Universidad Veracruzana

La exposición de más de 2 millones de registros médicos de una base de datos administrada por la empresa mexicana Hova Health podría ser el caso más grave en su tipo registrado en México, de acuerdo con Gustavo Parra, secretario de Protección de Datos Personales del Inai, la autoridad federal en la materia. Parra, entrevistado este jueves sobre el caso, dijo que el Inai ya comenzó las indagatorias y estableció comunicación con el instituto de transparencia local de Michoacán para dar cauce a una investigación.

Esta semana se conoció que 2 millones 373,764 registros de pacientes del sistema de salud público en Michoacán, con datos personales sensibles, fueron puestos a disposición de cualquiera con acceso a internet. Los datos expuestos incluyen el nombre completo, la fecha de nacimiento y el género de los pacientes, su CURP, su dirección postal, el número de su póliza de seguro y la fecha de expiración. Bob Diachenko, experto en ciberseguridad y quien hizo las revelación de la exposición de los datos, dijo este jueves a El Economista que también encontró recetas médicas, diagnósticos, prescripciones y costos de tratamientos de los pacientes del sector salud en Michoacán. Según el investigador, la base de datos fue “asegurada/removida” apenas unas horas después de que estableció contacto con el responsable de la misma.

Esta exposición de los datos resguardados por Hova Health, propiedad del empresario mexicano Alexis Nickin, “en el campo privado sí pudiera ser uno de los casos de mayor envergadura que se ha conocido y que pudiéramos tener un tipo de jurisdicción”, dijo Gustavo Parra, del Inai. “Es un caso lamentable, porque además de que son datos personales son datos sensibles. Los datos médicos y los expedientes clínicos son los datos más sensibles y por supuesto se le debe dar mayor protección que a cualquier otra cosa”, dijo Areli Yamilet Navarrete, comisionada del instituto de protección de datos de Michoacán (Imaip).

El Economista se puso en contacto con el gobierno del estado de Michoacán para conocer su postura sobre el incidente sin que al momento de esta publicación hubiera respuesta alguna.

El análisis del Inai deberá confirmar si el Gobierno de Michoacán y su proveedor de software y servicios informáticos Hova Health cumplieron con las precauciones necesarias para atender los deberes de seguridad y confidencialidad establecidos en la regulación, que por lo que se conoce hasta ahora del incidente son los deberes que pudieron haber sido violados.

“Ambos procedimientos pueden ser independientes y lo más probable es que en este caso sea de esa manera, por lo que en colaboración podemos compartir información con el instituto local correspondiente”, dijo Gustavo Parra.

Esto fue confirmado por la comisionada del Instituto Michoacano de Transparencia, Acceso a la Información y Protección de Datos Personales (Imaip), Areli Yamilet Navarrete, quien añadió que el instituto local está facultado para iniciar si fuera el caso un procedimiento en contra de la Secretaría de Salud de Michoacán en cuanto se recaben las pruebas necesarias y que el Inai tendrá que hacer lo conducente en el procedimiento contra la empresa privada. “El Imaip ya está actuando de manera coordinada con el Inai y se estará informando de las decisiones que se tomen en individual y en conjunto”, dijo la comisionada.

Hasta el momento, el investigador Bob Diachenko sólo ha tenido contacto con quien administra la cuenta de correo electrónico administrador@efimed.care y puso en duda la declaración de Alexis Nickin dada a este medio acerca de que la base de datos expuesta estaba incompleta y contenía información parcial. “Por lo que he visto, los registros tienen suficiente información para hacer un perfil de 2 millones de usuarios (nombres, direcciones, ID) e historiales médicos de 100,000 usuarios”, dijo Diachenko.

Posibles sanciones a Hova Health

De acuerdo con el secretario Gustavo Parra, el Inai tuvo conocimiento de la exposición de Hova Health a partir de un artículo de Bob Diachenko publicado en su cuenta de la red social LinkedIn, por lo que ya comenzó con las indagatorias. Esto significa que ya inició la etapa de recopilación de evidencia e información, con el fin de establecer el protocolo de investigación preliminar y poder, en caso de que se encuentren elementos fundados y motivados, iniciar una investigación de oficio.

“El Inai tiene la facultad de iniciar una investigación de dos maneras: a denuncia de parte y o por facultades de oficio. En este caso, debido a que la información fue hecha pública por el investigador y por lo medios de comunicación, el Inai tiene que hacer la recopilación de evidencias y hacer una fundamentación y motivación, como lo exige la ley, para activar estas facultades de oficio, para hacer una investigación profunda y saber cuál fue la circunstancia y que los presuntos responsables hagan sus manifestaciones y sus descargas para que nosotros podamos hacer nuestro proceso y presentar las conclusiones al pleno del instituto”, dijo Gustavo Parra.

Al Inai corresponde investigar la conducta del privado Hova Health, mientras que al Imaip le tocará hacer lo respectivo frente al Gobierno de Michoacán. En caso de encontrar motivos de sanción, se impondrán las multas que determinen los respectivos plenos de los órganos garantes de la protección de datos personales. Estas multas podrían duplicarse si la autoridad concluye que fue expuesta información de carácter personal sensible, como algunos de los ítems señalados por el investigador Bob Diachenko.

“La ley estipula montos que pueden ir a más de 40 millones de pesos en el máximo y la sanción mínima ha sido de entre 8,000 y 10,000 pesos y depende de la capacidad económica del infractor, de la naturaleza del dato y de otros criterios”, dijo Gustavo Parra.

rodrigo.riquelme@eleconomista.mx