominal a José Manuel del Río Virgen, representante propietario de MC ante la Comisión Nacional de Vigilancia, se establece que de conformidad con lo dispuesto por el artículo 33 de los Lineamientos, debe reintegrar los instrumentos que recibe en un plazo no mayor a cinco días hábiles, contados a partir de la conclusión para presentar impugnaciones del proceso federal electoral, a través de oficio, manifestando bajo protesta de decir verdad que la información recibida no ha sido reproducida ni almacenada por algún medio, de lo que se advierte que quien lo emite[22], le dio una interpretación al contenido del artículo 33 de los citados Lineamientos, y fue más allá, al imponer la obligación de manifestar "bajo protesta de decir verdad, que la información recibida" no ha sido reproducida ni almacenada por algún medio, lo que rebasa el ámbito de sus facultades.
• Un reglamento no puede estar por encima de la Ley, por lo que resulta claro que al constituir un derecho de los partidos políticos el acceso permanente a la base de datos del padrón electoral y listado nominal, no puede considerarse una infracción la salvaguarda de este último, aun cuando se prolongara en el tiempo, pues la única prohibición consiste en usarla para fines distintos al de la revisión, por lo que la normativa que emite el INE, no puede modificar o alterar lo establecido en el artículo 148 numeral 2, de la LEGIPE, ya que la facultad reglamentaria no es absoluta y debe ejercerse dentro de las fronteras que delimitan la Constitución y la ley.
• La responsable reconoce que está permitida la descompresión y descifrado, así como el resguardo del material proporcionado inicialmente en un dispositivo de almacenamiento USB, en un medio de almacenamiento diverso, en consecuencia, la salvaguarda del listado nominal en un servidor, no infringe alguna disposición legal, a pesar de lo cual la autoridad pretende vincular el fin distinto a la revisión del padrón electoral, a la reproducción y almacenamiento del archivo correspondiente.
• Existe una contradicción en la resolución impugnada, respecto a que está permitido resguardar <cuyo sinónimo es almacenar> la información en un medio distinto al provisto por la autoridad, lo cual, como se demostró, es una necesidad, ya que de lo contrario no se podría descomprimir la información, ni revisar, como lo reconoce la responsable. Por tanto, señalar que el uso indebido consistió en su almacenamiento, resulta una incongruencia.
• La responsable, consciente de la imposibilidad de sancionar por la reproducción y almacenamiento de la información que se le entregó <cuya temporalidad tampoco estaba limitada por ningún lineamiento, reglamento o ley>, pretende sancionarlo por no haber eliminado o destruido la información, lo cual viola el principio de tipicidad, porque se le pretende imponer una sanción, sin que las diversas conductas que se le atribuyen estén previstas en la ley.
• El artículo 6° constitucional establece que toda información en poder de los partidos políticos es pública y solo podrá ser reservada temporalmente por razones de interés público y seguridad nacional, en los términos que fijen las leyes, y que la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.
Lo anterior guarda relación con lo dispuesto por el artículo 16, párrafo segundo, de la Carta Magna, por lo que se refiere a que un derecho no puede estar por encima de otro derecho, es decir, el equilibrio que debe existir entre el acceso a la información y el derecho a la intimidad, por lo que tales preceptos no resultan aplicables al caso.
• En cuanto a los convenios internacionales, leyes y reglamentos que enumera la responsable, resulta pertinente destacar que no basta mencionarlos, sino que está obligada a motivar la causa, por la que considera que violó alguna disposición contenida en los mismos, lo que evidentemente no hizo, por lo que su exposición solo reviste el carácter informativo.
• Las consideraciones de la responsable resultan subjetivas y carentes de sustento legal, al afirmar que la falta acreditada implicó conductas en contravención al derecho a la confidencialidad de datos personales y protección de información relativa a la vida privada, previsto en normas de carácter constitucional y legal en perjuicio de noventa y tres millones cuatrocientos veinticuatro mil setecientos diez personas.
• Las diversas conductas que se le atribuyen, tales como no vigilar que se implementaran más medidas de seguridad al servidor, o no eliminar o destruir la información, o almacenar "por más tiempo la información”, no deben ser consideradas como actividades del partido fuera de los cauces legales, pues el salvaguardar una información no puede considerarse una "actividad partidaria".
Consideraciones de la Sala Superior.
Son infundados tales motivos de inconformidad.
Para arribar a la anotada conclusión, se tiene presente que el procedimiento administrativo sancionador es el conjunto de actos o formalidades concatenados entre sí, seguido en forma de juicio por autoridad competente, con el objeto de conocer respecto de presuntas irregularidades o faltas administrativas, ya sean de servidores públicos o de particulares y, en su caso, imponer alguna sanción.
La sanción administrativa guarda una similitud con las penas impuestas por la comisión de delitos, toda vez que ambas tienen lugar como reacción frente a lo antijurídico; en uno y otro supuesto la conducta humana es ordenada o prohibida.
En consecuencia, tanto el derecho penal como el derecho administrativo sancionador resultan ser dos manifestaciones de la potestad punitiva del Estado, entendida como la facultad que tiene éste de imponer penas y medidas de seguridad ante la comisión de ilícitos.
Dada la similitud y la unidad de la potestad punitiva, en la interpretación constitucional de los principios del derecho administrativo sancionador puede acudirse a los principios penales sustantivos, aun cuando la traslación de los mismos en cuanto a grados de exigencia, no puede hacerse de forma automática, porque la aplicación de dichas garantías al procedimiento administrativo sólo es posible en la medida en que resulten compatibles con su naturaleza.
En efecto, si bien es cierto que al derecho administrativo sancionador le son aplicables los principios del derecho penal, también lo es que esa aplicación no es irrestricta, pues los citados principios deben ser pertinentes en lo que no se opongan a las particularidades de las sanciones administrativas, es decir, no siempre y no todos los principios penales son aplicables sin más a esa materia, puesto que los parámetros o lineamientos que rigen las sanciones penales no pueden ser iguales a los del sistema sancionador de responsabilidades administrativas.
Por tanto, los principios de la facultad punitiva del Estado (ius puniendi) desarrollados por el derecho penal, son aplicables en lo que se útil y pertinente al derecho administrativo sancionador electoral.
En este sentido, se deben extraer los principios desarrollados por el derecho penal y adecuarlos en lo que sean útiles y pertinentes a la imposición de sanciones administrativas, en lo que no se opongan a las particularidades de éstas, lo que significa que no siempre y no todos los principios penales son aplicables sin más, a los ilícitos administrativos, sino que debe tomarse en cuenta la naturaleza de las sanciones administrativas y el debido cumplimiento de los fines de una actividad de la administración, en razón de que no existe uniformidad normativa, sino más bien una unidad sistémica, entendida de forma que todas las normas punitivas se encuentran integradas en un solo sistema, pero que dentro de él caben toda clase de peculiaridades, por lo que la singularidad de cada materia permite la correlativa peculiaridad de su regulación normativa.
Cabe mencionar que la conclusión de que la aplicación de los principios de derecho penal al administrativo sancionador no es irrestricta, ha sido admitida por la Suprema Corte de Justicia de la Nación, por ejemplo, en la jurisprudencia del Pleno que enseguida se reproduce[23].
PRESUNCIÓN DE INOCENCIA. ESTE PRINCIPIO ES APLICABLE AL PROCEDIMIENTO ADMINISTRATIVO SANCIONADOR, CON MATICES O MODULACIONES. El Tribunal Pleno de la Suprema Corte de Justicia de la Nación, en la tesis aislada P. XXXV/2002, sostuvo que, de la interpretación armónica y sistemática de los artículos 14, párrafo segundo, 16, párrafo primero, 19, párrafo primero, 21, párrafo primero y 102, apartado A, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos (en su texto anterior a la reforma publicada en el Diario Oficial de la Federación el 18 de junio de 2008), deriva implícitamente el principio de presunción de inocencia; el cual se contiene de modo expreso en los diversos artículos 8, numeral 2, de la Convención Americana sobre Derechos Humanos y 14, numeral 2, del Pacto Internacional de Derechos Civiles y Políticos; de ahí que, al ser acordes dichos preceptos -porque tienden a especificar y a hacer efectiva la presunción de inocencia-, deben interpretarse de modo sistemático, a fin de hacer valer para los gobernados la interpretación más favorable que permita una mejor impartición de justicia de conformidad con el numeral 1o. constitucional. Ahora bien, uno de los principios rectores del derecho, que debe ser aplicable en todos los procedimientos de cuyo resultado pudiera derivar alguna pena o sanción como resultado de la facultad punitiva del Estado, es el de presunción de inocencia como derecho fundamental de toda persona, aplicable y reconocible a quienes pudiesen estar sometidos a un procedimiento administrativo sancionador y, en consecuencia, soportar el poder correctivo del Estado, a través de autoridad competente. En ese sentido, el principio de presunción de inocencia es aplicable al procedimiento administrativo sancionador -con matices o modulaciones, según el caso- debido a su naturaleza gravosa, por la calidad de inocente de la persona que debe reconocérsele en todo procedimiento de cuyo resultado pudiera surgir una pena o sanción cuya consecuencia procesal, entre otras, es desplazar la carga de la prueba a la autoridad, en atención al derecho al debido proceso.
En este orden de ideas, tratándose de la cuestión concerniente a la tipificación, los principios del derecho punitivo operan de forma distinta en la materia administrativa sancionadora, porque ésta se ocupa de regular una multiplicidad de situaciones de la vida en sociedad, y que para hacer cumplir las normas, se establecen a favor de las autoridades, facultades sancionatorias con el fin de reprimir e inhibir conductas que transgredan normas de dicho carácter.
Así, debido a la amplitud de situaciones que regula el derecho administrativo, y sobre todo el derecho electoral, respecto del cual ha aumentado su reglamentación, no es posible establecer un catálogo de conductas sancionables de la misma forma que se codifica en materia penal, pues su complejidad lo hace casi imposible.
En consecuencia, si bien las normas penales, por regla general, prevén determinadas conductas que de realizarse, llevan aparejada una pena; en cambio, los tipos sancionadores administrativos pueden remitir a otra norma, incluso de menor jerarquía (verbigracia, reglamentos o lineamientos), en la que se establezca una orden o prohibición, cuyo incumplimiento provoca una infracción.
Así, en el derecho administrativo sancionador, la doctrina distingue diversas variantes tipificadoras, entre las que se encuentra la tipificación remisiva expresa, en donde la ley prescinde de la reproducción de los mandatos y prohibiciones, remitiendo a otras normas en que aparecen.
La doctrina también reconoce la tipificación implícita, que es la remisión tácita a la norma de mandato o prohibición.
En ambos casos, el tipo no se describe directamente, sino con motivo de la conjunción de dos normas: la que manda o prohíbe y la que advierte que el incumplimiento constituye una infracción.
La validez de tal remisión ha sido admitida por el Alto Tribunal en la tesis de la Segunda Sala[24], que dice:
El Pleno de la Suprema Corte de Justicia de la Nación ha sostenido que dada la similitud y la unidad de la potestad punitiva, en la interpretación constitucional de los principios del derecho administrativo sancionador puede acudirse a aquellos del derecho penal sustantivo como el de legalidad y, particularmente, al de tipicidad, que exige una predeterminación normativa clara y precisa de las conductas ilícitas y de las sanciones correspondientes, de manera que no quede margen a la arbitrariedad de las autoridades encargadas de su aplicación. Sobre esa base, cuando la norma que contiene el supuesto de infracción establece: "las demás violaciones a esta ley y a sus disposiciones reglamentarias" o expresiones similares, no vulnera el principio de tipicidad, siempre que la conducta de reproche se desprenda de la propia legislación o de sus disposiciones reglamentarias y permita al gobernado su previsibilidad, evitando con ello la arbitrariedad de la autoridad administrativa al establecer una sanción.
Esta Sala Superior también ha reconocido la diferencia sustancial entre la tipificación de delitos y la de infracciones administrativas, al resolver, entre otros, los recursos de apelación SUP-RAP-120/2016, así como SUP-RAP-236/2016.
Acorde con lo expuesto, es infundado lo alegado en el sentido de que para sancionar por una falta administrativa electoral, sea indispensable que la conducta prohibida que se atribuye, se encuentre descrita en una ley, pues como se puso de relieve, tratándose del procedimiento sancionador electoral, es válido que la ley remita a otra norma u otros ordenamientos en que se establezca una orden o prohibición, cuyo incumplimiento provoca una infracción.
Además, en el capítulo de la LEGIPE denominado “De los sujetos, conductas sancionables y sanciones”, sí se prevé como infracción de los partidos políticos y sus militantes, así como de la ciudadanía en general, la comisión de cualquier otra falta o del incumplimiento de cualquier disposición prevista en la ley, a pesar de que no estén establecidas en dicho capítulo.
Ahora bien, para estar en aptitud de dar respuesta al resto de los agravios relacionados con el tema que nos ocupa, se reproducirá la normativa aplicable.
Constitución Política de los Estados Unidos Mexicanos
Artículo 41.
…
Apartado B. Corresponde al Instituto Nacional Electoral en los términos que establecen esta Constitución y las leyes:
a) Para los procesos electorales federales y locales:
1. La capacitación electoral;
2. La geografía electoral, así como el diseño y determinación de los distritos electorales y división del territorio en secciones electorales;
3. El padrón y la lista de electores;
…
Ley General de Instituciones y Procedimientos Electorales
Artículo 30.
1. Son fines del Instituto:
a) Contribuir al desarrollo de la vida democrática;
b) Preservar el fortalecimiento del régimen de partidos políticos;
c) Integrar el Registro Federal de Electores;
…
Artículo 32.
1. El Instituto tendrá las siguientes atribuciones:
…
III. El padrón y la lista de electores;
…
Artículo 54.
1. La Dirección Ejecutiva del Registro Federal de Electores tiene las siguientes atribuciones:
…
b) Formar el Padrón Electoral;
…
f) Proporcionar a los órganos competentes del Instituto y a los partidos políticos nacionales y candidatos, las listas nominales de electores en los términos de esta Ley;
…
2. Para coadyuvar en los trabajos relativos al Padrón Electoral se integrará la Comisión Nacional de Vigilancia, que presidirá el Director Ejecutivo del Registro Federal de Electores, con la participación de los partidos políticos nacionales.
…
Artículo 126.
…
3. Los documentos, datos e informes que los ciudadanos proporcionen al Registro Federal de Electores, en cumplimiento de las obligaciones que les impone la Constitución y esta Ley, serán estrictamente confidenciales y no podrán comunicarse o darse a conocer, salvo cuando se trate de juicios, recursos o procedimientos en los que el Instituto fuese parte, para cumplir con las obligaciones previstas por esta Ley, en materia electoral y por la Ley General de Población en lo referente al Registro Nacional Ciudadano o por mandato de juez competente.
…
Artículo 133.
1. El Instituto se encargará de formar y administrar el padrón electoral y la lista de electores.
…
Artículo 137.
1. Una vez llevado a cabo el procedimiento a que se refiere el artículo anterior, se procederá a formar las listas nominales de electores del Padrón Electoral con los nombres de aquéllos a los que se les haya entregado su credencial para votar.
…
3. Los listados anteriores se pondrán a disposición de los partidos políticos para su revisión y, en su caso, para que formulen las observaciones que estimen pertinentes.
…
Artículo 148.
…
2. Los partidos políticos tendrán acceso en forma permanente a la base de datos del Padrón Electoral y las listas nominales, exclusivamente para su revisión, y no podrán usar dicha información para fines distintos.
…
Artículo 150.
1. Los partidos políticos, conforme a lo establecido en el párrafo 2 del artículo 148 de esta Ley, podrán formular a la Dirección Ejecutiva del Registro Federal de Electores sus observaciones sobre los ciudadanos inscritos o excluidos indebidamente de las listas nominales, dentro del plazo de veinte días naturales a partir del 25 de febrero de cada uno de los dos años anteriores al de la celebración de las elecciones.
…
Artículo 151.
1. El 15 de febrero del año en que se celebre el proceso electoral ordinario, la Dirección Ejecutiva del Registro Federal de Electores entregará en medios magnéticos, a cada uno de los partidos políticos las listas nominales de electores divididas en dos apartados, ordenadas alfabéticamente y por secciones correspondientes a cada uno de los distritos electorales. El primer apartado contendrá los nombres de los ciudadanos que hayan obtenido su credencial para votar al 15 de diciembre y el segundo apartado contendrá los nombres de los ciudadanos inscritos en el Padrón Electoral que no hayan obtenido su credencial para votar a esa fecha.
2. Los partidos políticos podrán formular observaciones a dichas listas, señalando hechos y casos concretos e individualizados, hasta el 14 de marzo inclusive.
…
Artículo 152.
1. Los partidos políticos contarán en el Instituto con terminales de computación que les permitan tener acceso a la información contenida en el Padrón Electoral y en las listas nominales de electores. Igualmente y conforme a las posibilidades técnicas, los partidos políticos tendrán garantía de acceso permanente al contenido de la base de datos, base de imágenes, documentos fuente y movimientos del padrón, exclusivamente para su revisión y verificación.
…
Artículo 157.
1. Las comisiones de vigilancia se integrarán por:
a) El Director Ejecutivo del Registro Federal de Electores o, en su caso, los vocales correspondientes de las juntas locales o distritales ejecutivas, quienes fungirán como presidentes de las respectivas comisiones, en caso de ausencia temporal, estos últimos podrán ser sustituidos por los vocales ejecutivos de dichas juntas. El presidente de la Comisión Nacional de Vigilancia será sustituido, en sus ausencias temporales, por el secretario de la misma.
b) Un representante propietario y un suplente por cada uno de los partidos políticos nacionales, y
c) Un secretario designado por el respectivo presidente, entre los miembros del Servicio Profesional Electoral con funciones en el área registral.
…
3. Los partidos políticos deberán acreditar oportunamente a sus representantes ante las respectivas comisiones de vigilancia, los que podrán ser sustituidos en todo tiempo.
…
Artículo 443.
1. Constituyen infracciones de los partidos políticos a la presente Ley:
a) El incumplimiento de las obligaciones señaladas en la Ley General de Partidos Políticos y demás disposiciones aplicables de esta Ley;
…
n) La comisión de cualquier otra falta de las previstas en esta Ley.
…
Artículo 447.
1. Constituyen infracciones de los ciudadanos, de los dirigentes y afiliados a partidos políticos, o en su caso de cualquier persona física o moral, a la presente Ley:
…
e) El incumplimiento de cualquiera de las disposiciones contenidas en esta Ley.
Ley General de Partidos Políticos.
Artículo 25.
1. Son obligaciones de los partidos políticos:
a) Conducir sus actividades dentro de los cauces legales y ajustar su conducta y la de sus militantes a los principios del Estado democrático, respetando la libre participación política de los demás partidos políticos y los derechos de los ciudadanos;
…
u) Las demás que establezcan las leyes federales o locales aplicables.
Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobado mediante acuerdo CG35/2013.
2. El objeto de los presentes Lineamientos es establecer los mecanismos para garantizar, conforme a lo establecido en la Constitución, el Código, el Reglamento y demás normatividad aplicable, lo siguiente:
a) El acceso a datos personales contenidos en el padrón electoral a las y los miembros de los Consejos General, Locales y Distritales, de las Comisiones Nacional, Locales y Distritales de Vigilancia, así como a los partidos políticos.
b) La entrega en medios magnéticos y/o impresos de datos personales contenidos en las listas nominales de electores para observaciones de los partidos políticos, así como las listas nominales de electores definitivas con fotografía, para su revisión y verificación a los miembros de las Comisiones Nacional, Locales y Distritales de Vigilancia, así como a los partidos políticos nacionales.
c) Garantizar a los titulares de los datos personales que los miembros de los Consejos General, Locales y Distritales, las Comisiones Nacional, Locales y Distritales de Vigilancia, así como los partidos políticos, circunscribirán el uso de la información contenida en el padrón electoral, la lista nominal de electores y demás instrumentos, bases de datos y documentos electorales relacionados, para la revisión de su consistencia y calidad, así como la verificación de que la integración del padrón electoral y la lista nominal de electores se lleve a cabo con apego a la ley.
3. Los presentes Lineamientos son de observancia general para el personal de todos los órganos del Instituto, las Comisiones Nacional, Locales y Distritales de Vigilancia así como de los partidos políticos nacionales y los Organismos Electorales Locales, mismos que en el ámbito de su competencia, deberán dar debido cumplimiento a estos Lineamientos.
…
8.- Los miembros de las Comisiones Nacional, Locales y Distritales de Vigilancia tendrán acceso, podrán verificar y les serán entregados de conformidad a los presentes lineamientos, los datos personales contenidos en el padrón electoral y la lista nominal de electores, así como a los instrumentos y documentos electorales que los contengan, exclusivamente para el cumplimiento de sus funciones y no podrán darle o destinarla a finalidad distinta al de la revisión del Padrón Electoral y las Listas Nominales de Electores.
…
24. Los miembros de las Comisiones Nacional, Locales y Distritales de Vigilancia, serán responsables del uso o destino de los datos personales a los que tengan acceso y deberán tomar las medidas necesarias para salvaguardar la información y documentación, usándola exclusivamente para los fines para los que fue solicitada.
…
De la entrega de los datos personales contenidos en el Padrón Electoral y las Listas Nominales de Electores a los Representantes de Partidos Políticos Nacionales ante las Comisiones Nacionales, Locales y Distritales de Vigilancia.
27. Para el cumplimiento de las disposiciones del Código relacionadas con la entrega del Padrón Electoral y la Lista Nominal de Electores a los representantes de los partidos políticos ante la Comisión Nacional de Vigilancia, así como a los partidos políticos, la Dirección Ejecutiva colocará encada una de las copias que entregue, elementos distintivos únicos que permitan identificar aquellas que, en su caso, hubieran sido objeto de un uso indebido por parte de los usuarios.
28. De conformidad con lo establecido en el artículo 195 del Código, la Dirección Ejecutiva entregará a más tardar el 15 de marzo del año en que se celebre el proceso electoral ordinario, en medios magnéticos, a cada uno de los integrantes de la Comisión Nacional de Vigilancia, así como a los Partidos Políticos Nacionales, los datos personales contenidos en el Padrón Electoral y las Listas Nominales de Electores, bajo la modalidad que señala el propio artículo citado.
