IVAI acredita vulneraci贸n a medidas de seguridad y datos personales por parte de la SS
Xalapa, Ver.: IVAI / Revista Tlacuilo
IVAI acredita vulneraci贸n a medidas de seguridad
y datos personales por parte de la SS

Revista Tlacuilo
Xalapa, Ver. / 2018-08-23

IVAI acredita vulneraci贸n a medidas de seguridad
y datos personales por parte de la SS

Ordena presentar denuncia ante el 脫rgano Interno de Control por probable responsabilidad del jefe del Departamento de Sistematizaci贸n de Pagos
Da vista al INAI para que resuelva sobre publicaci贸n de datos personales en p谩gina de la Secretar铆a de Salud federal

Xalapa, Ver., 22 de agosto de 2018.- El Instituto Veracruzano de Acceso a la Informaci贸n y Protecci贸n de Datos Personales (IVAI) realiz贸 la primera investigaci贸n de oficio con relaci贸n a una posible vulneraci贸n en el tratamiento de datos personales, encontrando probable responsabilidad en el jefe del Departamento de Sistematizaci贸n de Pagos de los Servicios de Salud, ya que al no implementar medidas de seguridad en los datos personales que se tratan en el desarrollo de su funci贸n, estos se vieron comprometidos en su integridad.

El 贸rgano lo determin贸 as铆 al resolver el expediente de investigaci贸n IVAI-INVS/01/2017 y acumulados, que comprendi贸 el an谩lisis de un total de 1,547 denuncias. La primera se form贸 luego de que una persona solicitara verificaci贸n a las empresas BINHARD INNOVATI脫N S.A. DE C.V y ONKOUS MEXICO S.A. DE CV; y denunciara por la cesi贸n de sus datos personales al Servicio de Administraci贸n Tributaria (SAT), as铆 como a la Secretar铆a de Salud del Estado de Veracruz (SS), se帽alando adem谩s la usurpaci贸n de su identidad.

Si bien d铆as despu茅s la persona manifest贸 que no deseaba interponer denuncia en contra de la Secretar铆a de Salud, el IVAI le indic贸 que ello no generaba la extinci贸n de la investigaci贸n pues 鈥揷onforme a la Ley 316 de Protecci贸n de Datos Personales en Posesi贸n de los Sujetos Obligados para el Estado de Veracruz鈥, el 贸rgano garante est谩 facultado para proceder de oficio, ya que para ello solo se requiere que se tenga la presunci贸n de una posible transgresi贸n a la normatividad.

Respecto a la verificaci贸n de las empresas mencionadas y a la denuncia al SAT, el tema es competencia del Instituto Nacional de Transparencia, Acceso a la Informaci贸n y Protecci贸n de Datos Personales (INAI), por lo que el IVAI remiti贸 copia del correo electr贸nico enviado por el denunciante al 贸rgano garante nacional; y sobre la usurpaci贸n de identidad, remiti贸 copia del correo a la Fiscal铆a General del Estado de Veracruz, para que ambas autoridades determinaran lo que correspondiese.

Por su parte, el IVAI solicit贸 diversa informaci贸n a la Secretar铆a de Salud para contar con elementos suficientes; le requiri贸 鈥揺ntre otras cosas鈥: que informara si hab铆a recabado datos personales del denunciante y de otros servidores p煤blicos, cu谩les, qui茅n los recab贸, c贸mo y con qu茅 finalidad; si solicit贸 el consentimiento y c贸mo lo hizo; si hab铆a transferido datos personales, las circunstancias y finalidades con que lo realiz贸; y si hab铆a recibido quejas respecto al tratamiento de esta informaci贸n.

Asimismo, se le pidi贸 que informara las medidas de seguridad t茅cnicas, f铆sicas y administrativas adoptadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee; los datos de la empresa que genera el Comprobante Fiscal Digital por Internet (CFDI); y si hab铆a sufrido violaciones a su sistema de datos personales; a qu茅 aseguradoras y a qu茅 casas financieras les hab铆a proporcionado datos personales de sus servidores p煤blicos y cu谩les.

Dado que la SS manifest贸 que en el proceso de timbrado de n贸mina interviene la Secretar铆a de Finanzas y Planeaci贸n (Sefiplan), a esta se le requiri贸 que informara, entre otros: cu谩les eran los datos personales que le hab铆a transferido la SS sobre sus trabajadores, por qu茅 medio y motivo; las medidas de seguridad t茅cnicas, f铆sicas y administrativas que adopt贸; datos de la empresa que genera el CFDI y si hab铆a sufrido violaciones a su sistema de datos personales.

Finalmente, al Sindicato Nacional de Trabajadores de la Secretar铆a de Salud, secci贸n 26, el IVAI le pidi贸 que se帽alara si hab铆a recabado datos personales de sus agremiados, cu谩les y con qu茅 finalidad.

Durante los meses posteriores se recibieron en el Instituto 1,546 denuncias en los mismos t茅rminos que la originalmente presentada.

Tras el c煤mulo de informaci贸n obtenida durante el proceso de investigaci贸n, los comisionados del IVAI determinaron realizar una verificaci贸n en las instalaciones de la SS y de Sefiplan para constatar si las medidas de seguridad f铆sicas, administrativas y t茅cnicas adoptadas e implementadas eran eficaces y se帽alar si eran o no vulnerables los datos personales de los denunciantes. Ambas dependencias dieron acceso al personal del Instituto para que pudiera observar, tomar notas y material fotogr谩fico de diversos procedimientos.

De la revisi贸n en la Secretar铆a de Salud, el IVAI detect贸 que el aplicativo que se utiliza para capturar la informaci贸n del personal (nombre, RFC, CURP, cuenta bancaria, entre otros) para generar la n贸mina de contrato y de suplencia se encontraba desarrollado en un lenguaje de programaci贸n obsoleto; que el Sistema Integral de Administraci贸n de Personal (SIAP) en el que se genera la n贸mina de base estaba basado en un sistema operativo Theos, sin las 煤ltimas actualizaciones y sin licencia vigente; lo cual representaba una vulnerabilidad en la seguridad del software.

Adem谩s, que los tres servidores donde se ten铆a instalado el SIAP se encontraban en el 谩rea de trabajo del Departamento de Sistematizaci贸n de Pagos sin las condiciones ambientales, el茅ctricas, de espacio y de acceso que se requiere. Aunado a que de uno de los servidores se encontraba abierto el gabinete, expuesto a todo personal que ingresase al Departamento; por lo que al no tener un control de acceso solo a personal autorizado, exist铆a riesgo de sustracci贸n de informaci贸n o de da帽o a la misma.

De igual manera, la informaci贸n necesaria para realizar la n贸mina de los empleados se encontraba almacenada en texto plano, por lo que no se utilizaba alg煤n m茅todo de encriptaci贸n que permitiera proteger los datos.

Al quedar acreditada tanto la vulneraci贸n a las medidas de seguridad como a datos personales, los comisionados del IVAI ordenaron que se presente denuncia ante el 脫rgano Interno de Control de la Secretar铆a de Salud y Servicios de Salud de Veracruz para que determine lo que en derecho proceda con relaci贸n a la probable responsabilidad atribuible al jefe del Departamento de Sistematizaci贸n de Pagos de los Servicios de Salud, por ser el responsable de funciones relacionadas con el tratamiento de datos personales por la emisi贸n de la n贸mina.

Por otro lado, la Secretar铆a de Salud de Veracruz deber谩 atender diversas medidas de seguridad que le fueron ordenadas en la resoluci贸n para evitar que contin煤e la vulneraci贸n a datos personales. Respecto a Sefiplan, se resolvi贸 que en cuanto hace a su intervenci贸n en el proceso de timbrado de n贸mina de la SS, no se acredit贸 vulneraci贸n alguna.

Finalmente, los comisionados Yolli Garc铆a Alvarez, Jos茅 Rub茅n Mendoza Hern谩ndez y Arturo Mariscal Rodr铆guez ordenaron dar vista al INAI para que determine lo que corresponda, ya que detectaron que en la p谩gina de la Secretar铆a de Salud del gobierno federal se publican datos personales de trabajadores de la Secretar铆a de Salud de Veracruz que esta env铆a en cumplimiento a normatividad de contabilidad gubernamental, pero est谩 en formatos que no corresponden a la legislaci贸n vigente en esta materia y en la de datos personales.

En la sesi贸n p煤blica de hoy, el Instituto Veracruzano de Acceso a la Informaci贸n y Protecci贸n de Datos Personales resolvi贸 24 recursos de revisi贸n y 1,547 expedientes de investigaci贸n en materia de datos personales, emitiendo 23 sentencias.