•Ordena presentar denuncia ante el Órgano Interno de Control por probable responsabilidad del jefe del Departamento de Sistematización de Pagos
•Da vista al INAI para que resuelva sobre publicación de datos personales en página de la Secretaría de Salud federal
Xalapa, Ver., 22 de agosto de 2018.- El Instituto Veracruzano de Acceso a la Información y Protección de Datos Personales (IVAI) realizó la primera investigación de oficio con relación a una posible vulneración en el tratamiento de datos personales, encontrando probable responsabilidad en el jefe del Departamento de Sistematización de Pagos de los Servicios de Salud, ya que al no implementar medidas de seguridad en los datos personales que se tratan en el desarrollo de su función, estos se vieron comprometidos en su integridad.
El órgano lo determinó así al resolver el expediente de investigación IVAI-INVS/01/2017 y acumulados, que comprendió el análisis de un total de 1,547 denuncias. La primera se formó luego de que una persona solicitara verificación a las empresas BINHARD INNOVATIÓN S.A. DE C.V y ONKOUS MEXICO S.A. DE CV; y denunciara por la cesión de sus datos personales al Servicio de Administración Tributaria (SAT), así como a la Secretaría de Salud del Estado de Veracruz (SS), señalando además la usurpación de su identidad.
Si bien días después la persona manifestó que no deseaba interponer denuncia en contra de la Secretaría de Salud, el IVAI le indicó que ello no generaba la extinción de la investigación pues –conforme a la Ley 316 de Protección de Datos Personales en Posesión de los Sujetos Obligados para el Estado de Veracruz–, el órgano garante está facultado para proceder de oficio, ya que para ello solo se requiere que se tenga la presunción de una posible transgresión a la normatividad.
Respecto a la verificación de las empresas mencionadas y a la denuncia al SAT, el tema es competencia del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), por lo que el IVAI remitió copia del correo electrónico enviado por el denunciante al órgano garante nacional; y sobre la usurpación de identidad, remitió copia del correo a la Fiscalía General del Estado de Veracruz, para que ambas autoridades determinaran lo que correspondiese.
Por su parte, el IVAI solicitó diversa información a la Secretaría de Salud para contar con elementos suficientes; le requirió –entre otras cosas–: que informara si había recabado datos personales del denunciante y de otros servidores públicos, cuáles, quién los recabó, cómo y con qué finalidad; si solicitó el consentimiento y cómo lo hizo; si había transferido datos personales, las circunstancias y finalidades con que lo realizó; y si había recibido quejas respecto al tratamiento de esta información.
Asimismo, se le pidió que informara las medidas de seguridad técnicas, físicas y administrativas adoptadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee; los datos de la empresa que genera el Comprobante Fiscal Digital por Internet (CFDI); y si había sufrido violaciones a su sistema de datos personales; a qué aseguradoras y a qué casas financieras les había proporcionado datos personales de sus servidores públicos y cuáles.
Dado que la SS manifestó que en el proceso de timbrado de nómina interviene la Secretaría de Finanzas y Planeación (Sefiplan), a esta se le requirió que informara, entre otros: cuáles eran los datos personales que le había transferido la SS sobre sus trabajadores, por qué medio y motivo; las medidas de seguridad técnicas, físicas y administrativas que adoptó; datos de la empresa que genera el CFDI y si había sufrido violaciones a su sistema de datos personales.
Finalmente, al Sindicato Nacional de Trabajadores de la Secretaría de Salud, sección 26, el IVAI le pidió que señalara si había recabado datos personales de sus agremiados, cuáles y con qué finalidad.
Durante los meses posteriores se recibieron en el Instituto 1,546 denuncias en los mismos términos que la originalmente presentada.
Tras el cúmulo de información obtenida durante el proceso de investigación, los comisionados del IVAI determinaron realizar una verificación en las instalaciones de la SS y de Sefiplan para constatar si las medidas de seguridad físicas, administrativas y técnicas adoptadas e implementadas eran eficaces y señalar si eran o no vulnerables los datos personales de los denunciantes. Ambas dependencias dieron acceso al personal del Instituto para que pudiera observar, tomar notas y material fotográfico de diversos procedimientos.
De la revisión en la Secretaría de Salud, el IVAI detectó que el aplicativo que se utiliza para capturar la información del personal (nombre, RFC, CURP, cuenta bancaria, entre otros) para generar la nómina de contrato y de suplencia se encontraba desarrollado en un lenguaje de programación obsoleto; que el Sistema Integral de Administración de Personal (SIAP) en el que se genera la nómina de base estaba basado en un sistema operativo Theos, sin las últimas actualizaciones y sin licencia vigente; lo cual representaba una vulnerabilidad en la seguridad del software.
Además, que los tres servidores donde se tenía instalado el SIAP se encontraban en el área de trabajo del Departamento de Sistematización de Pagos sin las condiciones ambientales, eléctricas, de espacio y de acceso que se requiere. Aunado a que de uno de los servidores se encontraba abierto el gabinete, expuesto a todo personal que ingresase al Departamento; por lo que al no tener un control de acceso solo a personal autorizado, existía riesgo de sustracción de información o de daño a la misma.
De igual manera, la información necesaria para realizar la nómina de los empleados se encontraba almacenada en texto plano, por lo que no se utilizaba algún método de encriptación que permitiera proteger los datos.
Al quedar acreditada tanto la vulneración a las medidas de seguridad como a datos personales, los comisionados del IVAI ordenaron que se presente denuncia ante el Órgano Interno de Control de la Secretaría de Salud y Servicios de Salud de Veracruz para que determine lo que en derecho proceda con relación a la probable responsabilidad atribuible al jefe del Departamento de Sistematización de Pagos de los Servicios de Salud, por ser el responsable de funciones relacionadas con el tratamiento de datos personales por la emisión de la nómina.
Por otro lado, la Secretaría de Salud de Veracruz deberá atender diversas medidas de seguridad que le fueron ordenadas en la resolución para evitar que continúe la vulneración a datos personales. Respecto a Sefiplan, se resolvió que en cuanto hace a su intervención en el proceso de timbrado de nómina de la SS, no se acreditó vulneración alguna.
Finalmente, los comisionados Yolli García Alvarez, José Rubén Mendoza Hernández y Arturo Mariscal Rodríguez ordenaron dar vista al INAI para que determine lo que corresponda, ya que detectaron que en la página de la Secretaría de Salud del gobierno federal se publican datos personales de trabajadores de la Secretaría de Salud de Veracruz que esta envía en cumplimiento a normatividad de contabilidad gubernamental, pero está en formatos que no corresponden a la legislación vigente en esta materia y en la de datos personales.
En la sesión pública de hoy, el Instituto Veracruzano de Acceso a la Información y Protección de Datos Personales resolvió 24 recursos de revisión y 1,547 expedientes de investigación en materia de datos personales, emitiendo 23 sentencias.