29. Para efectos del numeral 28 de estos lineamientos, la Dirección Ejecutiva de manera conjunta con la Comisión Nacional de Vigilancia, emitirá un procedimiento en el que se determine la forma en que se realizará la entrega de la Lista Nominal de Electores para Revisión, asegurando su integridad y velando por la protección de los datos personales contenidas en ellas. Dicho procedimiento deberá ser aprobado por el Consejo General a más tardar tres meses antes de la entrega de las listas.
30. El procedimiento para la entrega de los datos personales contenidos en las listas nominales de electores a que se refiere el lineamiento anterior comprenderá, cuando menos, los aspectos
siguientes:
a) Los representantes ante la Comisión Nacional de Vigilancia comunicarán, con al menos un mes de anticipación al plazo para la aprobación por el Consejo General del procedimiento de entrega de las listas nominales previstas en la ley, si requiere que se realice la entrega a sus respectivos representantes ante las Comisiones Locales y Distritales, así como a su Partido Político, según sea el caso. La solicitud puede involucrar al total de comisiones o a una parcialidad de las mismas.
b) La entrega deberá realizarse mediante oficio dirigido de manera personalizada al representante propietario del partido político del órgano de vigilancia de que se trate, quien firmará de recibido.
c) En el caso de los representantes ante la Comisión Nacional de Vigilancia o en el caso de los Partidos Políticos, será el Director Ejecutivo del Registro Federal de Electores quien realice la entrega de los datos personales en posesión de la Dirección Ejecutiva contenidos en las listas nominales de electores.
d) En el caso de los representantes acreditados ante la Comisión que soliciten sean entregados ante los órganos de vigilancia locales y distritales, serán los Vocales del Registro Federal de Electores en las Juntas Locales y Distritales respectivas, los responsables de realizar la entrega del archivo electrónico que contenga los datos personales en posesión de la Dirección Ejecutiva contenidos en las listas nominales de electores únicamente en el ámbito territorial de su competencia.
e) Los mecanismos de control y seguridad necesarios para garantizar que los datos personales en posesión de la Dirección Ejecutiva contenidos en las listas nominales de electores sean recibidos exclusivamente por los representantes acreditados ante los órganos de vigilancia y sean utilizados únicamente para su revisión y verificación en términos del Código.
f) Los mecanismos para reintegrar la información.
31. La Dirección Ejecutiva entregará los campos de información de las Listas Nominales de Electores divididas en dos apartados, ordenadas alfabéticamente y por secciones y distritos. El primer apartado contendrá los nombres de los ciudadanos que hayan obtenido su credencial para votar al 15 de febrero del año de la elección y el segundo apartado contendrá los nombres de los ciudadanos que no hayan obtenido su credencial para votar.
32. Los representantes acreditados ante las Comisiones Nacional, Locales y Distritales de Vigilancia, serán responsables del uso o destino de los datos personales contenidos en el padrón electoral y las listas nominales de electores y deberán tomar las medidas necesarias para salvaguardar la información y documentación que les sea entregada, sin poder darle un uso distinto al de la revisión de la lista nominal de lectores de que se trate. En su caso, los representantes acreditados ante la Comisión, podrán solicitar a la Dirección Ejecutiva la adopción de medidas de seguridad adicionales.
33.- Una vez concluido el plazo para presentar las impugnaciones del proceso electoral, los representantes acreditados ante las Comisiones Nacional, Locales y Distritales de Vigilancia y/o, en su caso, los Partidos Políticos Nacionales, deberán reintegrar el archivo electrónico en un plazo no mayor a 5 días hábiles y mediante oficio dirigido al Director Ejecutivo del Registro Federal de Electores o al Vocal del Registro Federal de Electores de la Junta Local o Distrital Ejecutiva que haya realizado la entrega, según corresponda, señalando además que ésta no ha sido reproducida, ni almacenada por algún medio”.
De la normativa transcrita se desprende, en lo conducente, que:
- Los partidos políticos nacionales tienen la obligación de conducir sus actividades dentro de los cauces legales y de ajustar su conducta y la de sus militantes a los principios del Estado democrático, respetando los derechos de la ciudadanía, así como cumplir los demás deberes impuestos por la ley.
- Los documentos, datos e informes que las y los ciudadanos proporcionan al Registro Federal de Electores, son estrictamente confidenciales, por lo que no pueden comunicarse, salvo en los casos previstos en la propia norma[25].
- Los partidos políticos tienen acceso de forma permanente a la base de datos que conforma el padrón electoral, exclusivamente para su revisión y no pueden usar dicha información para fines distintos.
- Las y los miembros de las Comisiones Nacional, Locales y Distritales de Vigilancia, entre los que se encuentran quienes representan a los partidos políticos:
Tendrán acceso, podrán verificar y les serán entregados los datos personales contenidos en el padrón electoral y la lista nominal de electores, exclusivamente para el cumplimiento de sus funciones.
No podrán dar o destinar dicha información a una finalidad distinta al de su revisión.
Son responsables del uso o destino de dichos datos, debiendo tomar las medidas necesarias para salvaguardar la información y documentación.
- Una vez concluido el plazo para presentar impugnaciones, los representantes acreditados ante las Comisiones Nacional, Locales y Distritales de Vigilancia y/o, en su caso, los partidos políticos nacionales tienen que reintegrar, mediante oficio, el archivo electrónico en un plazo no mayor a cinco días hábiles, debiendo señalar que el mismo no fue reproducido, ni almacenado por algún medio.
De tales disposiciones normativas se puede concluir que existe para los partidos políticos, sus representantes ante las comisiones de vigilancia y en general para sus militantes, obligación de confidencialidad respecto de la información que conforma el padrón electoral y la lista nominal de electores, así como de no dar a la misma una finalidad u objeto distinto al de su revisión.
En efecto, tomando en cuenta el marco constitucional de protección a los datos personales de las y los ciudadanos, existe un principio claro de confidencialidad respecto de la información que proporcionan al INE para conformar el Registro Federal de Electores, imponiéndose por consecuencia a la autoridad electoral, a los partidos políticos y a quienes los representan, así como a sus militantes, un deber estricto de salvaguardar tal secrecía.
Con base en tal principio de confidencialidad, a la información del padrón electoral y de la lista nominal de electores, los partidos políticos y sus representantes ante las comisiones de vigilancia, pueden acceder exclusivamente para su revisión, por lo que la ley prevé la prohibición de dar a dicha información un uso, objeto o finalidad distinto a ello, es decir, a la revisión, en el entendido de que, por consecuencia y atendiendo a la calidad de confidencial de la información, están igualmente compelidos a garantizar su secrecía frente a terceros.
Por otro lado, vinculada con las obligaciones que la norma impone a los partidos políticos, a quienes los representan y a sus militantes, se establece que constituye una infracción el incumplimiento de cualquiera de las disposiciones contenidas en la ley.
Cabe mencionar que, como se dijo, el principio de taxatividad en la determinación de los tipos sancionadores no es absoluto en materia administrativa, a diferencia de lo que acontece en el derecho penal, en razón de los distintos bienes que se protegen en cada uno de dichos ámbitos del Derecho.
En dicho sentido, el referido principio no implica que las infracciones administrativas deban ser establecidas con absoluta precisión, pues ello depende de diversas circunstancias que concurren en la configuración de la norma.
En consecuencia, la violación al deber de cuidado o a la confidencialidad de la información que conforma el Registro Federal de Electores, así como el darle un uso o finalidad distintos al de revisar el padrón electoral y las listas nominales, es una infracción en que pueden incurrir tanto los partidos políticos, quienes los representan y sus militantes.
Ello es así, en virtud de que es suficiente el que se prevea el principio de confidencialidad de la información y la prohibición de otorgar a la misma un uso distinto al especificado por la norma, para considerar que cualquier conducta contraria a dicho deber y a la limitada permisividad en cuanto al uso de tales datos, constituye una infracción administrativa por violación a la norma.
El hecho de que sea una la disposición la que establece las obligaciones o prohibiciones y otra la que prevé que su incumplimiento constituye una infracción, no implica una falta al principio de tipicidad o legalidad, porque de cualquier manera se cumple con que con anterioridad a los hechos, la norma configura la infracción y su sanción, con independencia de que ello se realice mediante la concurrencia de normas, pues lo relevante es que los partidos políticos y sus militantes están en aptitud de conocer con anticipación las conductas y omisiones que le son prohibidas, cuyo incumplimiento le resultará sancionable.
En esta tesitura, cuando el valor o bien jurídico puede ser afectado mediante una diversidad de conductas, resulta lógico, conveniente y válido determinar, explícitamente, cuál es la única conducta permitida, quedando establecido así, por exclusión y con el grado de certeza suficiente, que cualquier conducta distinta es ilícita y, por tanto, sancionable.
En el caso, como ya ha sido indicado, la norma prevé que los documentos, datos e informes que la ciudadanía proporciona al Registro Federal de Electores son estrictamente confidenciales, y que las y los miembros de las comisiones de vigilancia tienen acceso a la información que conforma el padrón electoral, sin que puedan darle o destinarla a una finalidad u objeto distintos al de la revisión del referido padrón y las listas nominales.
Es decir, para garantizar la confidencialidad de dicha información, el legislador optó por definir con suficiente claridad, la única conducta legalmente válida: que los partidos políticos y sus representantes usaran la información del Registro Federal de Electores para la revisión del padrón electoral y las listas nominales, quedando prohibida cualquier otra posibilidad.
Entender lo contrario, es decir, que frente a la única conducta legalmente admitida, quien crea la norma, estuviera obligado a establecer un catálogo absoluto de las acciones prohibidas, implicaría la necesidad de elaborar un inacabable listado de supuestos normativos, a fin de evitar que la violación a los mandatos o prohibiciones de la norma quedaran sin sanción, lo cual no es de admitirse.
Es por eso que basta el establecimiento del comportamiento admitido por la ley y la prohibición expresa de realizar acciones distintas, para configurar el tipo sancionador, en el entendido de que cualquier acción distinta a la autorizada, mediante una tipificación implícita, constituye una infracción.
Similar criterio sostuvo esta Sala Superior al resolver el recurso de apelación SUP-RAP-120/2016.
En consecuencia, la omisión de verificar que sean óptimas y eficaces las medidas de seguridad implementadas para conservar la confidencialidad del archivo que contiene la información de la lista nominal de electores, durante el tiempo que normativamente les está permitido a los partidos políticos conservar el archivo respectivo, sí constituye una infracción administrativa, en tanto que, constituye una violación al deber de cuidado y a la confidencialidad de tal información.
En el mismo sentido, almacenar o mantener almacenada la base de datos de la lista nominal de electores, después de reintegrar a la autoridad el archivo que primigeniamente le había sido entregado para su revisión, al haber concluido el plazo para realizar dicha tarea, también resulta un uso diverso al de su revisión y, por ende, el hacerlo constituye una falta, porque nada justifica que la mantengan en su poder, habida cuenta que, se pone en peligro la confidencialidad de la información, toda vez que terceros pueden acceder a ella, ya sea por contar con los conocimientos y recursos tecnológicos para hacerlo, o por negligencia de quien la tiene en su poder, al mantener la información en un lugar inadecuado que no mantenga la confidencialidad de la información o por no implementar medidas de seguridad efectivas.
No es óbice a la anterior conclusión, que dichas conductas no constituyan actividades partidarias ordinarias, ya que lo verdaderamente importante es que constituyen obligaciones impuestas por la norma a los partidos políticos, sus representantes y militantes en general, en el manejo de la información de la lista nominal de electores.
Más aún se debe considerar infracción dicho almacenamiento, porque del numeral 33 de los Lineamientos, se desprende la obligación de no continuar almacenando la base de datos de la lista nominal de electores, después de haber reintegrado a la autoridad el archivo que primigeniamente le había sido entregado, por haber concluido el plazo para su revisión.
En efecto, la interpretación armónica, sistemática y funcional de dicho precepto, permite establecer lo siguiente.
Al tomar en cuenta que el objeto de los lineamientos es establecer los mecanismos para garantizar la entrega de las listas nominales de electores a los partidos políticos para su revisión, debe entenderse que el archivo electrónico que debe reintegrarse, a que se refiere el numeral 33, es precisamente el que contiene la base de datos con la información concerniente a las personas inscritas en la lista nominal de electores.
Luego, en cuanto a la obligación de no reproducir ni almacenar tal archivo, prevista en la parte final del referido precepto, debe entenderse que opera inmediatamente después de que se reintegra el archivo electrónico a la autoridad electoral, una vez concluida su revisión o el plazo para hacerlo.
En efecto, si el archivo entregado por la autoridad electoral a los partidos políticos para revisión, fue copiado y/o almacenado para realizar dicha tarea en cualquier otro lugar distinto al dispositivo electrónico que fue entregado al partido político, el segundo o posterior almacenaje, tendrá que concluir, necesariamente, al reintegrar a la autoridad el archivo que primigeniamente le había sido entregado, una vez concluida la revisión o el plazo para hacerlo, para lo cual el partido político y sus representantes, contrario a lo que alegan, si tienen la obligación implícita de destruir ese segundo o posterior almacenamiento, por ser la única forma en que la base de datos de la lista nominal de electores, no quede almacenada en poder de alguien diverso a la autoridad electoral.
Efectivamente, al contener la lista nominal de electores datos altamente sensibles, los partidos políticos no pueden darle un uso distinto a su revisión, por lo que al finalizar ésta o el plazo para hacerlo, no existe alguna razón que justifique que el partido político y/o sus representantes, mantengan almacenada la información, por más seguro que sea el sitio en el que se guarda.
Por tanto, si bien la propia autoridad electoral autorizaba a los partidos políticos a descargar la información correspondiente y guardarla en un lugar diverso, ese permiso era únicamente durante el lapso en que la revisaban, ya que al finalizar el periodo de revisión, y reintegrar la base de datos en el medio que se les había entregado, tienen la obligación de destruir cualquier otro archivo que contuviera dicha base de datos, ya que, se insiste, nada justifica que la tengan en su poder en un momento posterior, por lo que es inexistente la contradicción alegada.
Estimar lo contrario haría inocua la disposición normativa que obliga a los institutos políticos a salvaguardar la información de la lista nominal de electores, sin poder darle un uso diverso al de su revisión, y reintegrar el archivo electrónico, pues ningún caso tendría que regresarla, si esa información altamente sensible continuara en su poder, almacenada en cualquier otro medio, con el riesgo de que terceros puedan acceder a ella.
Sin que tal disposición sea contraria a la disposición legal que prevé el derecho de los partidos al acceso permanente a la base de datos del padrón electoral y de la lista nominal de electores, ya que la ley no prevé que tal acceso sea a través de algún archivo almacenado por los institutos políticos en la forma y tiempo que deseen; habida cuenta que, efectivamente, como se puso de relieve, un fin distinto a su revisión, es guardar el archivo más allá del plazo que tienen para su revisión.
Asimismo, son ineficaces los agravios en los que se alega que el emisor del oficio mediante el cual le fue entregado el listado nominal a José Manuel del Río Virgen, fue más allá del artículo 33 de los Lineamientos, rebasando el ámbito de sus facultades, al establecer que debería reintegrar los instrumentos que recibía, manifestando bajo protesta de decir verdad que la información recibida no había sido reproducida ni almacenada por algún medio.
Se califican de esa manera los agravios, dado que, los impugnantes no fueron sancionados por declarar falsamente a la autoridad; y aun si se prescindiera de dicha frase, es decir, de la manifestación bajo protesta de decir verdad, de cualquier manera, de conformidad con la normativa a que se ha hecho alusión, subsistiría la obligación del partido y sus representantes, de no tener almacenada la base de datos de la lista nominal de electores, en momento posterior a que se reintegra a la autoridad electoral el archivo electrónico correspondiente, o que concluya el plazo para hacerlo.
Por otro lado, la irregularidad que advirtió la responsable, fue la falta de deber de cuidado respecto de la base de datos que contenía el listado nominal de electores para su revisión, correspondiente al proceso electoral federal 2014-2015, lo que derivó en que esa base de datos se almacenará indebidamente más allá del trece de marzo de dos mil quince, fecha en que formalmente se reintegró a la DERFE, y su posterior exposición en una página de internet de un servidor de Amazon Web Services.
En ese sentido, la consideración que hizo la responsable, en cuanto a que la parte impugnante debió haber eliminado o destruido la información, no les causa perjuicio a los recurrentes, porque sólo fue en el sentido de que tal acción era necesaria para impedir que siguiera almacenada la información más allá del lapso permitido y su posterior exposición en internet.
Por otra parte, en cuanto a las leyes, reglamentos y lineamientos que invoca la resolutora, contrario a lo que se alega, sí motiva las causas por las que considera que los impugnantes los transgredieron.
Efectivamente, la autoridad electoral estableció, entre otras cosas, que:
- El artículo 126, párrafo 3, de la LEGIPE establece el principio de confidencialidad que reviste la información proporcionada por la ciudadanía al Registro Federal de Electores, la cual no debe comunicarse ni darse a conocer salvo cuando se trate de juicios, recursos o procedimientos en los que el INE fuera parte, para cumplir con las obligaciones previstas por la propia LEGIPE, en lo concerniente a la materia electoral y por la Ley General de Población en lo referente al Registro Nacional Ciudadano o por mandato de juzgador competente.
- En el artículo 126, párrafo 4, del mismo ordenamiento, se determina quienes pueden tener acceso a la información que conforma el padrón electoral, exclusivamente para el cumplimiento de sus funciones, e impone la obligación irrestricta de no darla a conocer o destinarla a finalidad u objeto distinto al de la revisión del padrón electoral y las listas nominales.
- El numeral 148, párrafo 2, de la LEGIPE, otorga el derecho a los partidos políticos para acceder en forma permanente a la base de datos del padrón electoral y las listas nominales, al tiempo que establece la obligación de que sea exclusivamente para su revisión, prohibiendo su uso para fines distintos.
- En el artículo 150, de la LEGIPE, se precisa que la revisión que hagan los partidos a la base de datos del padrón electoral y las listas nominales, tiene como finalidad que los institutos políticos cuenten con los elementos suficientes para formular observaciones sobre las personas inscritas o excluidas indebidamente de tales listas nominales, dentro del plazo de veinte días naturales a partir del veinticinco de febrero de cada uno de los dos años anteriores al de la celebración de las elecciones.
- Para efecto de poder llevar a cabo esta labor a cargo de los partidos políticos, la autoridad electoral emitió los Lineamientos, en los que definió el procedimiento para la entrega de información correspondiente a las listas nominales de electores a los partidos para su revisión, a fin de hacerlas atestes con las previsiones contenidas en la propia LEGIPE.
- En dichos Lineamientos destaca la obligación a cargo de los partidos políticos, de tomar todas las medidas necesarias que estén a su alcance a fin de garantizar la confidencialidad y salvaguarda de la información que se les proporciona; de utilizarla únicamente para los fines de revisión; de no reproducirla ni almacenarla y, finalmente, reintegrarla íntegramente a la autoridad electoral una vez que concluyan los plazos para presentar los medios de impugnación correspondientes al proceso electoral de que se trate.
En consecuencia, la responsable calificó fundado el procedimiento sancionador seguido en contra de los recurrentes, por la violación a lo previsto en los artículos 126, párrafos 3 y 4; 148, párrafo 2; 150, párrafo 1; en relación con los diversos 443, párrafo 1, incisos a) y n), de la LEGIPE; 25, párrafo 1, incisos a) y u) de la Ley General de Partidos Políticos; 8 y 33 de los Lineamientos, derivado del uso indebido de la lista nominal de electores que le fue entregada a MC para revisión, en el marco del proceso electoral federal 2014-2015, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, por su reproducción y almacenamiento por un tiempo adicional al permitido por la ley, y su posterior exposición en un sitio de internet.
Lo anterior, en contravención a los derechos de confidencialidad de los datos personales de las y los ciudadanos que integran dicho documento electoral.
Lo expuesto pone de relieve que es inexacto que la responsable no haya motivado la resolución reclamada, habida cuenta que, las normas constitucionales y convencionales que se citan en otro apartado de la resolución reclamada, la responsable únicamente las invoca como sustento del bien jurídico protegido (derecho de protección de datos personales), sin establecer que fueron transgredidas por los recurrentes y que ello ameritaba sancionarlos; por ende, es inexacto que la responsable tuviera que motivar cómo esas normas se vulneraron por los inconformes.
Por ende, son inoperantes los agravios en los que se alega que la responsable carece de facultades para sancionar por violaciones a la Constitución, convenios internacionales o derechos humanos, dado que los recurrentes no fueron sancionados por ese motivo.
Igualmente, son ineficaces los agravios en los que se alega que un derecho no puede estar por encima de otro derecho, por lo que dado el equilibrio que debe existir entre el acceso a la información y el derecho a la intimidad, no resultan aplicables al caso los artículos 6º y 16 constitucionales.
Ello es así, en virtud de que, la responsable no sancionó a los impugnantes por estimar que habían transgredido dichos artículos constitucionales, por lo que la circunstancia de que la responsable los invoque como sustento del derecho de protección de datos personales, bien jurídico que la resolutora estimó protegían las normas que prevén la conducta irregular que se les atribuyó a los impugnantes, ningún perjuicio les causa.
Por otra parte, son inoperantes los motivos de disenso en los que se alega que la jurisprudencia que se invoca para imponer una sanción, no puede ser considerada como fundamento legal, ya que no es jurídicamente dable que ésta sustituya una norma existente.
Merecen tal calificativo dichos agravios, dado que la parte impugnante no precisa a qué jurisprudencia en concreto se refiere, habida cuenta que la responsable los sancionó al considerar que transgredieron los artículos 126, párrafos 3 y 4; 148, párrafo 2; 150, párrafo 1; en relación con los diversos 443, párrafo 1, incisos a) y n), de la LEGIPE; 25, párrafo 1, incisos a) y u) de la Ley General de Partidos Políticos; 8 y 33 de los Lineamientos, sin que se advierta que la resolutora los hubiera sancionado, al estimar que violaron lo previsto por alguna jurisprudencia.
