La autoridad de protección de datos personales de Michoacán absolvió de cualquier responsabilidad a la Secretaría de Salud del estado por la filtración y exposición de 2.3 millones de expedientes clínicos de beneficiarios del Seguro Popular. La “responsabilidad potencial” es de la compañía privada Hova Health, dijo el comisionado presidente del Inai, Francisco Javier Acuña Llamas, quien fue el viernes 25 de enero a Michoacán a celebrar el Día Internacional de Protección de Datos Personales.

En agosto de 2018 se conoció que Hova Health, propiedad de Alexis Nickin Gaxiola, dejó a la vista de cualquier persona con acceso a internet una base de datos con 2 millones 373,764 expedientes clínicos de los pacientes del Seguro Popular, operado en Michoacán por la Secretaría de Salud local. Esa oficina estatal sostuvo entre 2015 y 2016 tres contratos con Hova Health para la administración de los sistemas de imagenología y la gestión de expedientes clínicos en 30 unidades de salud en el estado, desde el Hospital General de Morelia Dr. Miguel Silva hasta el Hospital Comunitario de Maruata y el Centro de Salud de Zacapu.

La gestión de la información de carácter personal, se especificó en los contratos SSM-LP-025/2015, SSM-LP-025/2015-01 y SSM-LP-004/2016-01, debía observar “lo señalado en la Ley Federal de Protección de Datos Personales y demás ordenamientos aplicables” y realizarse con “diligencia, ética y confidencialidad”. En la Póliza de Afiliación al Seguro Popular de Michoacán, firmada por los “titulares del núcleo familiar” —mamá, papá o cabeza de familia—, se especifica que el “Régimen Estatal de Protección Social en Salud de Michoacán de Ocampo y la Comisión Nacional de Protección Social en Salud son los responsables del uso y protección” de los datos personales recabados.

Póliza de Afiliación firmada por los beneficiarios del Seguro Popular de Michoacán.

La autoridad de protección de datos personales de Michoacán no lo vio así. El Imaip —Instituto Michoacano de Transparencia, Acceso a la Información y Protección de Datos Personales— consideró que la firma de los contratos fue anterior a la entrada en vigor de la ley estatal de protección de datos personales en posesión del gobierno local (13 de noviembre de 2017) y, por tanto, no existen pruebas que acrediten que la Secretaría de Salud de Michoacán violó alguna ley. Esta decisión se tomó el 22 de noviembre de 2018, cuando el pleno aprobó el proyecto del comisionado Daniel Chávez García sobre el expediente Imaip/Verificación_DDPP_001/2018.

Este caso representa la filtración de datos personales sensibles más grave ocurrida en México. Hova Health exhibió nombre completo, CURP (Clave Única de Registro de Población), raza, situación migratoria, discapacidad en caso de tener alguna, fecha de nacimiento, sexo, nacionalidad y dirección postal de 2.3 millones de ciudadanos de Michoacán. “Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Alexis Nickin a El Economista en agosto. Este 25 de enero, en Michoacán, el comisionado federal Acuña Llamas aseguró: “(Hova Health) es la que parece que cometió la filtración”. El caso “no quedará impune”, dijo.

El 28 de enero se celebró el Día Internacional de Protección de Datos Personales. Michoacanos, feliz día.


Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon