*Ordena presentar
denuncia ante el Órgano Interno de Control por probable responsabilidad del
jefe del Departamento de Sistematización de Pagos.
*Da
vista al INAI para que resuelva sobre publicación de datos personales en página
de la Secretaría de Salud federal.
Tribuna Libre.- El Instituto Veracruzano de Acceso a la
Información y Protección de Datos Personales (IVAI) realizó la primera
investigación de oficio con relación a una posible vulneración en el tratamiento
de datos personales, encontrando probable responsabilidad en el jefe del
Departamento de Sistematización de Pagos de los Servicios de Salud, ya que al
no implementar medidas de seguridad en los datos personales que se tratan en el
desarrollo de su función, estos se vieron comprometidos en su integridad.
El órgano lo determinó así al resolver el
expediente de investigación IVAI-INVS/01/2017 y acumulados, que comprendió el
análisis de un total de 1,547 denuncias. La primera se formó luego de que una
persona solicitara verificación a las empresas BINHARD INNOVATIÓN S.A. DE C.V y
ONKOUS MEXICO S.A. DE CV; y denunciara por la cesión de sus datos personales al
Servicio de Administración Tributaria (SAT), así como a la Secretaría de Salud
del Estado de Veracruz (SS), señalando además la usurpación de su identidad.
Si bien días después la persona manifestó que
no deseaba interponer denuncia en contra de la Secretaría de Salud, el IVAI le
indicó que ello no generaba la extinción de la investigación pues –conforme a
la Ley 316 de Protección de Datos Personales en Posesión de los Sujetos
Obligados para el Estado de Veracruz–, el órgano garante está facultado para
proceder de oficio, ya que para ello solo se requiere que se tenga la
presunción de una posible transgresión a la normatividad.
Respecto a la verificación de las empresas
mencionadas y a la denuncia al SAT, el tema es competencia del Instituto
Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales (INAI), por lo que el IVAI remitió copia del correo electrónico
enviado por el denunciante al órgano garante nacional; y sobre la usurpación de
identidad, remitió copia del correo a la Fiscalía General del Estado de
Veracruz, para que ambas autoridades determinaran lo que correspondiese.
Por su parte, el IVAI solicitó diversa información
a la Secretaría de Salud para contar con elementos suficientes; le requirió
–entre otras cosas–: que informara si había recabado datos personales del
denunciante y de otros servidores públicos, cuáles, quién los recabó, cómo y
con qué finalidad; si solicitó el consentimiento y cómo lo hizo; si había
transferido datos personales, las circunstancias y finalidades con que lo
realizó; y si había recibido quejas respecto al tratamiento de esta
información.
Asimismo, se le pidió que informara las medidas
de seguridad técnicas, físicas y administrativas adoptadas para garantizar la
confidencialidad, integridad y disponibilidad de los datos personales que
posee; los datos de la empresa que genera el Comprobante Fiscal Digital por
Internet (CFDI); y si había sufrido violaciones a su sistema de datos
personales; a qué aseguradoras y a qué casas financieras les había
proporcionado datos personales de sus servidores públicos y cuáles.
Dado que la SS manifestó que en el proceso de
timbrado de nómina interviene la Secretaría de Finanzas y Planeación
(Sefiplan), a esta se le requirió que informara, entre otros: cuáles eran los
datos personales que le había transferido la SS sobre sus trabajadores, por qué
medio y motivo; las medidas de seguridad técnicas, físicas y administrativas
que adoptó; datos de la empresa que genera el CFDI y si había sufrido
violaciones a su sistema de datos personales.
Finalmente, al Sindicato Nacional de
Trabajadores de la Secretaría de Salud, sección 26, el IVAI le pidió que señalara
si había recabado datos personales de sus agremiados, cuáles y con qué
finalidad.
Durante los meses posteriores se recibieron
en el Instituto 1,546 denuncias en los mismos términos que la originalmente
presentada.
Tras el cúmulo de información obtenida
durante el proceso de investigación, los comisionados del IVAI determinaron
realizar una verificación en las instalaciones de la SS y de Sefiplan para
constatar si las medidas de seguridad físicas, administrativas y técnicas
adoptadas e implementadas eran eficaces y señalar si eran o no vulnerables los
datos personales de los denunciantes. Ambas dependencias dieron acceso al
personal del Instituto para que pudiera observar, tomar notas y material
fotográfico de diversos procedimientos.
De la revisión en la Secretaría de Salud, el
IVAI detectó que el aplicativo que se utiliza para capturar la información del
personal (nombre, RFC, CURP, cuenta bancaria, entre otros) para generar la
nómina de contrato y de suplencia se encontraba desarrollado en un lenguaje de
programación obsoleto; que el Sistema Integral de Administración de Personal
(SIAP) en el que se genera la nómina de base estaba basado en un sistema
operativo Theos, sin las últimas actualizaciones y sin licencia vigente; lo
cual representaba una vulnerabilidad en la seguridad del software.
Además, que los tres servidores donde se
tenía instalado el SIAP se encontraban en el área de trabajo del Departamento
de Sistematización de Pagos sin las condiciones ambientales, eléctricas, de
espacio y de acceso que se requiere. Aunado a que de uno de los servidores se
encontraba abierto el gabinete, expuesto a todo personal que ingresase al
Departamento; por lo que al no tener un control de acceso solo a personal autorizado,
existía riesgo de sustracción de información o de daño a la misma.
De igual manera, la información necesaria
para realizar la nómina de los empleados se encontraba almacenada en texto
plano, por lo que no se utilizaba algún método de encriptación que permitiera
proteger los datos.
Al quedar acreditada tanto la vulneración a
las medidas de seguridad como a datos personales, los comisionados del IVAI
ordenaron que se presente denuncia ante el Órgano Interno de Control de la
Secretaría de Salud y Servicios de Salud
de Veracruz para que determine lo que en derecho proceda con relación a la
probable responsabilidad atribuible al jefe del Departamento de Sistematización
de Pagos de los Servicios de Salud, por ser el responsable de funciones
relacionadas con el tratamiento de datos personales por la emisión de la
nómina.
Por otro lado, la Secretaría de Salud de
Veracruz deberá atender diversas medidas de seguridad que le fueron ordenadas
en la resolución para evitar que continúe la vulneración a datos personales.
Respecto a Sefiplan, se resolvió que en cuanto hace a su intervención en el
proceso de timbrado de nómina de la SS, no se acreditó vulneración alguna.
Finalmente, los comisionados Yolli García
Alvarez, José Rubén Mendoza Hernández y Arturo Mariscal Rodríguez ordenaron dar
vista al INAI para que determine lo que corresponda, ya que detectaron que en
la página de la Secretaría de Salud del gobierno federal se publican datos
personales de trabajadores de la Secretaría de Salud de Veracruz que esta envía
en cumplimiento a normatividad de contabilidad gubernamental, pero está en
formatos que no corresponden a la legislación vigente en esta materia y en la
de datos personales.
En la sesión pública de hoy, el Instituto
Veracruzano de Acceso a la Información y Protección de Datos Personales
resolvió 24 recursos de revisión y 1,547 expedientes de investigación en
materia de datos personales, emitiendo 23 sentencias.