4.2.2. Variación de la litis.
4.2.2.1. La parte recurrente alega que:
• La responsable varió la litis, ya que en el emplazamiento se imputó la reproducción y almacenamiento de la lista nominal de electores y padrón electoral en un servidor “… presunto incumplimiento de su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos del padrón electoral y lista nominal generada por esta autoridad electoral, lo que derivó en un presunto uso indebido de dicha información, al haberse utilizado para fines distintos al de revisión de las listas... Lo anterior, con motivo de la presunta reproducción, almacenamiento y posterior publicación en el servidor IP 52.6.226.190:27017, de la lista nominal de electores…".
Sin embargo, se aduce que al haber acreditado mediante el dictamen pericial en materia de informática, que la descompresión y descifrado se debe hacer en un dispositivo diverso, en la resolución reclamada se imputa: "....actualizó la falta al deber de cuidado para salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las listas nominales de electores para revisión, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión consistente en el almacenamiento por un periodo que medió entre el trece de marzo de dos mil quince y el veintidós de abril de dos mil dieciséis, que derivó en la exposición pública y sin restricción alguna del listado nominal de electores para revisión....".
Lo anterior, se afirma, no obstante que una vez integrada la litis, no se puede modificar, y a sus límites debe ceñirse el pronunciamiento judicial, por lo que debe analizarse el procedimiento en atención a la litis originalmente establecida.
• La infracción que se le atribuye a MC consiste en "El incumplimiento de su obligación de salvaguardar y preservar la inviolabilidad de la confiabilidad de la información correspondiente a la base de datos de la Lista Nominal, generada por esta autoridad electoral, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, en tanto que la reproducción, almacenamiento y exposición de ésta en un sitio de internet, es consecuencia de su actuar negligente. Lo anterior, al haber concluido la finalidad para la cual le fue entregada esa información, así como la omisión de garantizar las medidas de seguridad óptimas, que evitasen su exposición libre al público en general en un portal de Internet".
De lo reproducido se advierte, según el impugnante, que ya no se le atribuye el uso indebido de la información por almacenamiento prolongado, sino por haberse utilizado para fines distintos al de su revisión (la reproducción, almacenamiento y exposición de la información en un sitio de internet; así como la omisión de garantizar las medidas de seguridad óptimas).
• La responsable varía los hechos materia de la imputación, pues al referirse al bien jurídico tutelado, considera, en esencia, que se trata de "....la garantía establecida en los citados artículos 6° y 16, párrafo 2, de la Constitución, así como de las leyes que de ella emanen, debiendo hacer un especial énfasis en aquellas previsiones que entrañen la protección a los derechos primordiales en favor de todo gobernado, como lo es, en el caso, la salvaguarda a la garantía de protección de datos personales y al derecho elemental a la intimidad”, de lo que se desprende que la resolutora pretende fundar su resolución en los artículos 6 y 16, párrafo 2, de la Constitución federal, los cuales no prevén una conducta típica, ni una sanción, sino el derecho a la información y a la protección de datos personales, los cuales no formaron parte de la litis original, por lo que su inclusión resulta indebida.
Por consiguiente, para determinar el bien jurídico tutelado, no pueden ni deben tomarse en consideración los artículos constitucionales que menciona la autoridad, ni la supuesta violación a los derechos humanos, al tratarse de una cuestión que no formó parte de la litis original.
• Al referirse a las circunstancias de modo, la responsable señala que:
"En la especie, Juan Pablo Arellano Fonseca, José Manuel del Río Virgen, así como MC, incumplieron con las previsiones contenidas tanto en la Constitución Federal, como en la normativa electoral a través de una omisión, toda vez que faltaron de manera trascendente a su deber de cuidado en el uso, manejo y resguardo adecuado de la información contenida en las Listas Nominales de Electores para Revisión, por medio de la base de datos que le fue proporcionada por la DERFE, al no realizar la destrucción y/o eliminación total de esa información, una vez que concluyó la finalidad para la cual les fue entregada, así como la omisión en el establecimiento de medidas de seguridad óptimas y eficaces para preservar la inviolabilidad de la confidencialidad de las bases de datos que le fueron proporcionadas; lo que originó que posteriormente se viera expuesta en la misma red informática con acceso general, en que primigeniamente la alojaron; lo que se realizó en contravención a los derechos de confidencialidad de los datos personales de los 93´424,710 (noventa y tres millones cuatrocientos veinticuatro mil setecientos diez) ciudadanos que integran dicho documento electoral, además de verse vulnerada por sí misma, una de las bases de datos más importantes de nuestro país, y de mayor trascendencia para la consolidación de nuestra democracia”.
De lo transcrito se desprende, según la parte impugnante, que la responsable varió los hechos que fueron materia de la litis, modificando además la conducta que le atribuyó, al establecer que consiste también en no haber realizado la destrucción y/o eliminación total de la información, y que se alojó la base de datos del padrón electoral, en una red informática con acceso general.
• La responsable varió la litis, pues se funda en artículos y jurisprudencia que se dejaron de invocar.
Consideraciones de esta Sala Superior.
Es inoperante el primer agravio, en razón de que la parte impugnante se limita a transcribir parte del acuerdo que ordenó su emplazamiento, así como de la resolución reclamada, y concluye afirmando que una vez integrada la litis, no se puede modificar, pero deja de explicar de qué forma la responsable varió la litis, esto es, no explica qué conductas, por las que se le sancionó, no fueron mencionadas en el emplazamiento.
A mayor abundamiento, cabe decir que no le asiste la razón a la parte recurrente, pues contrario a lo que se aduce, la responsable no varió la litis, ya que las conductas por las que fueron sancionados, coinciden con las que se les atribuyó al emplazarlos.
En efecto, mediante acuerdo de veintitrés de marzo de dos mil diecisiete, se ordenó emplazar, entre otros, a los recurrentes, en los términos siguientes:
“Movimiento Ciudadano, con motivo del presunto incumplimiento de su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos del Padrón Electoral y Lista Nominal generada por esta autoridad electoral, lo que derivó en un presunto uso indebido de dicha información, al haberse utilizado para fines distintos al de la revisión de las listas nominales; en contravención de lo establecido en los artículos 126, párrafos 3 y 4; 148, párrafo 2; 150, párrafo 1; 443, párrafo 1, incisos a) y n) de la Ley General de Instituciones y Procedimientos Electorales; 25, párrafo 1, incisos a) y u) de la Ley General de Partidos Políticos; 8, 32 y 33 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados mediante acuerdo CG35/2013.
Lo anterior, con motivo de la presunta reproducción, almacenamiento y posterior publicación en el servidor IP 52.6.226.190:27017, de la lista nominal de electores que presuntamente se le entregó a ese instituto político, para revisión de las listas nominales, dentro del proceso electoral federal 2014-2015, mediante oficio INE/DERFE/170/2015 de conformidad con los hechos referidos en el punto que antecede.”
“A Juan Pablo Arellano Fonseca, persona responsable del manejo del dispositivo de almacenamiento de información electrónica (USB) que contenía los datos de la lista nominal de electores que fue entregado por parte de la Dirección Ejecutiva del Registro Federal de Electores, a través del oficio INE/DERFE/170/2015, el cual, presuntamente se exhibió en el servidor IP 52.6.226.190:27017, según las marcas de rastreabilidad asignada por la Dirección Ejecutiva del Registro Federal de Electores.
Lo anterior, con motivo del probable incumplimiento de su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos del Padrón Electoral y Lista Nominal, generada por esta autoridad electoral, lo que derivó en un presunto uso indebido de dicha información, al haberse utilizado esta última para fines distintos al de la revisión de las listas nominales; en contravención de lo establecido en los artículos 126, párrafos 3 y 4; 147, 148, párrafo 2; 150, párrafo 1; 447, párrafo 1, inciso e) de la Ley General de Instituciones y Procedimientos Electorales, 8, 32 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados mediante acuerdo CG35/2013.
Esto es así, porque la información que le fue entregada de forma cifrada, presuntamente, es la misma que se exhibió en el servidor de internet IP 52.6.226.190:27017, además de ser el presunto encargado del almacenamiento de la información del listado nominal de electores en la página de internet de Amazon.”
“A José Manuel del Río Virgen, representante propietario de Movimiento Ciudadano ante la Comisión Nacional de Vigilancia, en el momento en que ocurrieron los hechos, con motivo del presunto incumplimiento de su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos del Padrón Electoral y Lista Nominal, generada por esta autoridad electoral, lo que derivó en un posible uso indebido de dicha información, al haberse utilizado para fines distintos al de la revisión de las listas nominales; en contravención de lo establecido en los artículos 126, párrafos 3 y 4; 147, 148, párrafo 2; 150, párrafo 1; 447, párrafo 1, inciso e) de la Ley General de Instituciones y Procedimientos Electorales, 8, 32 y 33 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados mediante acuerdo CG35/2013.
Lo anterior, derivado del incumplimiento a lo establecido en la Constitución Federal, la Ley General de Instituciones y Procedimientos Electorales, así como en los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados mediante acuerdo CG35/2013, relativo al uso, manejo, resguardo, almacenamiento y reproducción de la Lista Nominal de Electores.
Siendo que dicha información presuntamente fue almacenada en la página de internet AMAZON, en el servidor IP 52.6.226.190:27017, de conformidad con las marcas de rastreabilidad que se asignaron.”
De lo reproducido se advierte, en lo conducente, que a los ahora recurrentes la responsable los emplazó porque consideró, en esencia, que presuntamente faltaron a su deber de cuidado para salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las listas nominales de electores que fue entregada para revisión a MC, lo que derivó en un presunto uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, con motivo de la presunta reproducción, almacenamiento y posterior publicación de la lista nominal de electores.
Particularmente, la autoridad electoral estimó que Juan Pablo Arellano Fonseca fue el responsable del manejo del dispositivo (USB) que contenía los datos de la lista nominal de electores, además de ser el presunto encargado del almacenamiento de la información en la página de internet de Amazon; y José Manuel del Río Virgen, en el momento en que ocurrieron los hechos, era el representante propietario de MC ante la Comisión Nacional de Vigilancia.
Al resolver el asunto, la responsable estimó fundado el procedimiento sancionador instaurado en contra de los impugnantes, en lo que interesa, estableció lo siguiente:
“En concepto de esta autoridad, es FUNDADO el procedimiento sancionador en contra del partido político MC, por la violación a lo previsto en los artículos 126, párrafos 3 y 4; 148, párrafo 2; 150, párrafo 1; en relación con los diversos 443, párrafo 1, incisos a) y n), de la LGIPE; 25, párrafo 1, incisos a) y u) de la LGPP; 8 y 33 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados por el Consejo General mediante Acuerdo CG35/2013, derivado del uso indebido de la Lista Nominal de Electores que le fue entregada a dicho instituto político para revisión en el marco del Proceso Electoral Federal 2014-2015 , en contravención a los derechos de confidencialidad de los datos personales de los ciudadanos que integran dicho documento electoral.
Lo anterior, con motivo de su falta al deber de cuidado para salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las Listas Nominales de Electores para Revisión que le fue entregada mediante oficio INE/DERFE/170/2015, signado por el titular de la DERFE, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, en tanto que la reproducción, almacenamiento, por un tiempo adicional al permitido por la ley y la posterior exposición de ésta en un sitio de internet.”[26]
“En concepto de esta autoridad, es FUNDADO el procedimiento sancionador en contra de Juan Pablo Arellano Fonseca, por la contravención de lo establecido en los artículos 126, párrafos 3 y 4; 147, 148, párrafo 2; 150, párrafo 1; 447, párrafo 1, inciso e), de la LGIPE; 8 y 32 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados por el Consejo General mediante Acuerdo CG35/2013, derivado del uso indebido de la Lista Nominal de Electores que le fue entregada a MC, para revisión en el marco del Proceso Electoral Federal 2014-2015, en contravención a los derechos de confidencialidad de los datos personales de los ciudadanos que integran dicho documento electoral.
Lo anterior, al ser este sujeto, el responsable directo del manejo del dispositivo de almacenamiento de información (USB)que contenía la información cifrada y con huellas de rastreabilidad a su nombre, correspondiente a la Lista Nominal de Electores que fue entregado a MC, exclusivamente para revisión de las Listas Nominales, dentro del Proceso Electoral Federal 2014-2015, mediante el oficio INE/DERFE/170/2015...”[27]
“Con base en lo expuesto y en términos de las conclusiones referidas párrafos arriba, esta autoridad determina declarar FUNDADO el presente procedimiento instaurado en contra de Juan Pablo Arellano Fonseca, derivado de la falta al deber de cuidado para salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las Listas Nominales de Electores para Revisión, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, en tanto que la reproducción, almacenamiento y exposición de ésta en un sitio de internet”[28]
“En concepto de esta autoridad, es FUNDADO el procedimiento sancionador en contra de José Manuel del Río Virgen...por la violación a los artículos 126, párrafos 3 y 4; 147, 148, párrafo 2; 150, párrafo 1; 447, párrafo 1, inciso e), de la LGIPE; 8, 32 y 33 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados por el Consejo General mediante Acuerdo CG35/2013, derivado de su falta de cuidado en el manejo, resguarda y custodia, de la Lista Nominal de Electores que le fue entregada a MC para revisión en el marco del Proceso Electoral Federal 2014- 2015, lo que derivó en el uso indebido del mismo, en contravención a los derechos de confidencialidad de los datos personales de los ciudadanos que integran dicho documento electoral.
Lo anterior, con motivo del incumplimiento de su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de la Lista Nominal de Electores para Revisión, que le fue entregada en el marco del Proceso Electoral Federal 2014-2015, cifrada a nombre de Juan Pablo Arellano Fonseca, lo que derivó en un almacenamiento indebido del referido instrumento electoral y su posterior exposición en una página de internet de un servidor de Amazon Web Services.”[29]
“Es de mencionar que José Manuel del Río Virgen, en el momento en que ocurrieron los hechos, fungía como representante propietario de MC ante la CNV, por lo que se concluye que dicho ciudadano cuenta con los conocimientos y experiencia suficientes respecto de la valía e importancia que representa el Padrón Electoral y los Listados Nominales de Electores, la calidad de la información que en esos instrumentos se contienen y, por ende, las previsiones que deben observarse invariablemente en el manejo de los datos personales que obran en esos registros electorales.
Por ello, la obligación de resguardar y cuidar la información que contiene información sensible de todos los ciudadanos mexicanos en este país era exigible a José Manuel del Río Virgen, en virtud de que era éste quien ostentaba la representación directa entre el partido político y el INE en materia del Registro Federal de Electores.
En consecuencia, es dable colegir que si el partido delegó su responsabilidad a esta persona, es porque existe una relación de confianza para que actuara en su representación, cuidando todos sus intereses y cumpliendo con cada una de sus obligaciones, entre ellas, la de manejar, usar y resguardar los datos personales de los ciudadanos contenidos en el Listado Nominal de Electores.”
De lo transcrito se observa que se sancionó a los recurrentes, porque faltaron a su deber de cuidado de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las listas nominales de electores para revisión que le fueron entregadas a MC, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, esto es, su reproducción y almacenamiento por un tiempo adicional al permitido por la ley, y la posterior exposición de ésta en un sitio de internet; habida cuenta que, Juan Pablo Arellano Fonseca, era el responsable directo del manejo del dispositivo de almacenamiento que contenía la información y José Manuel del Río Virgen era el representante propietario de MC ante la CNV, en el momento en que ocurrieron los hechos, por lo que le era exigible la obligación de resguardar la información.
De lo expuesto se desprende que opuestamente a lo que se alega, existe congruencia entre las conductas por las que se emplazó a los recurrentes y por las que fueron sancionados, ya que en ambos casos ―emplazamiento y sanción―, fue por faltar a su deber de cuidado para salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las listas nominales de electores para revisión que le fueron entregadas a MC, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, esto es, su reproducción y almacenamiento por un tiempo adicional al permitido por la ley, y la posterior exposición de ésta en un sitio de internet; habida cuenta que, Juan Pablo Arellano Fonseca, era el responsable directo del manejo del dispositivo de almacenamiento que contenía la información y José Manuel del Río Virgen era el representante propietario de MC ante la CNV, en el momento en que ocurrieron los hechos, por lo que le era exigible la obligación de resguardar la información.
Cabe agregar que si bien la responsable estableció que la parte impugnante debió haber eliminado o destruido la base de datos con la información de la lista nominal de electores, ello no implica variación de la litis, en tanto que, hizo referencia a tal acción, como la manera de evitar que el archivo respectivo continuara almacenada después de que finalizó su revisión
Asimismo, contrario a lo que alega MC, de lo reproducido se observa que al emplazarlo sí se hizo referencia al presunto uso indebido de la información de la lista nominal de electores, al haberse utilizado para un fin distinto, con motivo de la presunta reproducción, almacenamiento y posterior publicación de dicha lista en un servidor de internet.
Acorde con ello, en la resolución reclamada se le sancionó porque faltaron a su deber de cuidado de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las listas nominales de electores para revisión que le fueron entregadas a MC, lo que derivó en un uso indebido de dicha información , al haberse utilizado para fines distintos al de su revisión, esto es, su reproducción y almacenamiento por un tiempo adicional al permitido por la ley, y la posterior exposición de ésta en un sitio de internet; habida cuenta que, Juan Pablo Arellano Fonseca, era el responsable directo del manejo del dispositivo de almacenamiento que contenía la información y José Manuel del Río Virgen era el representante propietario de MC ante la CNV, en el momento en que ocurrieron los hechos, por lo que le era exigible la obligación de resguardar la información.
De lo expuesto se advierte que son coincidentes las conductas que se les atribuyeron al emplazarlos, con las establecidas en la resolución reclamada, por las que fueron sancionados, por lo que es inexacto que la responsable haya variado la litis.
Por otra parte, cabe decir que lo que puede constituir una irregularidad sancionable, es incurrir en una acción u omisión prohibida por la norma, o que transgreda algún principio constitucionalmente protegido.
Por su parte, el bien jurídico tutelado es el valor que se busca proteger, al determinar que cierta conducta descrita por la norma es ilegal.
Así, el bien jurídico tutelado hace referencia a los bienes, tanto materiales como inmateriales, que son efectivamente protegidos por el derecho, como la equidad, lo cual no constituye una acción u omisión.
Por tanto, no constituye variación de la litis el que la responsable se haya referido a los valores jurídicos protegidos (y su fundamento constitucional), por las normas que estimó fueron infringidas por los apelantes, pues con ello solo indicó el valor resguardado, pero no varió los hechos o las conductas irregulares que les atribuyó a los inconformes.
Por otro lado, de la parte conducente de la resolución reclamada que se trascribió previamente, se advierte que la responsable fundó la sanción que les impuso a los impugnantes, en los artículos 126, párrafos 3 y 4; 147, 148, párrafo 2; 150, párrafo 1; en relación con los diversos 443, párrafo 1, incisos a) y n), 447, párrafo 1, inciso e), de la LEGIPE; 25, párrafo 1, incisos a) y u) de la LGPP; 8, 32 y 33 de los Lineamientos, respectivamente, y no en los artículos 6 y 16 constitucionales, ni en la violación a derechos humanos, en tanto que, como lo admite la parte recurrente, estos se invocaron para establecer el bien jurídico tutelado.
Por otra parte, cabe decir que del acuerdo que ordenó el emplazamiento de los inconformes y de la resolución reclamada, cuya parte conducente fue transcrita anteriormente se advierte que la responsable invocó la misma normativa en ambos actos jurídicos, por lo que, es inexacto que haya citado preceptos diversos, sin que la parte inconforme precise a qué jurisprudencia se refiere, lo que torna inoperante dicha parte del último agravió.
4.2.3. Supuesta ilegalidad de algunos aspectos del procedimiento sancionatorio y valor probatorio de diversos medios de convicción.
4.2.3.1. La parte recurrente alega que:
• De las declaraciones efectuadas por René Miranda Jaimes[30] y Alejandro Andrade Jaimes[31] ante la Fiscalía Especializada para la Atención de Delitos Electorales, se desprende que Adam Tanner y Chris Vickery fueron quienes realizaron la denuncia, y con base en la misma se llevó a cabo la investigación.
Empero, René Miranda manifestó que “… dentro de mis funciones no se encuentran las de ordenar o solicitar una ratificación de una denuncia o queja, no ordené por tanto ninguna ratificación, solamente pedí se realizaran los procedimientos respectivos para saber si los datos correspondían a la base de datos del padrón”, lo que, según el impugnante, es contrario a lo previsto por el artículo 465, numerales 4 y 5 de la LEGIPE, que dispone que la autoridad que tenga conocimiento de la denuncia, deberá hacerlo constar en acta y requerir su ratificación.
• Contrariamente a lo establecido en la resolución reclamada, en el sentido de que los correos electrónicos se intercambiaron fuera del procedimiento sancionador, tales correos electrónicos entre los funcionarios del INE y los extranjeros, se intercambiaron hasta el veintiocho de abril de dos mil dieciséis, y la vista a la UTCE se dio el veintidós de ese mes y año.
• Las acciones tomadas por la DERFE y por la Coordinación de Procesos Tecnológicos[32], implican el inicio anticipado de la investigación, como se reconoce en la resolución reclamada, en la que se establece que dichos actos se llevaron a cabo fuera del procedimiento.
• Las entrevistas realizadas a Rene Miranda Jaimes y Alejandro Andrade Jaimes en la FEPADE, constituyen una prueba indubitable de que Adam Tanner y Chris Vickery fueron quienes realizaron la denuncia, y que con base en ella, se llevó a cabo la investigación, y no porque la autoridad hubiera detectado la información en el sitio web Amazon.
• Se objetó el “Acta de presentación de denuncia”, de veinte de abril de dos mil dieciséis, ya que Alejandro Andrade Jaimes manifestó ante el Agente del Ministerio Público, que personal del INE a su cargo había identificado una base de datos en los servicios de la “nube” del proveedor Amazon, que pudiera corresponder a información de electores mexicanos, lo cual, asegura el impugnante, es falso, dado que fueron Adam Tanner y Chris Vickery quienes lo hicieron.
