Folletos del Seguro Popular de Michoacán.

El instituto de protección de datos personales de Michoacán, el Imaip, inició un procedimiento de verificación de oficio por la filtración de 2 millones 373,764 de expedientes clínicos de los pacientes del Seguro Popular. La filtración se conoció a principios de agosto e involucra a la compañía privada Hova Health, contratista de la Secretaría de Salud de Michoacán y que ha operado servicios de imagenología y de expediente clínico electrónico. Su director y fundador, Alexis Nickin Gaxiola, reconoció a El Economista el 8 de agosto pasado que la información con datos personales sensibles estuvo expuesta y aseguró que “no fue descargada”.

El Imaip quiere encontrar las pistas sobre la exposición de datos personales de ciudadanos de Michoacán en la nube de Amazon (AWS), que eran resguardados por Hova Health. El caso puede ser el más grave ocurrido en el sector privado mexicano y podría acarrear una sanción máxima de 40 millones de pesos por la filtración de datos de carácter sensible, como el estado de salud o el origen étnico o racial.

Esto es lo que sabemos hasta hoy:

  1. El Imaip inició el procedimiento de verificación de oficio el martes 11 de septiembre, cuatro semanas después de que el investigador Bob Diachenko revelara que información personal sensible de los pacientes del Seguro Popular estaba disponible sin protección en internet. El Imaip tiene 50 días hábiles para concluir la investigación. Representantes de la Secretaría de Salud de Michoacán se reunieron en la semana posterior a la revelación con Gerardo Parra Noriega, entonces secretario de Protección de Datos de la autoridad federal, el Inai, para informarle del caso. Parra es ahora comisionado del instituto de protección de datos del Estado de México, el Infoem.
  2. La Póliza de Afiliación firmada por los beneficiarios del Seguro Popular de Michoacán asegura que el “Régimen Estatal de Protección Social en Salud de Michoacán de Ocampo y la Comisión Nacional de Protección Social en Salud son los responsables del uso y protección” de los datos personales recabados.
  3. El procedimiento del Imaip es de oficio porque nadie presentó denuncia ante el Imaip. Podemos atribuir esta ausencia de denuncias al desconocimiento de los posibles afectados de su derecho fundamental a la protección de datos personales. Esta materia es de reciente aplicación en México: la ley federal que regula a los privados es del 5 de julio de 2010 y su reglamento, del 21 de diciembre de 2011. La ley general para el sector público es del 26 de enero de 2017 y la ley michoacana, del 13 de noviembre de 2017. Falta mayor trabajo de divulgación de los institutos de protección de datos personales, de la academia, de la sociedad civil y de los medios de comunicación para sensibilizar a los ciudadanos sobre la relevancia de la protección de datos personales.
  4. Los casi 2.4 millones de expedientes clínicos pertenecen a beneficiarios del Seguro Popular, población que no cuenta con seguridad social del IMSS ni del ISSSTE, lo que significa que no se encuentran empleados en el sector formal y sus niveles de ingreso no rebasan los 4,116 pesos mensuales. Es población catalogada en los deciles socioeconómicos I y II, los más bajos. El decil I tiene un promedio de ingresos trimestrales de 6,820 pesos y el decil II, de 12,350 pesos.
  5. La Secretaría de Salud de Michoacán, que encabeza Diana Celia Carpio, aseguró en un comunicado que cuando concluyan las investigaciones pedirá a Hova Health que destruya la información que todavía se encuentra bajo su resguardo, originada de tres contratos firmados entre 2015 y 2016 por un total máximo de 128 millones de pesos. Bernardo Calderón Gaxiola, primo de Alexis Nickin, es asesor de Carpio y en 2017 fue director de Operación y Afiliación del Seguro Popular de Michoacán.

Este artículo originalmente se publicó en El Economista el 16 de septiembre de 2018.

Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon