Inai prevé multa de hasta 33 mdp por mega filtración de datos médicos

Gustavo Parra, secretario de Protección de Datos Personales del Inai, recordó la multa histórica que se le impuso a una empresa bancaria donde se vieron comprometidos “datos sensibles”

Por Aabye Vargas

La empresa mexicana de telemedicina Hova Health podría recibir una multa de hasta 33 millones de pesos por dejar expuesta la información personal y de salud de dos millones 373 mil 764 personas, así lo advirtió a Publimetro el secretario de Protección de Datos Personales del Instituto Nacional de Transparencia, Acceso a la Información (Inai), Gustavo Parra.

La filtración de datos la dio a conocer por medio de su cuenta de Twitter el investigador en ciberseguridad Bob Diachenko, quien aseguró que en la plataforma MongoDB se expuso nombres de pacientes, fechas de nacimiento, información relacionada a la salud, CURP, números de sus pólizas de seguro y correos electrónicos; además el especialista identificó como supuesto propietario de la información a dicha compañía.

“Cuando se dio a conocer este hallazgo en redes sociales tomamos nota de esta especie de denuncia y nos hemos abocado a recabar evidencia, empezar una indagatoria para hacernos de elementos y poder activar nuestras facultades de investigación de oficio”, precisó el funcionario al resaltar que las multas se pueden duplicar si se tratan de datos sensibles (como los de salud), y recordó que “históricamente la multa más alta que se ha establecido es de alrededor de 33 millones de pesos” por un caso similar a éste.

A partir de que se abra la investigación de oficio –que prevén sea la siguiente semana– se tendrá aproximadamente 180 días para que el Inai determine si Hova Health es responsable de la exposición de datos y si hubo usuarios afectados, aunque el director y fundador de la empresa de telemedicina, Alexis Nickin, aseguró que la información “no fue descargada”.

“Desde 2010 la ley establece obligaciones a todos los particulares que traten datos personales, sean empresas o personas físicas. Principalmente tienen que cumplir el deber de confidencialidad, de seguridad administrativa y tecnológica o técnica, de acuerdo al tipo de datos que trata. Vamos a ver en este caso completamente si la empresa cumplió o si se trató de una falla”, precisó.

Posible causa de extorsión

La exposición de información de salud de estas personas –ubicadas, principalmente, en el estado de Michoacán– podría beneficiar a farmacéuticas y propiciar casos de extorsión, indicó a esta casa editorial Israel Mucio Hernández, ex comisionado presidente del Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales de la Ciudad de México (Infodf).

“Las aseguradoras, farmacéuticas, las propias farmacias que generan una alternativa para garantizar la salud tienen una base de datos muy importante, (ya que) puedes identificar el estado de salud y cómo ha evolucionado el paciente. El crimen organizado, por ejemplo, puede utilizar esa información para plantear un mecanismo de chantaje, de extorsión en términos de ‘si no compras tal medicamento con nosotros te vas a morir o puede empeorar tu salud’”, señaló y enfatizó que esto puede beneficiar a las empresas para perfilar toda su producción.

Resaltó que los datos de salud requieren “de altísimos mecanismos de seguridad”, los cuales no se tienen actualmente. Además, puntualizó que se tiene que replantear cómo la información que se otorga no se convierta en un elemento de insumo para que ciertas empresas y negocios globales “trituren a las personas”.

“Tiene que haber una serie de buenas prácticas en donde los derechos de las personas puedan ser resguardados, porque es común que en la web profunda encuentres la venta de este tipo de información sistematizada, pero estamos hablando de procesos fuera de la ley”, recalcó.

En 36% de los casos, trabajadores extraen información

Andrés Velázquez, presidente y fundador de Mattica, laboratorio de investigación de Delitos Informáticos en América Latina, indicó que 34% de los casos de filtración se debe a una mala configuración de datos o a que administradores toman ventaja de su puesto y extraen información.

Apuntó que, a pesar de que en el país hay muchos casos de filtraciones de datos o hackeos, México tiene los mejores niveles de profesionalización en temas de protección de información y policía cibernética en América Latina.

“Del 100% de los casos, 36% tiene que ver con robo de secretos industriales o propiedad intelectual, puede ser por una mala configuración o de administradores que toman ventaja de su puesto y la extraen. 64% está divido en tema de fraudes, amenazas o violación a sistema de información (hackeo)”, puntualizó.

Velázquez confirmó que Diachenko lo contacó antes de lanzar la investigación, pero sólo para comprender datos como la CURP.

Debido a que Hova Health ha sido proveedor de equipos médicos en el estado de Michoacán, el Inai requerirá hablar con un representante de dicha empresa y de la Secretaría de Salud estatal para que dé su versión sobre la exposición de datos de más de dos millones de personas.

México se sumó a la regulación mundial de datos personales

El pasado 26 de abril se aprobó la adhesión de México al Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108) y a su Protocolo Adicional relativo a las autoridades de control y a los flujos transfronterizos de datos personales, adoptados en Estrasburgo, Francia, el 28 de enero de 1981 y el 8 de noviembre de 2001, respectivamente.

La suscripción de ambos instrumentos, de acuerdo con el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai), supondrá beneficios en términos políticos y económicos y la sociedad será la principal favorecida, pues su objetivo es regular el derecho fundamental de protección de datos personales.

TE RECOMENDAMOS:

Contenido Patrocinado
Loading...
Revisa el siguiente artículo