• Se les dio acceso a la investigación a los citados extranjeros, como si fueran parte en el procedimiento, aun después de que se dio vista a la UTCE, por lo que estaba obligada la autoridad “a cumplir con las formalidades del procedimiento”.
• A los funcionarios que recibieron la denuncia de Adam Tanner y Chris Vickery, les confieren el carácter de denunciantes, como se advierte del escrito de veintidós de abril de dos mil dieciséis, suscrito por René Miranda Jaimes; sin embargo, la UTCE incumplió la obligación que le impone el artículo 465 de la LEGIPE, ya que estaba obligado a prevenir a los denunciantes para que subsanaran los requisitos a que se refieren los numerales 1 y 2 del precepto citado, no obstante que le fueron adjuntados los correos electrónicos intercambiados entre los funcionarios del INE y las personas citadas.
• En la resolución reclamada se establece que la información proporcionada por Adam Tanner y Chris Vickery no constituye una queja y, por tanto, no tenían que cumplirse los requisitos del precepto citado.
Consecuentemente, alega el impugnante, no existe fundamento para que el Coordinador de Procesos Tecnológicos siguiera dándoles información sobre la investigación a dichas personas, lo cual ocurrió hasta el veintiocho de abril de dos mil dieciséis, de acuerdo con los correos electrónicos que obran en autos, ni que se tradujera a ellos la conferencia de prensa del Coordinador de MC, por lo que indebidamente se permitió la participación de tales personas en la investigación, y se compartieron con ellos los mecanismos de cifrado y marcaje de la información de los datos personales de quienes conforman el padrón electoral, sin que sea obstáculo a lo anterior, que la responsable establezca que no se les dio acceso a la información, ya que se les dio entrada a la investigación, y se pretendía dar acceso total a la base de datos del padrón electoral y listado nominal.
• La autoridad electoral llevó a cabo diversas diligencias —entre el dieciocho y el veintidós de abril de dos mil dieciséis—, con motivo del correo enviado por Adam Tanner al Consejero Presidente del INE, no porque dicha autoridad hubiera detectado, por sí misma, la divulgación de información que presuntamente correspondía al listado nominal de electores, en un portal de internet denominado “Amazon”.
Lo anterior se corrobora con la circunstancia de que el Coordinador de Procesos Tecnológicos de la DERFE, con motivo de tal correo electrónico, solicitó mayores detalles sobre los hechos denunciados, y hasta que los tuvo pudo acceder al servidor.
• Se violaron las normas del procedimiento sancionador ordinario, toda vez que al no haberse corroborado que en el sitio web señalado por el denunciante se encontraba “la información”, se debió desechar la queja, de conformidad con el artículo 465, numeral 2, en relación con el 3, de la LEGIPE, pero en lugar de hacerlo, se solicitaron datos adicionales a los ciudadanos extranjeros.
Consideraciones de la Sala Superior.
Son infundados los agravios hechos valer, porque los correos electrónicos a que se refieren los impugnantes no constituyen formal ni materialmente una denuncia, razón por la cual la autoridad responsable no tenía que darles el trámite que alegan los inconformes.
En efecto, de los aludidos correos[33] ―algunos de los cuales se transcribieron en la parte de antecedentes―, se advierte que Adam Tanner y Chris Vickery, se identificaron como escritor de “privacidad y seguridad” y como “investigador de seguridad”, respectivamente; le escribieron al Consejero Presidente del INE (lo que originó un intercambio de correos electrónicos entre ellos y funcionarios del Instituto), con la única intención de hacer saber al órgano electoral, que Chris Vickery había descubierto que se podía acceder por internet a nombres y domicilios de noventa y tres millones de votantes de México, porque la información se encontraba alojada en la nube de Amazon web services sin ninguna protección de seguridad o contraseña, y estaba “interesado en terminar con esa vulnerabilidad lo más pronto posible y quisiera escribir sobre este tema”.
Sin embargo, no se advierte que las personas extranjeras tuvieran la intención de presentar una queja por tales hechos, para que se investigara y en su oportunidad, se sancionara a las y los responsables.
Corrobora lo anterior, el hecho de que Adam Tanner, en la parte final de su correo, realiza los siguientes cuestionamientos: “¿Estaban al tanto de este problema y la cifra de 93 millones parece ser el número correcto en la base de datos? ¿Qué perspectiva o aprendizaje sacan de este problema?”, sin pedir o aludir al inicio de una investigación formal que culminara en alguna sanción para quien fuera responsable.
Situación que pone de relieve, que la comunicación que tuvieron los extranjeros con funcionarios del INE, no constituyó materialmente una queja o denuncia, pues solo le hicieron saber al receptor su descubrimiento, derivado sus actividades relacionadas con el tema y su deseo de terminar con la vulnerabilidad para poder escribir sobre el caso.
Asimismo, la circunstancia de que el intercambio de correos electrónicos entre los extranjeros y los funcionarios del INE hubiera continuado después de que se presentó la queja en la UTCE, así como el que dicha información, a la postre, le haya permitido a la DERFE conocer de la existencia en un servidor de Amazon, de una copia de la lista nominal de electores entregada a MC, por sí sola, no los transforma en quejas o denuncias, a las que se les tuviera que dar las formalidades de ley.
Tampoco es dable afirmar que dichos correos electrónicos constituyen formalmente una queja o denuncia, pues los procedimientos sancionadores que culminaron con la resolución reclamada, iniciaron con las denuncias presentadas por el Director Ejecutivo de la DERFE y por el Diputado Jorge López Martín, Consejero del Poder Legislativo por el Partido Acción Nacional.
Así las cosas, si los mencionados correos electrónicos de los extranjeros no constituyeron una queja o denuncia, es inexacto que respecto a los mismos se hubieran tenido que seguir las formalidades que la ley prevé para los casos en que se presentan quejas o denuncias.
En efecto, al haber quedado acreditado que los correos electrónicos de Adam Tanner y Chris Vickery, no constituyeron una queja o denuncia, como lo alegan los recurrentes, no era necesario que se cumpliera lo dispuesto por el artículo 465, numerales 4 y 5 de la LEGIPE, en el sentido de que tal situación debía hacerse constar en acta y requerir su ratificación, por lo que las alegaciones en ese sentido resultan infundadas.
En este orden de ideas, la comunicación vía correo electrónico que tuvieron los extranjeros con los funcionarios del INE, de forma alguna implicó permitirles que intervinieran en la investigación, ya que solo constituyó un mero intercambio de datos, con la finalidad de evitar que siguiera la vulnerabilidad en la base de datos encontrada en Amazon.
En ese sentido, en virtud de que los correos electrónicos no constituyen un queja, si no únicamente un medio a través del cual se hizo del conocimiento del órgano electoral que se podía acceder por internet a nombres y domicilios de 93 millones de votantes de nuestro país, ningún perjuicio le causa a los impugnantes que la DERFE haya llevado a cabo diversas diligencias, sin que lo hubiera ordenado la UTCE, pues las mismas tuvieron como finalidad corroborar la certeza de la información proporcionada, para en su caso actuar como en derecho correspondiera.
Igualmente, es inoperante lo alegado en cuanto a la supuesta ilegalidad del “Acta de presentación de denuncia” ante el Agente del M.P., porque no se advierte que lo denunciado en la FEPADE hubiera tenido alguna repercusión en el procedimiento en el que se dictó la resolución reclamada.
Por otra parte, resultan infundadas las alegaciones de los recurrentes en el sentido de que es ilegal que se haya seguido manteniendo comunicación con los extranjeros Adam Tanner y Chris Vickery aun después de haberse iniciado los procedimientos sancionadores, por que dicha comunicación no cobra relevancia para la tramitación del procedimiento, ni para el dictado de la resolución reclamada, por lo que no les causa perjuicio, habida cuenta que los impugnantes no expresan en que trascendió al sentido del fallo el que dicha comunicación se mantuviera.
4.2.3.2. La parte recurrente aduce que:
• Erróneamente, en el acuerdo de siete de abril de dos mil diecisiete, el Titular de la UTCE no admite la prueba pericial consistente en la traducción de los correos electrónicos intercambiados entre los citados extranjeros y el Coordinador de Procesos Tecnológicos, negando que los actos de investigación y el procedimiento sancionador hayan sido consecuencia de los correos enviados por los citados extranjeros, así como que el servidor contratado con Amazon Web Services era privado y de acceso restringido, y nunca estuvo expuesto, ni se difundió la información ahí salvaguardada.
• Contrariamente a lo establecido por la responsable, el procedimiento sí tuvo como detonante los correos que enviaron los extranjeros nombrados a personal del INE, por lo que sí constituye una violación procesal su falta de traducción y su negativa a ordenarla.
Sin que sea óbice de lo anterior, que otros denunciados hayan exhibido la traducción de dichos correos electrónicos, ya que fue hasta el día veintinueve de noviembre cuando se le corrió traslado con los citados correos, a pesar de que debió haberse hecho de su conocimiento el contenido de los mismos al momento de ser emplazado, para que tuviera la oportunidad de conocer a cabalidad su contenido y preparar las pruebas correspondientes.
• La traducción de los citados correos sí es relevante, porque con los mismos se acredita que la información no estaba disponible en internet, y nunca estuvo expuesta al público en general, sino resguardada en un servidor privado de acceso restringido.
• La autoridad sustanciadora no desahogó cabalmente la prueba que ofreció, consistente en el registro de llamadas entrantes y salientes entre los funcionarios electorales y los extranjeros, la cual fue admitida pero no desahogada en los términos ofrecidos, en tanto que, lo que remitió el Coordinador General de la Unidad Técnica de Servicios de Informática, fue una lista solo de llamadas salientes, a pesar de que también solicitó los registros de llamadas entrantes.
La relevancia de la prueba estriba en que es necesario conocer si hubo intercambio de llamadas entre los funcionarios de ese Instituto y Chris Vickery, sobre todo cuando fue éste quien les proporcionó datos confidenciales del servidor y les indicó cómo acceder, pero sobre todo, cuando niega la autoridad que tengan el carácter de denunciantes.
• La pertinencia de la traducción de los citados correos electrónicos y el registro de llamadas, se corrobora con el dictamen en materia de informática ofrecido por Jorge Álvarez Máynez, con el que se demuestra que todo sistema informático tiene vulnerabilidades, que la persona que accedió al servidor de Amazon, debe ser un especialista en sistemas operativos, que Chris Vickery accedió al servidor, a través de una herramienta utilizada por “hackers”, para el descubrimiento de vulnerabilidades en todo sistema informático, que el personal del INE no hubiera podido acceder a la información depositada por MC en el servidor de Amazon, sin la ayuda de Chris Vickery, en virtud de que, como se constata en los correos enviados por dicha persona y los videos publicados en su blog de internet, admite haber utilizado la herramienta denominada “Shodan” para acceder a la base de datos, la cual es para especialistas.
Consideraciones de la Sala Superior.
Son ineficaces los agravios sintetizados.
En efecto, durante el procedimiento la parte impugnante ofreció prueba pericial consistente en la traducción de diversos correos electrónicos intercambiados entre funcionarios del INE con Adam Tanner y Chris Vickery.
Por auto de siete de abril de dos mil diecisiete, la autoridad sustanciadora negó la admisión dicha probanza.
La negativa obedeció a que la autoridad sustanciadora advirtió que había sido ofrecida para acreditar el medio a través del cual la DERFE tuvo indicios del probable uso ilegal de la información del Registro Federal de Electores.
Sin embargo, a juicio de la autoridad electoral, tales comunicaciones no habían sido el elemento por el que inició el procedimiento sancionador, pues estimó que éste comenzó como resultado de las diligencias con base en las cuales se presumió que se trataba de información del listado nominal de electores entregado a los partidos políticos para su revisión, en el marco del proceso electoral federal 2014-2015, con las cuales se les había corrido traslado a los denunciado.
Por tanto, negó la admisión de dicha probanza.
Sin embargo, diversos codenunciados aportaron al procedimiento la traducción certificada al español de los referidos correos electrónicos, llevada a cabo por una perito traductora, por lo que obran en autos[34].
En este orden de ideas, incluso en el supuesto de que la negativa a admitir el aludido medio de convicción hubiera sido incorrecta, ningún sentido tendría ordenar reponer el procedimiento y ordenar la traducción de dichos documentos, si la misma ya obra en autos, lo que torna ineficaces los agravios.
No es obstáculo a la tal conclusión, lo alegado en el sentido de que se le corrió traslado con la traducción que ofrecieron otros denunciados hasta el veintinueve de noviembre de dos mil diecisiete, cuando en su concepto debió haberse hecho de su conocimiento cuando fue emplazado, para tener oportunidad de conocer a cabalidad su contenido y preparar las pruebas correspondientes.
Lo anterior es así, en virtud de que los recurrentes fueron emplazados en marzo de dos mil diecisiete (Juan Pablo Arellano Fonseca el 27, MC el 28, y José Manuel del Río Virgen el 31), y la traducción certificada fue aportada el treinta de mayo de dos mil diecisiete, por lo que materialmente no era posible que al emplazarlos se les corriera traslado con la misma.
Además, la parte impugnante omite precisar cómo el no haber conocido previamente la traducción de los correos electrónicos, afectó sus defensas, ni qué pruebas hubiera ofrecido, que pudieran haber cambiado el sentido del fallo.
Por otra parte, tocante al registro de las llamadas entrantes que ofreció como prueba, cabe decir que en el mismo auto de siete de abril de dos mil diecisiete, la autoridad sustanciadora admitió la probanza.
Empero, el Coordinador General de la Unidad Técnica de Servicios de Informática del INE manifestó que únicamente presentó el registro de llamadas salientes, porque la configuración de los equipos de telefonía “sólo permite el registro de llamadas que se realizan de los IP’s, asignados al personal del INE”.
Consecuentemente, ante una nueva petición del oferente de la prueba, en el sentido de que se le entregara la información faltante, la propia autoridad sustanciadora, por auto de veinticuatro de enero de dos mil diecisiete, al advertir la imposibilidad material de que se proporcionara, y negó tal entrega[35].
La parte recurrente omite controvertir tal determinación, en tanto que, nada dice de la imposibilidad material de entregarle la información solicitada; por tanto, tal decisión debe quedar subsistente, lo que torna inoperantes los agravios atinentes.
4.2.3.3. La parte impugnante aduce que:
• La responsable violó los artículos 467, numeral 1, y 468, numeral 3, de la LEGIPE, toda vez que el Titular de la UTCE radicó y admitió la queja el veintidós de abril de dos mil dieciséis, y mediante escrito de tres de mayo siguiente, el Director de la DERFE hizo "precisiones" y aportó pruebas, entre ellas, el acta levantada con motivo de la diligencia de veinticinco de abril de dos mil dieciséis, en la que supuestamente se encontró la correspondencia entre la marca de rastreabilidad ADN y la información encontrada en el servidor "reportado", por lo que de ser cierto que mediante esa diligencia se pudo constatar que la información correspondía a la entregada a MC, estaba obligado a emplazarlo de inmediato, lo que no hizo, sino que indebidamente lo emplazó diez meses después, además de que la investigación se prolongó dos años, y no los cuarenta días que prevé el artículo 468 numeral 3, de la LEGIPE, lo que viola los artículos 1º y 17 constitucional.
Consideraciones de la Sala Superior.
Son ineficaces dichos agravios, en virtud de que la circunstancia de que no se les hubiera emplazado y la dilación del procedimiento obedeció a diversos factores, entre ellos, que MC no proporcionó de inmediato a la autoridad sustanciadora, cuando se lo requirió, los domicilios de los integrantes de la Comisión Operativa Nacional para poder emplazarlos.
Además, la autoridad sustanciadora estimó pertinente llevar a cabo diversas diligencias previo al emplazamiento, para tener mayor certeza de los hechos denunciados lo cual, por sí solo, no les causa perjuicio a los impugnantes.
Asimismo, esta Sala Superior ha emitido jurisprudencia en el sentido de que la autoridad tiene un plazo de dos años, contados a partir de que tiene conocimiento de la denuncia respectiva o de los hechos probablemente constitutivos de infracción, para resolver el procedimiento respectivo y evitar que opere la caducidad, lo cual resulta razonable atendiendo a las especificidades del procedimiento y la complejidad en cada una de sus etapas, y más aún puede prolongarse dependiendo de la complejidad de la investigación que realice para estar en aptitud de dictar resolución.
Dicha jurisprudencia de rubro y texto literal siguiente:
CADUCIDAD. TÉRMINO DE DOS AÑOS Y SUS EXCEPCIONES EN EL PROCEDIMIENTO ORDINARIO SANCIONADOR.- De la interpretación sistemática y funcional de los artículos 14, 16 y 17 de la Constitución Política de los Estados Unidos Mexicanos; 8, párrafo 1, de la Convención Americana sobre Derechos Humanos; y del 464 al 469 de la Ley General de Instituciones y Procedimientos Electorales, se desprende que, en aras de tutelar los derechos fundamentales de certeza y seguridad jurídica, en el procedimiento ordinario sancionador, la caducidad de la potestad sancionadora de la autoridad administrativa opera, una vez iniciado el procedimiento, al término de dos años, contados a partir de que la autoridad competente tenga conocimiento de la denuncia respectiva o de los hechos probablemente constitutivos de infracción, lo cual resulta razonable atendiendo a las especificidades del procedimiento y la complejidad en cada una de sus etapas. No obstante, dicho plazo puede ser modificado excepcionalmente cuando: a) la autoridad administrativa electoral exponga y evidencie que las circunstancias particulares de cada caso hacen necesario realizar diligencias o requerimientos que por su complejidad ameritan un retardo en su desahogo, siempre y cuando la dilación no derive de la inactividad de la autoridad; y b) exista un acto intraprocesal derivado de la presentación de un medio de impugnación.
En el caso, los hechos se denunciaron en abril de dos mil dieciséis y los procedimientos se resolvieron el veintiocho de marzo de dos mil dieciocho, es decir, antes de dos años, por lo que finalmente el tiempo que duró la investigación, no provocó la caducidad del procedimiento.
4.2.3.4. La parte recurrente aduce que:
• De conformidad con el artículo 468 de la LEGIPE, las diligencias de investigación debe realizarlas la UTCE; sin embargo, “las diligencias de investigación consistentes en los correos electrónicos intercambiados con Adam Tanner y Chirs Vickery entre el 19 y 22 de abril de 2016”, “el protocolo” y las “actas” de veinte y veintidós de abril de dos mil dieciséis, las llevó a cabo la DERFE, a través de la Coordinación, sin que obre en autos alguna petición de éstos a la UTCE o viceversa.
• Los protocolos carecen de fecha de elaboración, así como de datos del suscriptor.
• El protocolo no se hizo del conocimiento de los representantes de los partidos políticos ante la comisión de vigilancia del INE, antes de que se entregaran los listados nominales para su revisión, cuando fueron entregados o después de ello.
• No existe constancia de la diligencia de veintidós de abril de dos mil dieciséis a que hace referencia el denunciante en el numeral 10, de su escrito de denuncia inicial, relativas a las marcas de rastreabilidad contenidas en el disco ADN, por lo que de haberse llevado acabo serían ilegales.
• La diligencia de veinte de abril de dos mil dieciséis es ilegal, ya que en el acta correspondiente se asienta que estuvo presente personal de la Oficialía Electoral, a solicitud de la DERFE, empero, de conformidad con el numeral 6, del artículo 468 de la LEGIPE, la petición debió hacerla la UTCE, además de que la solicitud fue para que dieran fe de lo asentado en la diligencia, y no para que la Oficialía la efectuara.
• El acta levantada con motivo de la diligencia de veinte de abril de dos mil dieciséis, sólo se encuentra firmada por tres personas, a pesar de que el fedatario certifica que estuvieron presentes diecinueve, y todas deberían firmar el acta, de conformidad con el artículo 22, numeral 5, del Reglamento de Quejas y Denuncias, por lo que los argumentos de la responsable, en el sentido de que basta con las firmas del funcionario de la Oficialía y dos personas basta para que revista todas las formalidades de ley, carecen de sustento jurídico.
• No existe el acta circunstanciada de fecha veintiuno de abril de dos mil dieciséis, por lo que las afirmaciones del denunciante en el hecho “8”, respecto de que en todas las investigaciones se contó con la presencia de personal de la Oficialía Electoral del INE, no se encuentran respaldadas, como se reconoce en la resolución impugnada.
• No obra en autos constancia alguna de que se hubieran levantado las actas circunstanciadas de las diligencias de veinte y veintidós de abril de dos mil dieciséis, relacionadas con el conocimiento de las marcas de rastreabilidad contenidas en el disco ADN, por lo que, de haberlas llevado a cabo, no contaron con personal de la Oficialía Electoral, lo que se corrobora con el oficio INE/CPT/1849/2016, dirigido al Director de la Secretaría Técnica Normativa.
• Son ilegales las diligencias del veinticinco y veintisiete de abril de dos mil dieciséis, porque el veintidós de dicho mes, el Titular de la DERFE dio vista a la UTCE, y ese día se radicó y admitió a trámite la denuncia, sin que exista justificación para pasar por alto los requisitos previstos por el artículo 468 de la LEGIPE, mucho menos cuando del acta de veintidós de abril de dos mil dieciséis, se desprende que la información del padrón electoral ya no estaba disponible en el servidor.
• La diligencia del veinte de abril de dos mil dieciséis, viola el artículo 16 constitucional, en virtud de que el servidor fue contratado con Amazon Web Services, a solicitud de MC, por lo que era un servidor privado, de acceso restringido, al cual se accedió con la información que les proporcionó un ciudadano extranjero y con herramientas para especialistas en informática, es decir, fue un acceso ilegal, en el que se extrajo información de manera ilícita, en tanto que, se trataba de “comunicación privada”, por lo que para extraerla se requiere autorización judicial, salvo en materia electoral, en la que no puede otorgarse esa autorización.
No es obstáculo a la anterior conclusión, lo argumentado por la autoridad electoral, en el sentido de que el servidor se encontraba sin medidas de seguridad, toda vez que el Coordinador de Procesos Tecnológicos admitió que tardaron días en acceder, y lo hicieron conociendo previamente “los datos”, y utilizando herramienta para especialistas en informática, lo que confirma que su acceso no era público, pues sólo se podía acceder mediante el conocimiento previo de la ubicación y con el auxilio de herramientas especializadas, por lo que es inexacto que hubiera sido accesible para alguien distinto a la propia autoridad y a quien la ubicó, que cuenta con conocimientos especializados en informática.
• A las diligencias de veinte, veintidós y veinticinco de abril de dos mil dieciséis, no debe dárseles valor probatorio, al ser pruebas ilícitas, al haber accedido sin autorización a un servidor privado, así como practicarse con anticipación al inicio de la investigación formal, sin su presencia, en tanto que, dichas diligencias deben efectuarse una vez iniciada la investigación a que se refiere el artículo 465 de la LEGIPE y que el denunciado haya sido emplazado, comunicándole que se realizaría la diligencia.
• Los hechos contenidos en el acta levantada con motivo de la diligencia de veinte de abril de dos mil dieciséis son falsos, porque el fedatario certifica que desde las nueve horas con diez minutos del día citado, hasta las cero horas con treinta y ocho minutos del día siguiente, estuvo presente Alejandro Andrade Jaimes; empero, de acuerdo con el acta de presentación de denuncia ante la Procuraduría General de la República, el citado Alejandro Andrade compareció ante el Agente del Ministerio Público a las veinte horas con catorce minutos del veinte de abril, “por lo que este hecho sí es incontrovertible, no así lo asentado en el acta circunstanciada de esa misma fecha”, toda vez que es imposible que una persona esté materialmente al mismo tiempo en dos lugares, por lo que todo lo actuado carece de valor probatorio, sin que la presencia del funcionario de la Oficialía se lo otorgue, dado que su fe pública ha quedado desvirtuada, al demostrarse que lo asentado en el acta no corresponde a la realidad.
De acuerdo con la parte impugnante, los argumentos de la responsable en el sentido de que las intervenciones del mencionado funcionario ocurrieron a las 09:10, 09:50, 13:54-15:26, y que a las 22:15 se reanudaron las actividades del evento, resultan contrarias a lo asentado en el acta circunstanciada, puesto que no se asentó que se interrumpía el evento o que se ausentaba dicho servidor público, por lo que sí existen irregularidades en la diligencia.
• Es ilegal la diligencia de investigación veinticinco de abril de dos mil dieciséis, porque debió efectuarla la UTCE, máxime que el Director Ejecutivo ya le había dado vista y se había radicado y admitido la queja.
• El acta circunstanciada levantada con motivo de la diligencia de veinticinco de abril de dos mil dieciséis, contrario a lo que establece la responsable, no señala el nombre de la persona a la que supuestamente se le entregó la USB con la marca de rastreabilidad que cotejaron, y las impresiones de pantalla sólo muestran un número que supuestamente le corresponde a MC, pero esas impresiones carecen de valor probatorio, ya que la diligencia es parcial y subjetiva, en razón de que no se realizaron los cotejos con todas las marcas de rastreabilidad de los dispositivos entregados a los demás partidos políticos, aunado a que se incumple con lo dispuesto en el artículo 22, numeral 5, del Reglamento de Quejas.
• Contrario a lo argumentado por la responsable, no se llevó a cabo la verificación de la correspondencia con ninguna otra marca ADN entregada a los distintos partidos políticos, lo que le resta valor probatorio a lo asentado a la diligencia fechada el veinticinco de abril de dos mil dieciséis.
• En el protocolo correspondiente a la diligencia de veinticinco de abril de dos mil dieciséis, de antemano se asienta que se va a verificar el archivo de ADN correspondiente a MC, sin verificar ningún otro archivo de ADN, y sin que exista prueba alguna en autos que demuestre que previamente se llevaron a cabo las verificaciones con los archivos de ADN correspondientes a los demás partidos, lo que les resta cualquier valor probatorio.
• El acta levantada con motivo de la diligencia de veinticinco de abril de dos mil dieciséis, únicamente describe un procedimiento, pero no se señala a que conclusión se llegó, es decir, a quién le corresponde la marca de ADN, cuando su implementación tenía esa finalidad, por lo que evidentemente no lograron establecer esa coincidencia, ni existe certeza sobre la fecha en que se levantó esa acta, ya que se exhibió hasta el día tres de mayo de dieciséis, todo lo cual le resta valor probatorio.
• Después de que supuestamente encontraron la coincidencia con los datos que se le entregaron, la autoridad electoral continuó solicitando información, la última el diecinueve de julio de dos mil dieciséis, de lo que se desprende que la autoridad no pudo establecer que la “información” que extrajeron correspondiera a MC, “pues es cierto Movimiento Ciudadano hizo un posicionamiento, contrariamente a lo afirmado por la autoridad, ese posicionamiento no fue ‘respecto a la publicación de la lista nominal’, como puede constatarse con la conferencia misma, en la que se afirma categóricamente que esa información nunca fue pública para usuarios en general, sino que fue necesaria la intervención de hackers especializados en romper protocolos de seguridad para poder acceder”, por lo que de ninguna manera puede dársele la connotación que le da la autoridad recurrida.
• En las diligencias realizadas por la DERFE y la Coordinación de Procesos Tecnológicos, se señala que se trata de un servidor con dirección IP, puerto y base de datos, localizado en Amazon Web Services, no de una página de internet, portal de internet, ni red informática, como erróneamente lo señala la responsable, a pesar de que durante la sustanciación del procedimiento y al inicio de la resolución, reconoce que se trata de un "servidor", por lo que la mención que hace de internet, solo tiene como finalidad confundir.
• La responsable no desvirtúa la excepción relativa que las muestras obtenidas del servidor de Amazon, no son suficientes para afirmar que dicha información correspondía a la entregada a MC, habida cuenta que en el proemio del protocolo se da por hecho, antes de aplicarlo, que en la base de datos “MONGO DB”, dirección IP 52.6.226.190:27017, hay alrededor de 93’400,000 registros que pudieran corresponder al listado nominal de electores, lo que descalifica la diligencia, ya que no se señala el fundamento de esa afirmación y por el contrario anticipa lo que supuestamente debe ser materia de la diligencia, lo que la vuelve tendenciosa y subjetiva.
• La evidencia recabada en la diligencia acredita que no se encontraron los registros que inicialmente se señalaron, atendiendo que no representan ni el 1% de los registros ni las secciones de la lista nominal entregada para su revisión.
• El “protocolo”, en su numeral 3, último inciso a) del rubro “actividad”, señala: “Consulta 4. Obtención de datos por distrito. Colima (distritos 1 y 2) y Baja California Sur”, pero en su última página se señalan 30 estados distintos a los señalados en el rubro “actividad” y “consulta”, mencionados, en los cuales no se señala ninguna de esas 30 entidades.
• El “protocolo” no se señala en el acuerdo INE/CG35/2013, ni en el INE/CG249/2014, por lo que se “aplicó” un protocolo inexistente, consecuentemente las diligencias que se llevaron a cabo con base en él, carecen de valor probatorio.
• El “protocolo” no se especifica lo que se pretende acreditar con su aplicación, ni la evidencia a obtener, tampoco es genérico ni abstracto, además de que se refiere a una dirección IP consultada 52.6.226.190:27017, que resulta ser la misma señalada por los denunciantes, por lo que carece de valor probatorio, por elaborarse a petición de la autoridad sancionadora, además de que el acta “no cumple con los requisitos que deben contener ese tipo de diligencias”, ya que sólo se aprecian imágenes sin que se expliquen las mismas.
Consideraciones de la Sala Superior.
Son ineficaces dichos agravios, en virtud de que a través de las diligencias que se controvierten, se conoció que la base de datos con información de la lista nominal de electores que se encontraba en un servidor de Amazon, correspondía a la entregada a MC para su revisión.
Para mayor claridad, en principio debe aclararse qué diligencias tuvieron lugar los días veinte, veintiuno, veintidós y veinticinco de abril de dos mil dieciséis, porque los motivos de inconformidad aluden a ellas.
Diligencia de veinte de abril de dos mil dieciséis. En esa fecha, se aplicaron diversos protocolos con la finalidad de obtener y resguardar información que sirviera para conocer la veracidad de los hechos que las personas extranjeras habían puesto del conocimiento de la autoridad electoral.
En lo que interesa, se logró identificar información alojada en el sitio Amazon, que presumiblemente correspondía a la incluida en la lista nominal de electores, por lo que conforme al protocolo se procedió a copiar información, con la finalidad de verificar si correspondía a la información del “Padrón electoral y/o de la Lista Nominal de Electores”.
Posteriormente se llevó a cabo el cotejo de la información obtenida del servidor reportado, y se pudo concluir que la información contenida en la evidencia recabada del sitio reportado, sí correspondía a la incluida en la lista nominal de electores entregada para revisión a los partidos políticos acreditados ante las comisiones de vigilancia, en el marco del proceso electoral federal 2014-2015.
Diligencia de veintiuno y veintidós de abril de dos mil dieciséis. En esas fechas se llevó a cabo el proceso para identificar “la fecha de corte” de la información descargada del sitio Amazon, así como al representante partidista que se le entregó la información.
En su oportunidad se confirmó que la información descargada como evidencia, correspondía a la lista nominal de electores para revisión, con fecha de corte del quince de enero de dos mil quince.
Diligencia de veinticinco de abril de dos mil dieciséis. En esa fecha se realizó una diligencia para verificar la correspondencia entre la evidencia obtenida del sitio de internet reportado y las marcas de rastreabilidad contenidas en el disco “ADN” que se encontraba en resguardo la autoridad electoral.
De la comparación de las marcas de rastreabilidad, se advirtió que el archivo encontrado en internet, correspondía a la lista nominal de electores para revisión que se le entregó al representante de MC, acreditado ante la Comisión Nacional de Vigilancia[36].
Lo relatado pone de relieve que con el resultado de las referidas diligencias, se pudo demostrar que el archivo encontrado en internet, correspondía a la lista nominal de electores para revisión que se le entregó al representante de MC, acreditado ante la Comisión Nacional de Vigilancia.
Pero además de lo anterior, obran en autos otras probanzas que acreditan tal circunstancia, a saber:
► El veintisiete de abril de dos mil dieciséis, el Coordinador Nacional de MC ofreció una conferencia de prensa en las instalaciones del INE, en la cual emitió un pronunciamiento respecto de los hechos denunciados.
En razón de dicha conferencia de prensa, la UTCE ordenó la inspección del sitio web oficial de MC, con la intención encontrar datos que apoyaran su investigación, encontrando un comunicado que llevaba por título “Posicionamiento de Movimiento Ciudadano: Lista Nominal”.
Dicho comunicado es del tenor siguiente:
“1. El 12 de febrero de 2015, Movimiento Ciudadano recibió tres copias de la lista nominal de electores en dispositivos USB para su revisión, tal como lo establece la ley.
2. La Comisión Operativa Nacional, órgano de dirección de Movimiento Ciudadano, tomó la decisión de devolver sin abrir dos de las copias mencionadas y realizar la salvaguarda de seguridad de la tercera copia, con el propósito de garantizar su integridad.
3. La decisión de hacer la salvaguarda de seguridad se tomó considerando la resolución por la que el Instituto Nacional Electoral sancionó a Movimiento Ciudadano, argumentando descuido en el cuidado del padrón electoral. Dicha sanción fue impugnada por carecer de fundamentos ya que en ningún momento se acreditó un nexo causal entre Movimiento Ciudadano y la empresa que hizo público el padrón; actualmente estamos a la espera de la resolución definitiva por parte del Tribunal Federal Electoral.
4. La Comisión Operativa Nacional solicitó a la empresa Indatcom, proveedor tecnológico de Movimiento Ciudadano, asesoría sobre la mejor manera de salvaguardar información.
5. Derivado de dicha consulta, la Comisión Operativa Nacional aprobó de manera unánime la decisión de realizar la salvaguarda de seguridad del padrón electoral en servidores propiedad de Amazon Web Services; empresa de resguardo, protección y administración de datos que cuenta con las más avanzadas medidas de seguridad y la mejor reputación a nivel mundial.
6. Entre los argumentos presentados para seleccionar los servidores de Amazon Web Services para la salvaguarda del padrón, destacan que es la empresa con más altos estándares de seguridad y protección de datos a nivel mundial, por lo que cuenta entre sus clientes a instituciones y organizaciones como la NASA, Samsung y universidades norteamericanas como Chicago, Notre Dame y San Francisco.
7. La empresa Indatcom S.A de C.V. realizó los trámites necesarios para la contratación de los servicios de Amazon Web Services, para salvaguardar la información, y entregó contraseñas y el uso exclusivo del servidor a la Dirección del Centro de Documentación e Información de Movimiento Ciudadano.
8. El viernes 22 de abril fuimos informados, a través de nuestro proveedor de servicios tecnológicos, que la empresa Amazon Web Services notificó que el servidor contratado había sufrido un asalto cibernético, que la información salvaguardada estaba comprometida por un ataque externo y, como parte de su protocolo de seguridad, solicitó removerla.
9. Indatcom me notificó inmediatamente, en mi carácter de Coordinador de la Comisión Operativa Nacional, y tomé la decisión de acatar la recomendación de Amazon Web Services, por lo que di la instrucción de que el contenido fuera removido de manera definitiva.
10. Para hacer pública la información que estaba salvaguardada en los servidores de Amazon Web Services fue necesario violar las medidas de seguridad a través de métodos altamente especializados, característicos de hackers profesionales.
11. Una vez expuesto lo anterior, queda de manifiesto que la información salvaguardada nunca estuvo a la venta, no se comercializó ni se le dio mal uso; tampoco fue pública para usuarios en general, sino que fue necesario la intervención de hackers especializados en romper protocolos de seguridad para poder obtenerla.
12. En virtud de lo anterior, el día de hoy presentamos una denuncia penal contra quien o quienes resulten responsables del ataque cibernético realizado y que tuvo como objetivo acceder de manera ilegal a la información que salvaguardamos en una de las más prestigiadas empresas de resguardo y protección de datos. Movimiento Ciudadano exige se castigue a los asaltantes cibernéticos que violentaron nuestros protocolos de seguridad.
13. Aprovecho para comunicarle al consejero presidente que estamos del mismo lado en este nuevo frente por la defensa de los datos personales de los mexicanos y de la seguridad digital de la nación, y que en todo momento colaboraremos con el Instituto Nacional Electoral, y demás autoridades involucradas, para encontrar y sancionar al o los hackers que realizaron este ataque cibernético.
14. Esta situación evidencia el riesgo latente en que se encuentran todas las bases de datos que están a disposición del Estado Mexicano y pone de manifiesto la necesidad de replantear y legislar en materia de seguridad digital para salvaguardar el derecho a la privacidad y la protección de los datos personales. Nuestros diputados asumen el compromiso de llevar esta agenda al Congreso de la Unión en los próximos días”.
► Con motivo de lo anterior, la UTCE realizó diversos requerimientos a MC, solicitando información relacionada con el mencionado posicionamiento.
Al desahogarlos[37], MC, a través de su representante, manifestó, en lo conducente que:
- El doce de febrero de dos mil quince, en las oficinas del Registro Federal de Electores, se entregó en sobre cerrado a Juan Pablo Arellano Fonseca y Daniel Neri Pérez, el dispositivo USB con la información relativa a la lista nominal de electores, devolviéndose, sin utilizar, el sobre correspondiente a Oscar Ayala Romero.
- El veinticinco de abril de dos mil quince, la Comisión Operativa Nacional de MC, aprobó realizar la salvaguarda de seguridad del listado nominal correspondiente al proceso electoral federal 2014-2015, ante Amazon Web Services, acompañando copia certificada del acta de la sesión correspondiente[38].
Además de dichas pruebas, ante esta instancia MC reconoció el aludido almacenamiento, al alegar que “si bien es cierto se mantuvo salvaguardada la información durante el período de tiempo que se señala”, no menos verídico lo es que en la fecha en que incurrió la irregularidad que se les atribuye, no existía alguna disposición que lo prohibiera.
Así, incluso excluyendo el resultado de las citadas diligencias, resulta que de cualquier manera las otras pruebas mencionadas son suficientes para demostrar que la base de datos con la información de la lista nominal de electores que se encontró en Amazon, es una copia de la que se le entregó a MC para su revisión, dentro del proceso electoral 2014-2015.
Por tanto, aun cuando les asistiera la razón a los recurrentes y se consideraran ilegales las diligencias que controvierten y se prescindiera de su resultado probatorio, de cualquier manera ningún beneficio les traería, toda vez que en autos existen otros medios de convicción que demuestran tal circunstancia, lo que torna ineficaces los agravios de que se trata.
4.2.3.5. La parte recurrente aduce que:
• El oficio signado por el Director General de Asuntos Policiales Internacionales e INTERPOL, señala que “la mencionada base actualmente no requiere contraseña para ingresar”; empero, el oficio está fechado el tres de mayo de dos mil dieciséis, y la propia autoridad certificó que desde el veintidós de abril fue removido el servidor, además de que la información a que hace referencia el oficio, fue proporcionada también por Chris Vickery a la oficina de INETERPOL en Washington, como se corrobora con la imagen que se adjunta al oficio, que es la misma que el citado Vickery le envió a Alejandro Andrade Jaimes, sin que el suscriptor del oficio señale, ni demuestre, que accedió a la base de datos, sino que se limitó a compartir la información que les dio aquél, por lo que tal oficio no tiene el alcance de demostrar que la información estaba disponible en internet, ni mucho menos que carecía de contraseñas.
• El oficio mediante el cual le fue entregado el listado nominal a José Manuel del Río Virgen, no es apto para demostrar que incurrió en alguna infracción, porque la propia responsable reconoce que el archivo digital cifrado tiene que reproducirse y almacenarse en un medio propio, por lo que en ningún momento faltó a la verdad, como puede comprobarse con el oficio número CNV_MCJRV/038/2015, suscrito por el representante de MC, mediante el cual reintegra el archivo electrónico.
• La actividad al salvaguardar el listado nominal fue legal y se hizo en un medio seguro, sin que existiera obligación de destruir o eliminar esa información, y no obstante ello, en cuanto se conoció del posible ataque, de inmediato se eliminó.
• Amazon reportó el veintidós de abril de dos mil dieciséis, a través de correo electrónico, que era posible que un agresor externo haya “comprometido el ambiente o que una vulnerabilidad esté permitiendo que la máquina sea usada de una manera que no estaba prevista”, y ello probablemente fue provocado por la propia autoridad electoral, toda vez que admitió haber tratado de acceder al servidor el diecinueve de ese mes, sin lograrlo, por lo que es inexacto lo establecido por la responsable, en el sentido de que en ese correo no se señaló que hubiera habido un ataque.
• Son relevantes las entrevistas realizadas al Director de la DERFE y al Coordinador de Procesos Tecnológicos, ya que fueron las personas que recibieron la información de los extranjeros y llevaron a cabo las diligencias de investigación, destacando que Alejandro Andrade Jaimes dijo que el día dieciocho de abril de dos mil dieciséis, nada encontraron en internet, por lo que tuvieron que solicitar mayores datos e incluso una herramienta especializada para acceder al servidor, lo que demuestra que la información no estaba disponible en internet, ni era de fácil acceso, sin embargo, la responsable se limita a relacionar dichos correos, sin valorarlos en conjunto con las demás pruebas.
• El Consejero Presidente del INE, en la sesión de veintiocho de marzo de dos mil dieciocho, reconoce que la información respecto a la base de datos se las proporcionó Chris Vickery, que se encontraba en un servidor, y que un par de días después <contando con los datos del servidor>, descargaron una herramienta o programa para acceder, y si bien es cierto que señala que cualquier persona puede conseguir ese programa pagando por él, también indica que se requiere conocer la dirección IP, el puerto y el tipo de manejador de datos MongoDB, con lo que reconoce que la información no estaba disponible en internet, ni era de acceso público, pues Chris Vickery es un reconocido investigador que detecta la vulnerabilidad de bases de datos, es decir, admite que se requerían de datos específicos y herramientas para acceder, y plantea como una probabilidad que eso hubiera podido ocurrir, no como algo que ocurrió, lo que confirma que la información no fue expuesta.
• La responsable, al establecer en la resolución reclamada que la información estuvo expuesta “por el periodo que va del veinte al veintidós de abril de dos mil dieciséis”, admite tácitamente que la “exposición” fue provocada por ella misma el día que accedió ilegalmente, hasta el veintidós de abril, cuando el partido ordenó que se removiera el servidor.
• Fue hasta el tres de mayo de dos mil dieciséis cuando le enviaron al Titular de la UTCE “dicha acta”, lo que hace presumir que se elaboró con posterioridad a la conferencia de prensa dada por MC, lo que confirma que el servidor era privado y de acceso restringido, y que incluso a los expertos en informática de la Institución electoral, se les dificultó el acceso.
• En cuanto a lo establecido por la responsable en el sentido de que pudo ser cualquier persona quien alertara a Amazon, resulta que son consideraciones subjetivas y carentes de sustento alguno, ya que no hay prueba de ello.
• Contrariamente a lo considerado por la responsable, no le corresponde demostrar que hubo un ataque cibernético, sino a la autoridad demostrar que no lo hubo, lo que evidentemente no pudo hacer, habida cuenta que del dictamen en materia de informática que ofreció, se desprende que Chris Vickery accedió a la base de datos utilizando una herramienta denominada Shodan, que es de uso exclusivo para hackers, lo que evidentemente demuestra que hubo un acceso no autorizado y por ende, ilegal, sin que le asista la razón a la responsable cuando señala que en el citado dictamen no se precisa el modus operandi del acceso, ya que sí se especifica cómo se utiliza esa herramienta para acceder a una base de datos, lo que se corrobora con su simple lectura.
• La autoridad recurrida incorrectamente estableció que hacen prueba de la falta de seguridad del servidor, las notas periodísticas alojadas en internet en diversos sitios, ya que ello se contradice con las constancias de autos y con lo señalado en los "antecedentes del caso" de la resolución reclamada, ya que no fue posible contactar a Amazon Web Services, ni se obtuvo ninguna respuesta oficial por parte de su filial en México, por lo que una nota periodística carece de valor probatorio alguno, máxime cuando no existe prueba de que la persona que se señala en la nota, tenga alguna representación de la empresa en comento, habida cuenta que, la empresa estadounidense fue la que informó sobre el posible ataque externo, debido a que se alertaron sus mecanismos de alerta.
• En relación a lo establecido por la responsable en el sentido de que no le consta que MC haya presentado una denuncia respecto al ataque sufrido en el servidor, porque no la exhibió, cabe señalar, afirma el recurrente, se dio aviso al Consejero Presidente del CG del INE, de la presentación de la denuncia, misma que fue acumulada a la formulada por la autoridad electoral, razón por la cual ésta tiene acceso a la carpeta de investigación correspondiente, además de que es un derecho, no una obligación, exhibir copias de la carpeta de investigación.
• Contrario a lo apreciado por la responsable respecto del correo electrónico enviado por Amazon, se desprende que se señala lo siguiente: “Si usted no se había dado cuenta de esta actividad, es posible que un agresor externo haya comprometido su ambiente o que una vulnerabilidad está permitiendo que su máquina sea usada de una manera que no estaba prevista”.
• Respecto a lo establecido por la responsable, en el sentido de que no están acreditadas las medidas de seguridad que tenía el servidor, afirma el impugnante que obra en autos el contrato celebrado entre INDATCOM S.A de C.V. y Amazon Web Services, del que se desprenden las políticas de privacidad de los servidores, sin que se puedan “replicar los procedimientos de seguridad, dado que el servidor ya no existía cuando se llevó a cabo la fe de hechos que menciona”.
• Se salvaguardó la información para su revisión, y al no estar demostrado que la información se usó para fines distintos al de su revisión, su salvaguarda no puede considerarse indebida.
• Respecto a lo establecido por la responsable, en el sentido de que el almacenamiento de la información tuvo un período que medió entre el trece de marzo de dos mil quince y el veintidós de abril de dos mil dieciséis, no puede considerarse como un uso indebido, dado que no existe prueba alguna, ni siquiera indiciaría, que permita suponer que se usó esa información, mucho menos de forma indebida.
• La responsable no exhibe alguna prueba de que le hubiera dado al listado nominal de electores, un uso distinto al de la revisión.
• Demostró durante el procedimiento, que no faltó a alguna obligación, sino que fue víctima de un acceso ilegal al servidor que contrató con la única finalidad de salvaguardar la información que le fue entregada para su revisión.
• La base de datos del padrón electoral nunca estuvo expuesta en internet, ni existe prueba de que se hubieran omitido medidas de seguridad; por el contrario, de las pruebas aportadas por la responsable, se desprende que tal información no se encontraba expuesta libremente al público en general en un portal de internet.
• No se violó la normatividad electoral ni los artículos Constitucionales en cita, tampoco se violaron los Tratados Internacionales que menciona la responsable, e independientemente de ello, corresponde a la Suprema Corte de Justicia de la Nación conocer de las violaciones a los derechos humanos.
• Al referirse a la circunstancia de tiempo, la responsable señala que:
"En ese sentido, se tiene certeza de que la información del Listado Nominal de Electores para Revisión, almacenada en el servidor 52.6.226.190, de Amazon Web Services, permaneció de manera indebida en posesión de MC, desde el trece de marzo de dos mil quince, hasta el veintidós de abril de dos mil dieciséis, cuando el propio partido ordenó su retiro del portal de internet en el cual lo resguardó para su revisión. Asimismo, se tiene constancia que al menos a partir del veinte de abril de dos mil dieciséis y hasta el veintidós de ese mismo mes y año, la información estuvo expuesta sin contraseña alguna en el mismo servidor virtual antes referido".
De lo transcrito se advierte, según el recurrente, que la responsable reconoce de manera expresa que resguardó la información para su revisión, es decir, no para darle un uso indebido, y que en cuanto tuvo conocimiento de una posible vulneración, ordenó su retiro del servidor.
• Cuando se refiere a la comisión dolosa o culposa de la falta, la responsable señala:
"Es decir, el indebido resguardo y protección de la información que le fue proporcionada a MC, por parte de los sujetos que tuvieron en sus manos esa información, si bien es calificada por esta autoridad como una conducta culposa de carácter omisiva, no debe perderse de vista que tuvo un efecto por demás pernicioso sobre la base de datos que integra el Padrón Electoral de la cual se deriva la Lista Nominal de Electores, al haberse demostrado la conservación y posterior exposición indebida de 93’424,710 (noventa y tres millones cuatrocientos veinticuatro mil setecientos diez) registros, con información personal de ciudadanos mexicanos”.
De lo reproducido se desprende, de acuerdo con el impugnante, que la responsable se contradice, ya que admite que está permitido que se salvaguarde la información que proporciona a los partidos políticos en un medio distinto al en que se les entrega, y que se protegió esa información, sin que sus consideraciones respecto a la exposición indebida de la información se encuentren sustentadas, pues está plenamente acreditado que nunca fue expuesta, sino que fue Chris Vickery el que accedió a la misma, con el uso de herramientas informáticas, y quien ha accedido a cientos de bases de datos alrededor del mundo.
• El ataque o hackeo se corrobora con la carta enviada por Rubén Álvarez Mendiola, Coordinador Nacional de Comunicación Social del INE, al Director del periódico El Universal, el trece de septiembre de dos mil diecisiete, a efecto de hacer precisiones respecto a una nota publicada por el citado periódico el mismo día, ya que en dicha carta reconoce de manera expresa que hubo un "hackeo" al servidor de Amazon Web Services, donde Movimiento Ciudadano "resguardó" en abril de 2016 un corte del listado nominal.
• Al referirse a las condiciones externas (contexto fáctico) y medios de ejecución, la autoridad considera que:
"Respecto al modo de ejecución, por lo que hace a Juan Pablo Arellano Fonseca, José Manuel del Río Virgen y MC, consistieron la omisión de no verificar (sic) la destrucción o eliminación de la información correspondiente al Listado Nominal de Electores, previo al reintegro de esa base de datos a la DERFE y una vez que había concluido la finalidad para la cual le fue entregada, así como la omisión de no verificar las medidas de seguridad óptimas y eficaces tendentes a garantizar la secrecía e inviolabilidad de la confidencialidad de esos listados que tuvieron en su poder, de conformidad con los hechos acreditados en la presente resolución”.
De lo reproducido, de acuerdo con el impugnante, se advierte una inconsistencia con las primeras imputaciones, ya que ahora se le atribuye la omisión de verificar la destrucción o eliminación de la información, previo al reintegro de esa base de datos, y por otro lado, la omisión de verificar las medidas de seguridad óptimas y eficaces tendientes a garantizar la secrecía e inviolabilidad de los listados que tuvo en su poder.
Lo anterior además, afirma el impugnante, implica el reconocimiento de la responsable en el sentido de que no constituye una infracción salvaguardar la información, sino que la infracción consiste en no verificar que las medidas de seguridad fueran las óptimas, cuando esto último tampoco está previsto normativamente, ya que la obligación de los partidos políticos consiste en salvaguardar la información, lo que efectivamente se hizo, y se llevó a cabo en el medio que se consideró más confiable y seguro, con las medidas de seguridad pertinentes, pero esa obligación no puede llegar al extremo de evitar ser víctima de un ataque externo, más aún que Amazon Web Services, a través de Amazon Abuse, informó del posible ataque externo, lo que denota que sí tenía medidas de seguridad, pues de lo contrario no se hubiera detectado ese ataque.
• La responsable viola el principio presunción de inocencia, ya que es a la autoridad a la que le corresponde probar su acusación, y no al acusado su inocencia.
• Es incongruente la conducta que se le atribuye en diversos apartados de la resolución y la conducta que se le imputa para establecer la sanción.
• Resulta infundado que se afirme que se trasgredieron los derechos humanos de las personas, en atención a que su información confidencial fue expuesta en internet, ya que tales aseveraciones no se acreditaron en el expediente.
Consideraciones de la Sala Superior.
De los agravios expuestos se advierte que los recurrentes reconocen que se almacenó la base de datos de la lista nominal de electores en un servidor de Amazon, en donde estuvo hasta el veintidós de abril de dos mil dieciséis, cuando el propio partido ordenó que se removiera la información.
Sin embargo, alegan, esencialmente, que:
a) Dado el tipo de archivo y dispositivo en el que se les entregó la información, es necesario descomprimirlo y almacenar la base de datos en un lugar diverso, lo que incluso está autorizado por la autoridad electoral, lo que llevaron a cabo.
b) La información se almacenó en un servidor privado contratado con Amazon, que contaba con medidas de seguridad, esto es, no era un sitio público al que pudiera acceder cualquier persona, lo que se corrobora, desde su punto de vista, porque quien encontró la información es un investigador que se dedica a buscar vulnerabilidades, para lo cual se auxilia de herramientas informáticas; incluso, a la autoridad electoral le tomó tiempo ingresar al sitio y lo hizo hasta después de que dicho investigador le proporcionó ciertos datos.
En ese sentido, son infundados los agravios relacionados con el primer tema, tocante a lo argüido en el sentido de que el haber almacenado la información correspondiente a la lista nominal de electores, después de haber devuelto el dispositivo primigeniamente entregado, por haber terminado el periodo para su revisión, no constituye una infracción.
A tal conclusión se arriba, en virtud de que no les asiste la razón a los impugnantes, ya que como se explicó anteriormente, almacenar o mantener almacenada la base de datos de la lista nominal de electores, después de reintegrar a la autoridad el archivo que primigeniamente había sido entregado para su revisión, al haber concluido el plazo para realizar dicha tarea, también resulta un uso diverso al de su revisión y, por ende, hacerlo constituye una falta, porque nada justifica que la mantengan en su poder, habida cuenta que, se pone en peligro la confidencialidad de la información, toda vez que terceros pueden acceder a ella, ya sea por contar con los conocimientos y recursos tecnológicos para hacerlo, o por negligencia de quien la tiene en su poder, al mantener la información en un lugar inadecuado porque no mantenga la confidencialidad de la información o por omitir implementar medidas de seguridad efectivas.
En ese sentido, la infracción en que se incurrió, no fue por haberla almacenado para su revisión dentro del término para ello, sino porque después de haber concluido el plazo para hacerlo y de que se había devuelto el plazo que originalmente se les había entregado, se mantuvo almacenada una copia de la información en un servidor de Amazon, sin haberla destruido como era necesario hacerlo para evitar que siguiera almacenada, por lo que la incongruencia argüida, en el sentido de que por un lado se autoriza el almacenamiento de la información y por otro se les sanciona por ese motivo, es inexistente.
Por otro lado, devienen ineficaces los motivos de queja vinculados con el segundo tema, en los que se alega, esencialmente, que la aludida base de datos se almacenó en un servidor privado contratado con Amazon, que contaba con medidas de seguridad, esto es, no era un sitio público al que pudiera acceder cualquier persona, lo que se corrobora, desde su punto de vista, porque quien encontró la información es un investigador que se dedica a buscar vulnerabilidades, para lo cual se auxilia de herramientas informáticas; incluso, a la autoridad electoral le tomó tiempo ingresar al sitio y lo hizo hasta después de que dicho investigador le proporcionó ciertos datos.
Tal calificativo merecen dichos agravios, en razón de que la responsable determinó que el indebido proceder de los recurrentes —la omisión de establecer medidas de seguridad óptimas y eficaces para preservar la inviolabilidad de la confidencialidad de la base de datos que le fue proporcionada y almacenar la información por un tiempo adicional al permitido, al no haber eliminado oportunamente el archivo atinente—, constituyó una sola falta y con base en ello los sancionó.
Por ende, incluso en el supuesto de que por los motivos que se alegan, no se hubiera actualizado la falta de deber de cuidado, de cualquier manera la sanción que se les impuso, no podría ser revocada o modificada, al estar demostrado que incurrieron en falta por haber almacenado la base de datos de la lista nominal de electores, después de reintegrar a la autoridad el archivo que primigeniamente había sido entregado para su revisión, al haber concluido el plazo para realizar dicha tarea.
Efectivamente, de la resolución reclamada se advierte, en lo conducente, lo siguiente:
“C. Singularidad o pluralidad de la falta acreditada
Cabe señalar que aun cuando se acreditó que tanto MC, Juan Pablo Arellano Fonseca y José Manuel del Río Virgen, violentaron la normativa constitucional y legal referida previamente, tal situación no implicó la presencia de una pluralidad de infracciones o de faltas administrativas, ya que la falta consistió en el uso indebido del Listado Nominal de Electores, traducido en la manifiesta falta de cuidado en el uso, manejo y resguardo adecuado de los datos que proporciona el Registro Federal de Electores del INE a los partidos políticos, lo cual fue en contravención a los derechos de confidencialidad de los datos personales de los ciudadanos que integran dicho documento electoral.
D. Circunstancias de modo, tiempo y lugar de la infracción
Para llevar a cabo la individualización de la sanción, la conducta infractora debe valorarse conjuntamente con las circunstancias objetivas que concurren en el caso, que son:
a) Modo
En la especie, Juan Pablo Arellano Fonseca, José Manuel del Río Virgen, así como MC, incumplieron con las previsiones contenidas tanto en la Constitución Federal, como en la normativa electoral a través de una omisión, toda vez que faltaron de manera trascendente a su deber de cuidado en el uso, manejo y resguardo adecuado de la información contenida en las Listas Nominales de Electores para Revisión, por medio de la base de datos que le fue proporcionada por la DERFE, al no realizar la destrucción y/o eliminación total de esa información, una vez que concluyó la finalidad, para la cual les fue entregada, así como la omisión en el establecimiento de medidas de seguridad óptimas y eficaces para preservar la inviolabilidad de la confidencialidad de las base de datos que le fueron proporcionadas; lo que originó que posteriormente se viera expuesta en la misma red informática con acceso general, en que primigeniamente la alojaron…”
De lo reproducido se observa, como se dijo, que la resolutora determinó que el proceder de los apelantes constituía una sola omisión no establecer medidas de seguridad eficaces para preservar la inviolabilidad de la confidencialidad de la base de datos proporcionada y no haber eliminado oportunamente el archivo atinente, cuya consecuencia se infiere que fue almacenar la información por un tiempo adicional al permitido; y con base en tal única omisión los sancionó.
Por ende, aun cuando les asistiera la razón en cuanto que no incurrieron en una falta de deber de cuidado por omitir implementar medidas de seguridad adecuadas, de cualquier manera al estar demostrado que fue indebido que mantuvieran almacenada la información de la lista nominal de electores después de reintegrar a la autoridad el archivo que primigeniamente había sido entregado para su revisión, al haber concluido el plazo para realizar dicha tarea, la sanción que se les impuso por la cuestión en estudio, no podría ser revocada o modificada, lo que torna ineficaces los agravios de que se trata.
A mayor abundamiento, cabe decir que la parte recurrente sí incurrió en falta de deber de cuidado, al omitir implementar medidas de seguridad adecuadas en el servidor en el que almacenó la base de datos del listado nominal de electores.
Para arribar a la anotada conclusión, se tiene presente que Jorge Álvarez Máynez, codenunciado, ofreció prueba pericial a cargo de Marco Antonio Ramos Rivera (fojas marcadas con los folios 4715 al 4718); prueba a la que aluden los recurrentes en la presente instancia.
El perito afirma que se usó la herramienta “Shodan.io” para descubrir vulnerabilidades en el sitio o espacio cibernético de MC, la cual, desde su punto de vista, la utilizan hackers como un motor de búsqueda para identificar víctimas y accesos a la llamada “Deep Web”.
De la traducción del correo electrónico enviado por Chris Vickery a funcionarios del INE, el veintisiete de abril de dos mil dieciséis, que a continuación se transcribe, se advierte que efectivamente, para encontrar la información, dicha persona usó el “motor de búsqueda: http://shodan.io”
“28/4/2016 RE: RV: Vulnerabilidad de seguridad masiva en la base de datos electoral mexicana
RE: RV: Vulnerabilidad de seguridad masiva en la base de datos electoral mexicana
Chris Vickery [ [Texto oculto]
Enviado: miércoles, 27 de abril de 2016 08:27 p.m.
Para: ANDRADE JAIMES ALEJANDRO; Tanner, Adam [Texto oculto]
CC: MIRANDA JAIMES RENE; JACOBO MOLINA EDMUNDO; GIMÉNEZ CACHO GARCÍA LUIS EMILIO; CORDOVA VIANELLO LORENZO
Datos adjuntos: screenshot_1.png (103KB); screenshot_2.png (137 KB); screenshot_3.png (81 KB)
Hola de nuevo:
El día de hoy me contactaron varios periodistas mexicanos con relación a las declaraciones realizadas por Movimiento Ciudadano. Quisiera reiterarle personalmente que no hubo ningún tipo de "hackeo" involucrado en mi acceso a esta información. Para ilustrar mejor, adjunto tres capturas de pantalla que muestran el proceso exacto que reveló la información expuesta.
La primera captura de pantalla muestra la base de datos del padrón como resultado de una búsqueda aleatoria de "puerto:27017" en el motor de búsqueda: http://shodan.io. La segunda captura de pantalla muestra el programa que se conecta a las bases de datos de MongoDB (nótese que no se ingresó ninguna contraseña o nombre de usuario). La tercera captura de pantalla muestra el resultado después de que me conecté a la base de datos sin usar ninguna contraseña o nombre de usuario.
He contactado a Amazon para obtener una declaración oficial de su parte respecto a si consideran que hubo "hackeo" involucrado o no.
Le agradezco por llevar a cabo la investigación y quisiera ofrecerle mi completa cooperación. Por favor hágame saber si hay alguna información adicional que le pueda proporcionar.
-Chris Vickery”
Lo reproducido corrobora que, efectivamente, para encontrar la base de datos, la persona citada utilizó la herramienta informática denominada “Shodan.io.”.
Sin embargo, no se advierte que Shodan sea una herramienta que utilicen los hackers, por el contrario, una de las propias fuentes en las que el perito fundó su dictamen, pone de relieve que es un motor de búsqueda que encuentra dispositivos que tienen pocas restricciones para acceder a ellos.
En efecto, esta Sala Superior, a fin de allegarse de mayores elementos para el dictado de la presente resolución, consultó el siguiente link https://cnnespanol.cnn.com/2013/04/08/shodan-el-buscador-mas-terrorifico-de-internet/, que contiene una de las publicaciones citadas por el referido perito, la cual es del texto literal siguiente:
Shodan, el buscador más terrorífico de internet
Por Funes, CNN
15:03 ET (19:03 GMT) 8 abril, 2013
(CNN) - “Cuando la gente no encuentra algo en Google, se cree que nadie lo puede encontrar. Eso es falso”.
La apreciación corresponde a John Matherly, creador de Shodan, el buscador más terrorífico de Internet.
A diferencia de Google, que se concentra en la búsqueda de sitios web, Shodan es una especie de buscador “oscuro” que detecta servidores, cámaras web, impresoras, routers y todo aquello que se conecta y forma Internet.
Shodan opera permanentemente y obtiene información de unos 500 millones de dispositivos y servicios conectados cada mes. Y los resultados de las búsquedas son sorprendentes: desde semáforos hasta cámaras de seguridad, pasando por sistemas de calefacción y crematorios.
Los usuarios de Shodan también han encontrado sistemas de control para un parque acuático y una estación de servicio. Y los investigadores en seguridad informática han localizado sistemas de comando y de control de plantas nucleares y un acelerador de partículas utilizando Shodan.
Pero lo que llama la atención de Shodan, y lo que lo hace tan escalofriante, es que muy pocos de estos dispositivos tienen restricciones de seguridad para acceder a ellos.
“Puedes acceder a prácticamente la mitad de Internet con una contraseña predeterminada”, indicó HD Moore, jefe de seguridad de Rapid 7, que opera un servicio similar a Shodan para clientes. “Es una falla masiva de seguridad”, agregó. De esta forma, son incontables las impresoras, servidores y dispositivos que tienen “admin” o “1234” como contraseña. Y, de hecho, la mayoría de los sistemas conectados no solicitan ninguna credencial para controlarlos.
En una charla durante la conferencia de seguridad informática de Defcon, el experto Dan Tentler demostró cómo utilizaba Shodan para encontrar sistemas de control para aires acondicionados, calentadores de agua y puertas de garaje.
Encontró una pista de hockey que podía descongelarse con apenas un botón. El sistema de tránsito de una ciudad estaba conectado a Internet y podía manipularse ingresando un simple código. Y también halló un sistema de control para una planta hidroeléctrica en Francia con dos turbinas que generan tres megavatios cada una.
El problema, claro, radicaría en que todo esto caiga en las manos equivocadas.
“Los daños podrían ser muy serios”, dijo Tentler.
La buena noticia es que la finalidad de Shodan es otra.
Matherly, que completó Shodan hace tres años como parte de un proyecto personal, ha limitado las búsquedas a solo diez resultados para los usuarios no registrados y cincuenta para los inscriptos. Y si quieres ver todo lo que Shodan tiene para ofrecer, Matherly solicita el pago de una suscripción y más información acerca de tu objetivo.
Los principales usuarios de Shodan son expertos en seguridad, investigadores académicos y agencias gubernamentales. Los “malos” pueden utilizarlo como punto de partido, admite Matherly, pero los “cibercriminales” suelen tener acceso a botnets (grupos de computadoras infectadas) que logran el mismo propósito sin ser detectadas.
Hasta la fecha, la mayoría de los ataques informáticos se ha concentrado en robar dinero y propiedad intelectual, no en provocar daños explotando un edificio o desconectando los semáforos de una ciudad.
Por lo pronto, los profesionales de seguridad esperan evitar este escenario detectando estos dispositivos y servicios inseguros con Shodan y alertando de su vulnerabilidad a quienes los operen.
¿Confías en la buena voluntad de Shodan? Cuéntanos en los comentarios.
De lo reproducido se advierte que, según una de las fuentes en que se basó el perito, Shodan es un buscador que detecta servidores, cámaras web, impresoras, routers y todo aquello que se conecta y forma parte de internet, que carecen de restricciones de seguridad adecuados, y su finalidad alertar de su vulnerabilidad a quienes los operan.
Pero, además, esta Sala Superior consultó otras publicaciones electrónicas, que coinciden en lo mismo; tales publicaciones son: https://www.proydesa.org/portal/index.php/noticias/1604-asi-es-shodan-el-buscador-mas-mas-peligroso-de-la-web y http://eltallerdelbit.com/shodan-buscador/
A continuación, se reproduce la parte conducente de dichas publicaciones electrónicas.
Respecto al link: https://www.proydesa.org/portal/index.php/noticias/1604-asi-es-shodan-el-buscador-mas-mas-peligroso-de-la-web se aprecia lo siguiente:
Así es Shodan, el buscador más peligroso de la Web
Vivimos en un mundo interconectado. Ya no solo tenemos toda la información en Internet: numerosas tareas cotidianas también se han visto monitorizadas por la tecnología como por ejemplo el transporte, la salud, el hogar, el bienestar o la industria. Todo esto lo podemos encontrar en Google, pero hay otro buscador gracias al cual (o por culpa del cual) nuestra privacidad y seguridad se puede ver bastante afectada.
El nombre de este buscador tan peligroso es Shodan y se encarga de buscar direcciones HTTP conectadas a Internet que no salen ni en Google ni en ningún otro buscador similar.
El responsable de que Shodan exista es John Matherly, un informático suizo que estudió en California y bautizó este temido motor de búsqueda con el nombre de un personaje de un videojuego de los 90 (System Shock) donde el protagonista era un hacker con la misión de detener los malévolos planes de un sistema con inteligencia artificial.
Matherly empezó el proyecto de Shodan con poco más de $500, y para el 2012 contaba con más de 50 servidores alrededor del mundo. Hasta aquí pudiéramos pensar que su creador es una mente maquiavélica, pero en realidad se trata de un chico de casi 30 años que se formó en Bioinformática y cuyo hobby era crear cosas, Matherly ha trabajado en diversas tareas de seguridad digital y Shodan, a su juicio, no tiene fines malignos.
En lugar de indexar el contenido web a través de los puertos 80 (HTTP) o 443 (HTTPS) como lo hace Google, Shodan rastrea la Web en busca de dispositivos que responden a otra serie de puertos, incluyendo: 21 (FTP), 22 (SSH), 23 (Telnet), 25 (SMTP), 80, 443, 3389 (RDP) y 5900 (VNC).
Puede descubrir e indexar prácticamente cualquier dispositivo, entre una amplia gama que abarca webcams, de señalización para vías, routers, firewalls, sistemas de circuito cerrado de televisión, sistemas de control industriales para plantas de energía nuclear, redes eléctricas, electrodomésticos domésticos y mucho más.
La parte más peligrosa y negativa de esta detección es que todos estos dispositivos se encuentran conectados a Internet sin que sus dueños sean conscientes de los peligros y riesgos a nivel de seguridad, y por tanto, sin contar con la aplicación de medidas protectoras básicas como el nombre de usuario o una contraseña fuerte y robusta.
La seguridad de los usuarios se tambalea especialmente con las webcams, ya que estas pueden captar imágenes de todo tipo en torno a los domicilios, información personal o rostros de menores.
Las cuentas gratuitas en Shodan permiten buscar a través de los siguientes filtros:
Country: Permite encapsular la búsqueda reduciéndola a un país especifico.
City: Filtro por ciudad.
Port: Permite realizar cada búsqueda dependiendo del puerto abierto o el servicio que se esté ejecutando,
Net: Para buscar una ip especifica o rangos de ip.
Hostname: Este filtro sirve para las búsquedas relativas al texto que le indiquemos en la parte de hostname.
OS: Según el sistema operativo.
En el 2012, un investigador de seguridad llamado Dan Tentler demostró cómo fue capaz de utilizar Shodan para encontrar sistemas de control para máquinas, calentadores de agua a presión e incluso puertas de garaje.
También fue capaz de encontrar una planta hidroeléctrica en Francia, un lavado de coches que podrían ser encendido y apagado de modo remoto y una pista de hockey en Dinamarca que podría haber sido descongelada tan solo con hacer clic de un botón. Incluso encontró todo el sistema de control de tráfico de una ciudad conectado a la red, que podría haberse interrumpido con el uso de determinados comandos.
A diferencia del internet que todos conocemos, Shodan trabaja con resultados de la deep web o la internet oculta, que para explicarlo de manera sencilla, incluye resultados que no son indexados por los buscadores comunes (esto pasa por infinidad de razones, muchas de ellas bordean la ilegalidad).
Aunque trabaje cerca de este tipo de contenido, Shodan no hace nada verdaderamente ilegal, ya que solo recopila enlaces de dispositivos con acceso a internet y que la comparten de manera pública. Matherly afirmó en una entrevista que al inicio del proyecto se preocupaba por el tema de lo legal en EEUU, sin embargo se ha asesorado correctamente y en pocas palabras, lo único ilegal sería un uso incorrecto del servicio que ofrece Shodan, más no su existencia en sí.
Respecto al link: http://eltallerdelbit.com/shodan-buscador/ se aprecia lo siguiente:
Shodan | un buscador de la Deep Web
El Taller del BIT » Internet » Shodan | un buscador de la Deep Web
Nov 14, 2017 | Internet | 1 Comentario
En este post vamos a hablar sobre el buscador Shodan. Su creador John Matherly lo define como uno de los buscadores más terroríficos de internet, pero Google, Yahoo, Bing y otros buscadores también tienen sus trucos de búsqueda y pueden ser terroríficos, así que veamos qué tiene de especial.
Shodan utiliza un algoritmo especialmente diseñado para escanear rápidamente la red, y con él podemos obtener información de dispositivos que están conectados a internet y no tienen una buena configuración de seguridad (o sea, que aunque los grandes buscadores como Google no los indexen, estos dispositivos emiten información abiertamente a Internet). Shodan nos muestra banners, puertos, servicios y geolocalización entre otros.
Shodan investiga y muestra resultados de todo internet, indexando más resultados que un motor de búsqueda convencional como puede ser google. Se podría decir que esos resultados son del lado oculto de internet, la Deep Web.
Es decir, el contenido generado por todos esos otros dispositivos que no están indexados en los grandes buscadores (webcams, frigoríficos inteligentes.. ). Por ejemplo, dispositivos que se utilizan en el Internet de las cosas; en este aspecto lo más común es buscar webcams.
El buscador Shodan se hizo muy famoso al aparecer en la cadena de televisión CNN, pero Shodan es usado por profesionales de la seguridad informática para sus investigaciones. Además, muchas empresas y grandes organismos, gracias a Shodan han descubierto vulnerabilidades que no creían tener, y gracias a ello han podido parchear sus sistemas.
Shodan dispone de tres tipos de cuentas: sin registro, con registro y premium, que requiere pago. Cada uno de estos 3 tipos de cuentas aumenta en cada tipo el número de resultados en las búsquedas. Las cuentas con registro y sin pago, arrojan 2 páginas de resultados de búsqueda. No está mal para empezar a trastear con Shodan.
[...]
Como se ve, las fuentes citadas coinciden en que Shodan:
Es un buscador que aprovecha las bajas medidas de seguridad de los dispositivos, para poder acceder a ellos, por lo que es usado para detectar dispositivos con vulnerabilidades.
La anterior información pone de relieve que contrario a lo que se alega, la utilización de la herramienta informática Shodan no implicó un ataque informático; más bien que sí se incurrió en falta de deber de cuidado, al omitir implementar medidas de seguridad adecuadas en el servidor en el que almacenó la base de datos del listado nominal de electores, razón por la cual se pudo accesar a la base de datos referida.
4.2.3.6. José Manuel del Río Virgen alega que:
• La incongruencia de la resolución reclamada se extiende al análisis de la responsabilidad de todos los denunciados, ya que se le atribuye de manera directa y en su carácter de representante propietario de MC ante la Comisión Nacional de Vigilancia, la responsabilidad absoluta de todas las conductas que, a decir de la autoridad, constituyen infracciones a la normatividad electoral, por lo que el único infractor resultaría el propio recurrente (José Manuel del Río Virgen), y no es posible que un partido político y un ciudadano, compartan una conducta que sólo le era exigible al impugnante, como lo señala la responsable.
• No existe prueba que acredite que reprodujo o almacenó en algún medio, la información que con motivo de la revisión al listado nominal de electores se haya entregado a un partido político, que la comunicó o la dio a conocer o que le hubiera dado un uso distinto al de revisión.
Consideraciones de la Sala Superior.
Es infundada la incongruencia alegada, porque es inexistente la misma, como a continuación se pondrá de relieve.
Al resolver el asunto, la responsable estimó fundado el procedimiento sancionador instaurado en contra de los impugnantes; en lo que interesa, estableció lo siguiente:
“En concepto de esta autoridad, es FUNDADO el procedimiento sancionador en contra del partido político MC, por la violación a lo previsto en los artículos 126, párrafos 3 y 4; 148, párrafo 2; 150, párrafo 1; en relación con los diversos 443, párrafo 1, incisos a) y n), de la LGIPE; 25, párrafo 1, incisos a) y u) de la LGPP; 8 y 33 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados por el Consejo General mediante Acuerdo CG35/2013, derivado del uso indebido de la Lista Nominal de Electores que le fue entregada a dicho instituto político para revisión en el marco del Proceso Electoral Federal 2014-2015, en contravención a los derechos de confidencialidad de los datos personales de los ciudadanos que integran dicho documento electoral.
Lo anterior, con motivo de su falta al deber de cuidado para salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las Listas Nominales de Electores para Revisión que le fue entregada mediante oficio INE/DERFE/170/2015, signado por el titular de la DERFE, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, en tanto que la reproducción, almacenamiento, por un tiempo adicional al permitido por la ley y la posterior exposición de ésta en un sitio de internet.”[39]
“En concepto de esta autoridad, es FUNDADO el procedimiento sancionador en contra de Juan Pablo Arellano Fonseca, por la contravención de lo establecido en los artículos 126, párrafos 3 y 4; 147, 148, párrafo 2; 150, párrafo 1; 447, párrafo 1, inciso e), de la LGIPE; 8 y 32 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados por el Consejo General mediante Acuerdo CG35/2013, derivado del uso indebido de la Lista Nominal de Electores que le fue entregada a MC, para revisión en el marco del Proceso Electoral Federal 2014-2015, en contravención a los derechos de confidencialidad de los datos personales de los ciudadanos que integran dicho documento electoral.
Lo anterior, al ser este sujeto, el responsable directo del manejo del dispositivo de almacenamiento de información (USB)que contenía la información cifrada y con huellas de rastreabilidad a su nombre, correspondiente a la Lista Nominal de Electores que fue entregado a MC, exclusivamente para revisión de las Listas Nominales, dentro del Proceso Electoral Federal 2014-2015, mediante el oficio INE/DERFE/170/2015...”[40]
“Con base en lo expuesto y en términos de las conclusiones referidas párrafos arriba, esta autoridad determina declarar FUNDADO el presente procedimiento instaurado en contra de Juan Pablo Arellano Fonseca, derivado de la falta al deber de cuidado para salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las Listas Nominales de Electores para Revisión, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, en tanto que la reproducción, almacenamiento y exposición de ésta en un sitio de internet”[41]
“En concepto de esta autoridad, es FUNDADO el procedimiento sancionador en contra de José Manuel del Río Virgen...por la violación a los artículos 126, párrafos 3 y 4; 147, 148, párrafo 2; 150, párrafo 1; 447, párrafo 1, inciso e), de la LGIPE; 8, 32 y 33 de los Lineamientos para el Acceso, Verificación y Entrega de los Datos Personales en Posesión del Registro Federal de Electores por los integrantes de los Consejos Generales, Locales, Distritales, las Comisiones de Vigilancia y los Organismos Electorales Locales, aprobados por el Consejo General mediante Acuerdo CG35/2013, derivado de su falta de cuidado en el manejo, resguarda y custodia, de la Lista Nominal de Electores que le fue entregada a MC para revisión en el marco del Proceso Electoral Federal 2014- 2015, lo que derivó en el uso indebido del mismo, en contravención a los derechos de confidencialidad de los datos personales de los ciudadanos que integran dicho documento electoral.
Lo anterior, con motivo del incumplimiento de su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de la Lista Nominal de Electores para Revisión, que le fue entregada en el marco del Proceso Electoral Federal 2014-2015, cifrada a nombre de Juan Pablo Arellano Fonseca, lo que derivó en un almacenamiento indebido del referido instrumento electoral y su posterior exposición en una página de internet de un servidor de Amazon Web Services.”[42]
“Es de mencionar que José Manuel del Río Virgen, en el momento en que ocurrieron los hechos, fungía como representante propietario de MC ante la CNV, por lo que se concluye que dicho ciudadano cuenta con los conocimientos y experiencia suficientes respecto de la valía e importancia que representa el Padrón Electoral y los Listados Nominales de Electores, la calidad de la información que en esos instrumentos se contienen y, por ende, las previsiones que deben observarse invariablemente en el manejo de los datos personales que obran en esos registros electorales.
Por ello, la obligación de resguardar y cuidar la información que contiene información sensible de todos los ciudadanos mexicanos en este país era exigible a José Manuel del Río Virgen, en virtud de que era éste quien ostentaba la representación directa entre el partido político y el INE en materia del Registro Federal de Electores.
En consecuencia, es dable colegir que si el partido delegó su responsabilidad a esta persona, es porque existe una relación de confianza para que actuara en su representación, cuidando todos sus intereses y cumpliendo con cada una de sus obligaciones, entre ellas, la de manejar, usar y resguardar los datos personales de los ciudadanos contenidos en el Listado Nominal de Electores.”
De lo transcrito se observa que a los tres recurrentes se les sancionó porque faltaron a su deber de cuidado de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de las listas nominales de electores para revisión que le fueron entregadas a MC, lo que derivó en un uso indebido de dicha información, al haberse utilizado para fines distintos al de su revisión, esto es, su reproducción y almacenamiento por un tiempo adicional al permitido, y la posterior exposición de ésta en un sitio de internet.
Empero, la responsable hizo una precisión, distinguiendo que Juan Pablo Arellano Fonseca era el responsable directo del manejo del dispositivo de almacenamiento que contenía la información y José Manuel del Río Virgen era el representante propietario de MC ante la CNV, en el momento en que ocurrieron los hechos, por lo que le era exigible la obligación de resguardar la información.
Asimismo, la resolutora no le atribuyó a José Manuel del Río Virgen haber almacenado directamente la información, por lo que es innecesario que existiera prueba al respecto, en tanto que, estimó que al haber sido representante propietario de MC ante la CNV, en el momento en que ocurrieron los hechos, le era exigible la obligación de resguardar la información, sin que tal consideración sea controvertida, por lo que debe prevalecer rigiendo el sentido del fallo.
4.2.3.7. José Manuel del Río Virgen alega que:
• No se acreditan las conductas que se le atribuyen, puesto que la responsable tenía la obligación de señalar las circunstancias de modo, tiempo y lugar de ejecución, y acreditar el nexo causal entre la conducta y el resultado, lo que no hizo.
• Las diversas conductas que se le atribuyen, como dejar de vigilar, no eliminar o destruir la información la información o almacenarla por más tiempo, no pueden ser consideradas como infracciones, pues la salvaguarda del listado nominal fue legal en un medio seguro, sin que exista la obligación de destruir o eliminar la información, además cuando se conoció el posible ataque, MC dio la orden de eliminar el servidor.
Consideraciones de la Sala Superior.
Es infundado dicho agravio, porque es inexacto que la responsable haya incurrido en la omisión que se le atribuye; para mayor claridad, a continuación se transcribirá la parte conducente de la resolución impugnada.
Por ello, la obligación de resguardar y cuidar la información que contiene información sensible de todos los ciudadanos mexicanos en este país era exigible a José Manuel del Río Virgen, en virtud de que era éste quien ostentaba la representación directa entre el partido político y el INE en materia del Registro Federal de Electores.
En consecuencia, es dable colegir que si el partido delegó su responsabilidad a esta persona, es porque existe una relación de confianza para que actuara en su representación, cuidando todos sus intereses y cumpliendo con cada una de sus obligaciones, entre ellas, la de manejar, usar y resguardar los datos personales de los ciudadanos contenidos en el Listado Nominal de Electores.
En efecto, como se mencionó, el artículo 126, párrafo 3, de la LGIPE, define que los documentos, datos e informes que conforman este material electoral, debe ser clasificado como estrictamente confidencial.
A partir de ello, se delimita un vínculo por demás serio y específico entre este Instituto y los partidos políticos, como consecuencia de existir la obligación de compartir, para los fines exclusivos de revisión, la información que conforma el Padrón Electoral y Listados Nominales.
En este sentido, los sujetos que son designados por los propios partidos para que los representen justo en este materia, es decir, en la guarda y custodia de la información que por su conducto la DERFE entrega a todos los institutos políticos, cobra vital relevancia, porque son estos sujetos, quienes adquieren el deber preponderante e irrestricto de velar, siempre que el partido tenga en su poder información con estas características de secrecía y confidencialidad, de cuidarlos, resguardarlos y observar que sólo se utilicen para los fines específicos para el cual fueron otorgados, so pena de la imposición de sanciones por su incumplimiento.
En efecto, debido a que los datos proporcionados por los ciudadanos se encuentran investidos de la calidad de confidenciales, y su protección y respeto se encuentran garantizados por el Estado Mexicano desde el orden constitucional, su protección adquiere una preponderancia mayúscula y se erige como uno de los derechos más importantes en nuestra sociedad. Por tanto, el partido político que la recibe formalmente, como el o los sujetos designado por este para tal fin, deben evitar y procurar que no se cometa ninguna conducta que ponga en riesgo su conocimiento por personas ajenas a él y, en caso de no hacerlo con ese cuidado y recelo, deberá ser sancionado en términos de la Ley de la materia.
De conformidad a lo antes expuesto, y en términos de las consideraciones que se hicieron, tanto en el apartado de acreditación de los hechos, como en los correspondientes a la responsabilidad de MC y de Juan Pablo Arellano Fonseca, las cuales deberá tenerse por reproducidas para todos los efectos, se considera que deviene la responsabilidad de José Manuel del Río Virgen, Representante de MC ante la CNV, sobre los hechos que se le imputan.
Lo anterior, porque fue precisamente este sujeto, quien se encontraba obligado a vigilar, resguardar y seguir, en todo momento, el destino que se dio a la información que él mismo recibió a nombre de un partido, y sobre la cual se constituyó como depositario de su guarda, custodia y vigilancia y, por ende, estaba compelido a advertir cualquier conducta que pudiese darse en perjuicio de la confidencialidad de la información y, en su caso evitarla o denunciarla apropiada y oportunamente, lo cual no ocurrió, tal y como se ha advertido a lo largo de esta Resolución.
En efecto, tal y como se refirió en diversas ocasiones, a través del oficio INE/DERFE/170/2015[43], la DERFE entregó a José Manuel del Río Virgen, tres ejemplares de la Lista Nominal de Electores para Revisión, correspondientes al Proceso Electoral Federal 2014-2015, entre las cuales, se encontraba la cifrada a nombre de Juan Pablo Arellano Fonseca.
En esa comunicación, en lo que interesa, se le hizo de su conocimiento lo siguiente:
En ese orden de ideas, hago de su conocimiento que en términos del numeral 32 de los referidos Lineamientos, a partir de este momento y hasta la devolución de la información entregada, Usted adquiere la responsabilidad de su uso v destino, debiendo tomar las medidas necesarias para salvaguardar la información que se le entrega, sin poder darle uso distinto al de la revisión de la Lista Nominal de Electores.
De igual manera, le comunico que en términos del numeral 33 de los Lineamientos señalados, Usted está obligado a reintegrar los instrumentos que recibe, en un plazo no mayor a 5 días hábiles contados a partir de la conclusión del periodo para presentar impugnaciones del Proceso Electoral Federal, a través de oficio dirigido al suscrito, manifestando bajo protesta de decir verdad que la información recibida no ha sido reproducida, ni almacenada por algún medio. [Énfasis añadido]
De la transcripción anterior se advierte que, no obstante la existencia de disposiciones legales y reglamentarias que establecen la calidad de confidencialidad que reviste a las Listas Nominales de Electores; las relativas que refieren las prohibiciones a un uso distinto de esa información, así como el tratamiento que debe darse a esa base de datos -salvaguarda y protección- la propia DERFE comunicó, de forma directa y sin lugar a dudas, al hoy denunciado:
1. La responsabilidad que adquiría respecto del uso y destino que se le debe dar a la información que recibe.
2. La prohibición de conservar o almacenar alguna reproducción de la Lista Nominal de Electores para Revisión, con posterioridad a la devolución que se haga.
En ese sentido, como ha quedado debidamente acreditado en el cuerpo de la presente Resolución, la Lista Nominal de Electores para Revisión que le fue entregada a José Manuel del Río Virgen, en su calidad de representante de MC ante la CNV, fue utilizada de manera indebida al haber sido almacenada con posterioridad al día en que dicha representación lo devolvió a la DERFE, durante un lapso injustificado de trece meses, contados a partir de que formalmente se hizo la devolución del dispositivo USB que le fuera entregado a MC, por parte de la DERFE, y, además de ello, esa posesión indebida culminó con su exposición pública en un portal de internet, específicamente en un servidor de AMAZON, con la dirección IP 52.6.226.190:27017.
Con base en lo mencionado, es indudable que no existió por parte de José Manuel del Río Virgen, una verdadera y genuina salvaguarda de la información que le fue entregada, toda vez que está demostrado en autos que trece meses después de que MC había hecho la devolución del referido instrumento electoral esa información continuaba almacenada en el mismo portal electrónico en el cual, desde su inicio fue resguardada, lo que evidentemente denota una total y absoluta falta al deber de cuidado que debía observar por mandato legal y reglamentario.
Se afirma lo anterior, en virtud de que el denunciado, estaba obligado a cerciorarse de forma precisa, que la información que se le entrego a MC, con marcas de rastreabilidad y cifrado a nombre de Juan Pablo Arellano Fonseca, fuese devuelta al Instituto, sin dejar vestigios de algún almacenamiento, en ningún medio así como cerciorarse que las medidas de seguridad del lugar que serviría como repositorio de las lista nominales de electores, contaran con las medidas de seguridad suficientes que garantizaran su inviolabilidad por parte de algún tercero; sin embargo no existe ninguna evidencia en autos de que estas acciones hayan acontecido.
En consecuencia, al no haber actuado responsable y diligentemente en el manejo de la información que se proporcionó en su nombre a MC, es responsable por faltar a su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos del Padrón Electoral y de la Lista Nominal, generada por esta autoridad electoral; por tanto lo procedente es declarar fundado el presente procedimiento en contra de José Manuel del Río Virgen, por las razones anteriormente expresadas.
Lo anterior se maximiza, si se toma en consideración que al momento en que recibió el multicitado instrumento electoral, se le hizo hincapié en que a partir de ese momento y hasta la devolución de la información entregada, adquiría la responsabilidad de su uso y destino, debiendo tomar las medidas necesarias para salvaguardar la información.
De lo reproducido se desprende que es inexacto que la resolutora hubiera incurrido en la omisión que se le atribuye.
Así, por ejemplo, estableció que José Manuel del Río Virgen, en el momento en que ocurrieron los hechos, fungía como representante propietario de MC ante la CNV, por lo que contaba con los conocimientos y experiencia suficientes respecto de la valía e importancia que representa el padrón electoral y los listados nominales de electores, la calidad de la información que en esos instrumentos se contienen y, por ende, las previsiones que deben observarse invariablemente en el manejo de los datos personales que obran en esos registros electorales.
En consecuencia, era dable colegir que si el partido delegó su responsabilidad a esta persona, es porque existe una relación de confianza para que actuara en su representación, cuidando todos sus intereses y cumpliendo con cada una de sus obligaciones, entre ellas, la de manejar, usar y resguardar los datos personales de los ciudadanos contenidos en el listado nominal de electores.
En este sentido, las personas que son designadas por los propios partidos para que los representen justo en este materia, es decir, en la guarda y custodia de la información que por su conducto la DERFE entrega a todos los institutos políticos, cobra vital relevancia, porque son estos sujetos, quienes adquieren el deber preponderante e irrestricto de velar, siempre que el partido tenga en su poder información con estas características de secrecía y confidencialidad, de cuidarlos, resguardarlos y observar que sólo se utilicen para los fines específicos para el cual fueron otorgados, so pena de la imposición de sanciones por su incumplimiento.
Por tanto, la autoridad electoral consideró que José Manuel del Río Virgen era responsable de los hechos que se le imputan, dado que era quien se encontraba obligado a vigilar, resguardar y seguir, en todo momento, el destino que se dio a la información que él mismo recibió a nombre de un partido, y sobre la cual se constituyó como depositario de su guarda, custodia y vigilancia y, por ende, estaba compelido a advertir cualquier conducta que pudiese darse en perjuicio de la confidencialidad de la información y, en su caso evitarla o denunciarla apropiada y oportunamente, lo cual no ocurrió.
En consecuencia, al no haber actuado responsable y diligentemente en el manejo de la información que se proporcionó en su nombre a MC, es responsable por faltar a su obligación de salvaguardar y preservar la inviolabilidad de la confidencialidad de la información correspondiente a la base de datos de la lista nominal, generada por la autoridad electoral, por lo que se declaró fundado el procedimiento sancionador seguido en su contra.
Lo expuesto pone de relieve que no es verdad que la resolutora haya incurrido en la omisión que se le atribuye.
Además, el impugnante no controvierte lo establecido por la responsable, en el sentido de que la obligación de resguardar la información de la lista nominal de electores le era exigible, en virtud de que era quien ostentaba la representación directa entre el partido político y el INE en materia del Registro Federal de Electores; y que las personas que son designadas por los propios partidos para que los representen en la guarda y custodia de la información que por su conducto la DERFE entrega a todos los institutos políticos, cobra vital relevancia, porque son quienes adquieren el deber de velar porque la información confidencial que el partido tenga en su poder, sea resguardada y cuidar que sólo se utilice para los fines específicos para el cual fueron otorgados, so pena de la imposición de sanciones por su incumplimiento.
Asimismo, el recurrente nada dice respecto a que la autoridad electoral lo consideró responsable por ser quien se encontraba obligado a vigilar, resguardar y seguir, en todo momento, el destino que se dio a la información que él mismo recibió a nombre de un partido, y sobre la cual se constituyó como depositario de su guarda, custodia y vigilancia y, por ende, estaba compelido a advertir cualquier conducta que pudiese darse en perjuicio de la confidencialidad de la información y, en su caso evitarla o denunciarla oportunamente, lo cual no ocurrió.
En consecuencia, dichas consideraciones, al no aparecer combatidas, deben seguir rigiendo el sentido de la resolución en que se dictaron.
Por otra parte, ningún perjuicio causa a la parte impugnante lo establecido por la responsable en el sentido de que la falta acreditada implicó conductas en contravención al derecho de la confidencialidad de datos personales y protección de información relativa a la vida privada, ya que con ello sólo hace referencia al bien jurídico tutelado.
4.2.3.8. Juan Pablo Arellano Fonseca aduce que:
• La responsable se limitó a imputarle diversas conductas, pero omite señalar las circunstancias de modo, tiempo y lugar, además de que no se señala el nexo causal entre la conducta y el resultado.
• Con las pruebas desahogadas se acredita que él solo fue encargado de descargar la información atinente al listado nominal de electores entregado, de establecer contraseñas y tener acceso a la misma para su revisión, y las medidas de seguridad estaban a cargo de la empresa Indata com.
Consideraciones de la Sala Superior.
Es infundado que la resolutora hubiera incurrido en la omisión que se le atribuye; para mayor claridad, a continuación se reproducirá la parte conducente de la resolución reclamada.
Esto es, como parte del deber de cuidado que los partido políticos y su personal, como es el caso de Juan Pablo Arellano Fonseca, deben tener respecto del uso, manejo y resguardo adecuado de la información contenida en las Listas Nominales de Electores para Revisión está también la eliminación o destrucción de todo aquél dispositivo diferente al entregado por la autoridad, llámese un computador independiente, un disco duro, un portal cibernético, o cualquier tipo de almacenamiento de información digital, esto una vez que concluya la actividad de revisión.
…
Que existe plena identidad entre el servidor de Internet de Amazon Web Services, con dirección IP 52.6.226.190:27017, en donde, el veinte de abril de dos mil dieciséis se localizó, de forma accesible al público en general, la información correspondiente al Listado Nominal de Electores para su revisión, en el marco del Proceso Electoral 2014-2015, y aquél que sirvió como repositorio de MC, para almacenar esa base de datos, que le fue brindada por la DERFE un año antes, es decir, el doce de febrero de dos mil quince.
Que existe plena identidad y coincidencia entre la información encontrada en el servidor de Amazon Web Services, relativa al Listado Nominal de Electores tantas veces referido, con aquella que fue entregada a MC, cifrada a nombre de Juan Pablo Arellano Fonseca, de conformidad con las marcas de rastreabilidad que le fueron asignadas, cuyo contenido fueron 93'424,710 registros de ciudadanos mexicanos, es decir, la totalidad de las Listas Nominales a esa fecha.
Que a partir del tres de marzo de dos mil quince, Juan Pablo Arellano Fonseca fue el encargado de administrar el servidor IP:52.6.226.190:27017, de Amazon Web Services.
Que Juan Pablo Arellano Fonseca, una vez que recibió la administración del IP: 52.6.226.190:27017, de Amazon Web Services realizó las acciones necesarias a fin de salvaguardar la información de Listado Nominal de Electores en la referida cuenta.
Que el trece de marzo de dos mil quince, MC regresó formalmente la información que previamente le había sido entregada por la DERFE, correspondiente al Listado Nominal de Electores, cifrada a nombre de Juan Pablo Arellano Fonseca y, bajo esta lógica, a partir de este momento, ya no debía poseer o conservar, en medio impreso o en formato digital, copia alguna de este material electoral; máxime que él fue el encargado de administrar la información que en su momento tuyo en posesión y por tanto, él era el obligado directo de garantizar su eliminación, a partir del trece de marzo de dos mil quince de la información electoral proporcionada.
De lo reproducido se advierte que la responsable no incurrió en la omisión que se le atribuye.
Así, por ejemplo, estableció que como parte del deber de cuidado que los partidos políticos y su personal, como es el caso de Juan Pablo Arellano Fonseca, deben tener respecto del uso, manejo y resguardo adecuado de la información contenida en la lista nominal de electores para revisión, estaba la eliminación o destrucción de todo aquél dispositivo diferente al entregado por la autoridad, llámese un computador independiente, un disco duro, un portal cibernético, o cualquier tipo de almacenamiento de información digital, esto una vez que concluya la actividad de revisión.
Advirtió que en el caso, existía plena identidad entre el servidor de Internet de Amazon Web Services, con dirección IP 52.6.226.190:27017, en donde, el veinte de abril de dos mil dieciséis se localizó, de forma accesible al público en general, la información correspondiente al listado nominal de electores para su revisión, en el marco del proceso electoral 2014-2015, y aquél que sirvió como repositorio de MC, para almacenar esa base de datos, que le fue brindada por la DERFE un año antes, es decir, el doce de febrero de dos mil quince.
Estableció que existía plena identidad y coincidencia entre la información encontrada en el servidor de Amazon Web Services, relativa al listado nominal de electores tantas veces referido, con aquella que fue entregada a MC, cifrada a nombre de Juan Pablo Arellano Fonseca, de conformidad con las marcas de rastreabilidad que le fueron asignadas.
Advirtió que a partir del tres de marzo de dos mil quince, Juan Pablo Arellano Fonseca fue el encargado de administrar el servidor IP:52.6.226.190:27017, de Amazon Web Services; una vez que recibió la administración, realizó las acciones necesarias a fin de salvaguardar la información de listado nominal de electores en la referida cuenta.
Empero, el trece de marzo de dos mil quince, MC regresó formalmente la información que previamente le había sido entregada por la DERFE, correspondiente al listado nominal de electores, cifrada a nombre de Juan Pablo Arellano Fonseca y, bajo esta lógica, a partir de este momento, ya no debía poseer o conservar, en medio impreso o en formato digital, copia alguna de este material electoral; máxime que él fue el encargado de administrar la información que en su momento tuvo en posesión y por tanto, él era el obligado directo de garantizar su eliminación, a partir del trece de marzo de dos mil quince de la información electoral proporcionada.
Lo expuesto pone de relieve que es inexacto que la responsable no incurrió en la omisión que se le atribuye; además, las consideraciones con base en las cuales resolvió en el sentido en que lo hizo no son controvertidas, por lo que deben seguir rigiendo el sentido de la resolución reclamada.
4.2.4. Individualización de la sanción.
4.2.4.1. La parte recurrente alega que:
• MC afirma que sin ninguna relación lógico jurídica, se califica la falta como grave ordinaria y se determina que la sanción aplicable debe ser la reducción del (10%) del financiamiento público ordinario anual para el presente ejercicio dos mil dieciocho, sin que para ello exista fundamentación y motivación, pero sí una indebida e insuficiente valoración de pruebas, como lo corroboran las inconsistencias y contradicciones en que incurrió la responsable a lo largo de toda la resolución, así como las violaciones legales y constitucionales que cometió, tanto en la substanciación del procedimiento, como en la resolución entre las que destacan “la violación al debido proceso, a la presunción de inocencia, al de tipicidad, al de justicia pronta y expedita, entre otros derechos”.
• José Manuel del Río Virgen alega que sin ninguna relación lógico-jurídica se califica la falta como grave ordinaria y se determina que la sanción aplicable debe ser una multa de trescientas ocho UMAS[44], sin que proceda la imposición de alguna sanción, porque no desplegó alguna conducta ilegal.
• Juan Pablo Arellano Fonseca aduce que sin alguna relación lógico jurídica, se califica la falta como grave ordinaria y se determina que la sanción aplicable debe ser una multa de trescientas ocho UMAS[45], sin que proceda la imposición de sanción alguna, pues primeramente debe estar plena y legalmente acreditado que se cometió una infracción, y como ha quedado acreditado, no se desplegó ninguna conducta ilegal.
Consideraciones de esta Sala Superior.
Son infundados los agravios, porque la indebida calificación de la falta, la sustentan en que no desplegaron alguna conducta indebida, lo cual es inexacto, por que como se puso de relieve, su proceder sí fue transgresor de la normativa electoral aplicable.
A mayor abundamiento, cabe decir que las consideraciones de la responsable, con base en las cuales se consideró grave la falta y se individualizó la sanción, no son combatidas, por lo que deben prevalecer rigiendo el sentido de la resolución en que se dictaron.
En efecto, la autoridad responsable al dictar la resolución reclamada sostuvo que, para calificar debidamente la falta, se debían valorar los siguientes elementos:
a. Tipo de infracción.
b. Bien jurídico tutelado.
c. Singularidad o Pluralidad de la falta.
d. Circunstancias de tiempo, modo y lugar de la infracción.
e. Comisión dolosa o culposa de la falta.
f. Reiteración de infracción o vulneración sistemática de las normas.
g. Condiciones externas y medios de ejecución.
Una vez valorados, la responsable consideró “...que los sujetos denunciados, al mostrar una actitud despreocupada, ligera y poco responsable, en relación con el deber de cuidado que se encontraban obligados a observar para el oportuno y correcto resguardo de la información que tuvieron bajo su custodia, según cada una de las circunstancias y condiciones particulares que estos mostraron, transgredieron de manera directa las previsiones contenidas en la norma, relativas a garantizar que el partido político, siempre y en todo momento, resguardase la confidencialidad y secrecía que debía imperar en el manejo de la información reservada que le fue proporcionada por esta autoridad, en términos de lo dispuesto en los artículos 6, 16, párrafo segundo y 41 Constitucionales, así como 126 y 148 de la LGIPE.
Es decir, el indebido resguardo y protección de la información que le fue proporcionada a MC, por parte de los sujetos que tuvieron en sus manos esa información, si bien es calificada por esta autoridad como una conducta culposa de carácter omisiva, no debe perderse de vista que tuvo un efecto por demás pernicioso sobre la base de datos que integra el Padrón Electoral de la cual se deriva la Lista Nominal de Electores, al haberse demostrado la conservación y posterior exposición indebida de 93'424,710 (noventa y tres millones cuatrocientos veinticuatro mil setecientos diez) registros, con información personal de ciudadanos mexicanos.
Por ello, atendiendo al bien jurídico tutelado que, en el caso, es la confidencialidad de los datos personales de los ciudadanos que integran el Listado Nominal, se atentó contra la misma, como consecuencia de la falta de cuidado y casi nula salvaguarda mostrada por los denunciados, lo que transgredió de manera grave las disposiciones constitucionales y legales ya citadas, si se toma en consideración que el objeto sobre el cual recayó la falta de cuidado, fue precisamente el Listado Nominal de Electores, instrumento fundamental para el fortalecimiento de la democracia en México y una de las mayores bases de datos confidenciales con que cuenta esta Nación.”
Respecto a la individualización de la sanción analizó los siguientes elementos:
a. Calificación de la gravedad de la infracción.
b. Monto del beneficio, lucro, daño o perjuicio derivado de la infracción.
c. Reincidencia.
d. Sanción a imponer.
e. Condiciones socio económicas del infractor.
f. Impacto den las actividades del infractor.
En cuanto a la gravedad de la falta, estableció que “...una vez acreditada la infracción, esta autoridad electoral debe determinar, en principio, si la falta fue levísima, leve o grave, y en caso del último supuesto, precisar si se trata de una gravedad ordinaria, especial o mayor.
Luego entonces, debe mencionarse que el criterio que esta autoridad ha considerado para la imposición de la calificación de la infracción, se basa en diversos elementos objetivos y subjetivos que concurrieron en la acción que produjo la infracción electoral, tales como el tipo de infracción; el bien jurídico tutelado; singularidad y pluralidad de la falta; las circunstancias de tiempo, modo y lugar; el dolo o culpa; la reiteración de infracciones; las condiciones externas y los medios de ejecución.
En el caso que nos ocupa, para la graduación de la falta, se deben tomar en cuenta las siguientes circunstancias:
• Se realizaron conductas en contravención al derecho a la confidencialidad de datos personales y protección de información relativa a la vida privada previsto en normas de carácter constitucional y legal, en perjuicio de 93'424,710 (noventa y tres millones cuatrocientos veinticuatro mil setecientos diez).
• El bien jurídico tutelado en el caso concreto es la preservación de la confidencialidad de la información que se refiere a la vida privada y a los datos personales de los gobernados.
• Está acreditado que a partir del trece de marzo de dos mil quince, los denunciados omitieron eliminar y/o destruir la totalidad de la información correspondiente al Listado Nominal de Electores para su revisión, que les fue entregado por la DERFE.
• Está acreditado que al menos en el periodo comprendido entre el veinte al veintidós de abril de dos mil dieciséis, la información del servidor IP 52.6.226.190, puerto 27017, de Amazon Web Services, estuvo disponible sin mediar contraseña alguna.
• Faltaron de manera manifiesta a su deber de cuidado en el uso, manejo, custodia y resguardo de la información que los ciudadanos entregaron a esta autoridad electoral, para la conformación del Padrón Electoral y Listas Nominales.
• No existió una vulneración reiterada de la normativa electoral.
•No implicó una pluralidad de infracciones o faltas administrativas, toda vez que se configuró una sola conducta infractora por cada denunciado.
• La falta de cuidado propició que la información del listado nominal, una vez que había concluido la finalidad para la cual se les entregó, y posteriormente que se publicara indebidamente en Internet, el cual es un medio de comunicación social de alcance global.
• Se trata de una infracción por omisión.
• Es una infracción de carácter culposa, al no estar acreditado el dolo en su comisión.
• No se afectó en forma sustancial la preparación o desarrollo de algún Proceso Electoral.
Por lo anterior, y en atención a los elementos objetivos precisados con antelación, se considera procedente calificar la falta en que incurrieron MC, Juan Pablo Arellano Fonseca y José Manuel del Río Virgen como de gravedad ordinaria.”
Como se ve, la responsable tomó en cuenta distintos elementos en el momento en que calificó la falta e individualizó la sanción.
Así, la responsable estimó que la sanción prevista por el artículo 456, párrafo 1, inciso a), fracción III, de la LEGIPE, consistente en la reducción, según la gravedad de la falta, hasta del 50% de las ministraciones del financiamiento público, era la idónea para MC, al considerar que se violaron principios constitucionales como son la confidencialidad de los datos personales de la ciudadanía y el derecho a la intimidad, entre otros.
Es decir, la autoridad consideró apropiado imponer como sanción a MC la reducción de un diez por ciento (10%) del financiamiento público ordinario anual para el ejercicio 2018, que equivale a $34’158,411.30 (TREINTA Y CUATRO MILLONES CIENTO CINCUENTA Y OCHO MIL CUATROCIENTOS ONCE PESOS 30/100 M.N.), para generar un efecto inhibidor sobre la infracción cometida y en el futuro vigilar el cumplimiento de las normas electorales vulneradas.
Por lo que respecta a Juan Pablo Arellano Fonseca y José Manuel del Río Virgen, la responsable estimó que la sanción contenida en el artículo 456, párrafo 1, inciso e), fracción II, de la LEGIPE, consistente en una multa, es idónea para cumplir con una función preventiva, para que los infractores se abstuvieran de incurrir en la misma falta en ocasiones futuras, al considerar que se transgredieron principios constitucionales de confidencialidad de la ciudadanía.
De acuerdo con lo anterior y tomando en cuenta cada uno de los elementos que se analizaron en la resolución, se consideró procedente imponer como sanción una multa de trescientas ocho UMA, equivalente a $22,496.32 (VEINTIDÓS MIL CUATROCIENTOS NOVENTA Y SEIS PESOS 32/100 M.N.)
Pues bien, como ya se dijo, los recurrentes omiten confrontar las consideraciones de la autoridad responsable, en tanto que sus argumentos son dogmáticos en cuanto que se limitan a sostener que sin ninguna relación lógico-jurídica, se califica la falta como grave ordinaria, mas nunca confronta ese dicho con las razones expresadas por la responsable, pero nada dice respecto de los argumentos con base en los cuales la responsable calificó como grave ordinaria la falta e individualizó las sanciones, las cuales ante la falta de impugnación deben seguir firmes, rigiendo el sentido de la resolución en se dictaron.
Además de que, como se expuso, la autoridad responsable sí esgrime las razones del porque calificó la falta como grave ordinaria.
En consecuencia, al haber resultado infundados e inoperantes los agravios hechos valer por los recurrentes, lo procedente es confirmar la resolución impugnada.
Por lo expuesto y fundado, se
R E S U E L V E
PRIMERO. Se acumulan los recursos de apelación SUP-RAP-114/2018 y SUP-RAP-115/2018, al diverso SUP-RAP-96/2018, por ser éste el más antiguo; en consecuencia, glósese copia certificada de los puntos resolutivos de la presente ejecutoria en los expedientes acumulados.
SEGUNDO. Se confirma, en lo que fue materia de impugnación, la resolución impugnada.
NOTIFÍQUESE como en Derecho corresponda.
En su oportunidad, archívese el presente expediente como asunto concluido y, de ser el caso, devuélvanse los documentos atinentes.
Así, por unanimidad de votos, lo resolvieron las Magistradas y los Magistrados que integran la Sala Superior del Tribunal Electoral del Poder Judicial de la Federación, ante la Secretaria General de Acuerdos quien autoriza y da fe.
MAGISTRADA PRESIDENTA
JANINE M. OTÁLORA MALASSIS | |
MAGISTRADO
FELIPE DE LA MATA PIZAÑA |
MAGISTRADO
FELIPE ALFREDO FUENTES BARRERA |
MAGISTRADO
INDALFER INFANTE GONZALES |
MAGISTRADO
REYES RODRÍGUEZ MONDRAGÓN |
MAGISTRADA
MÓNICA ARALÍ SOTO FREGOSO |
MAGISTRADO
JOSÉ LUIS VARGAS VALDEZ |
SECRETARIA GENERAL DE ACUERDOS
MARÍA CECILIA SÁNCHEZ BARREIRO | |