La jefa de Gobierno de la CDMX, Claudia Sheinbaum Pardo, acompañada de Pepe Merino, titular de la ADIP, en una foto de junio de 2019. Foto: Cortesía Gobierno CDMX
La jefa de Gobierno de la CDMX, Claudia Sheinbaum Pardo, acompañada de Pepe Merino, titular de la ADIP, en una foto de junio de 2019. Foto: Cortesía Gobierno CDMX

La Agencia Digital de Innovación Pública (ADIP) cometió un error técnico que expuso en Google datos personales de ciudadanos de la Ciudad de México. Se trató de información personal de quienes presentaron quejas sobre problemas o que denunciaron ilícitos en la vía pública entre agosto de 2019 y agosto de 2020.

¿Qué fue lo que pasó? Una mala configuración de un software para la gestión de quejas y denuncias por internet hizo que comunicaciones de ciudadanos estuvieran disponibles sin contraseñas ni otras medidas de seguridad en el buscador de Google y fuera posible descargarlas en formato PDF. De acuerdo con el responsable de ese sistema llamado SUAC (Sistema Unificado de Atención Ciudadana), sólo estuvieron disponibles para descarga en PDF 0.01% de las 1.6 millones de comunicaciones recibidas: 205 en total.

La bajísima cantidad de documentos disponibles para descarga reduce el número de ciudadanos afectados, pero no desaparece el error ni sus consecuencias.

Resultados de búsqueda en Google con documentos generados por el SUAC de la Agencia Digital de Innovación Pública (ADIP) que contienen datos personales. Imagen tomada de Google Search
Resultados de búsqueda en Google con documentos generados por el SUAC de la Agencia Digital de Innovación Pública (ADIP) que contienen datos personales. Imagen tomada de Google Search

La Agencia Digital de Innovación Pública fue creada para apoyar a la administración de Claudia Sheinbaum Pardo en el diseño de políticas públicas, en la gestión y el análisis de datos y en la migración digital del gobierno. La ADIP trabaja con el ideal de la nueva generación de funcionarios públicos: decisiones basadas en evidencia, un lema que puede leerse en muchos decretos oficiales desde el 5 de diciembre de 2018. Su nombre en Twitter deja muy claro que no existe una cosa parecida en la ciudad: @LaAgenciaCDMX.

Desde su concepción, esta dependencia fue asignada a Pepe Merino, un politólogo y académico del CIDE y el ITAM. En menos de dos años, Merino construyó una oficina indispensable para Sheinbaum, que ofrece consejería informativa, técnica y consultiva, con la capacidad de involucrarse en casi cualquier área de la administración. Entre las muchas cosas que la ADIP tiene a su cargo y que obligan el uso de datos personales de los ciudadanos, además del mal configurado SUAC, se encuentran:

1. Llave CDMX, una herramienta de identidad digital para realizar trámites, gestionar servicios o denunciar delitos. Esta Llave CDMX, por ejemplo, es obligatoria para tramitar placas nuevas por robo, extravío o cambio de domicilio. Para obtenerla se necesita entregar nombre completo, CURP, número de teléfono, correo electrónico y domicilio.

2. El protocolo de seguimiento a los casos de Covid-19, que tiene varias vertientes que pasan por la recopilación y análisis de datos sobre el desenvolvimiento de la pandemia (incluida la información que comparten las operadoras de telefonía móvil) hasta la atención y seguimiento a través de la app Covid-19 CDMX, de mensajes SMS y de Locatel. El protocolo tiene relacionados datos personales sensibles sobre el estado de salud de los ciudadanos.

3. La gestión de los datos que las empresas de servicios de transporte por aplicación (como Uber, DiDi y Cabify) y las empresas de servicios de micromovilidad (bicicletas compartidas y monopatines, también llamados scooters) están obligadas a entregar a la CDMX. Esta obligación provocó tensión con los operadores, porque en algunos casos exige información sensible sobre el modelo de negocio, y alertó por la posibilidad de desanonimizar los datos e identificar a sus titulares y sus respectivos patrones de conducta.

Campos de datos personales para el llenado de solicitudes en el SUAC, nombre, apellidos, correo electrónico, sexo, teléfono, edad, código postal y colonia.
Campos de datos personales para el llenado de solicitudes en el SUAC, nombre, apellidos, correo electrónico, sexo, teléfono, edad, código postal y colonia.

“Cualquier exposición de datos personales supone importantes riesgos para las personas. Pero si la exposición se produce en plataformas de denuncia ciudadana ello también podría implicar la toma de represalias en contra del denunciante, o incluso inhibir futuras denuncias ante la desconfianza que genera la debilidad de las medidas de seguridad adoptadas”, me dijo María Solange Maqueo, académica del CIDE y experta en protección de datos personales.

¿La ADIP está capacitada para cuidar los datos personales de los ciudadanos de la CDMX? El error con el SUAC, por más limitado que sea, hace dudarlo. “Una vulneración de seguridad puede dejar secuelas en el ánimo de (las personas). La confianza ciudadana puede resquebrajarse”, dijo Maqueo.

La agencia de Merino está concentrando poder a través de la acumulación de información. Sin medidas de ciberseguridad suficientes puede volverse un gran repositorio de vulnerabilidades. Y entonces nuestros problemas serán mucho más graves que la pérdida de confianza.

Luego de hacerse público en El Economista el error técnico de la ADIP con el Sistema Unificado de Atención Ciudadana (SUAC), la agencia suspendió temporalmente el servicio para “garantizar el correcto funcionamiento”. Foto: Captura de pantalla del sitio del SUAC
Luego de hacerse público en El Economista el error técnico de la ADIP con el Sistema Unificado de Atención Ciudadana (SUAC), la agencia suspendió temporalmente el servicio para “garantizar el correcto funcionamiento”. Foto: Captura de pantalla del sitio del SUAC

Nota al calce: suspensión del SUAC

El 19 de agosto, cinco días después de la publicación en El Economista del error técnico del SUAC, la ADIP suspendió la operación de ese servicio para “garantizar el correcto funcionamiento”.

Mediante un acuerdo publicado en la Gaceta Oficial de la Ciudad de México, la ADIP informó que durante la suspensión temporal del Sistema Unificado de Atención Ciudadana (SUAC), que también incluye la suspensión de plazos y términos, se realizarán “acciones de mantenimiento y verificación de infraestructura de la plataforma”, con el fin “de salvaguardar los derechos de las personas que hubieran realizado una solicitud en el ‘SUAC’, así como garantizar la captación y atención de la demanda ciudadana”.

La reactivación de los servicios del SUAC está prevista para el martes 25 de agosto.

Acuerdo sobre el SUAC de la ADIP publicado en la Gaceta Oficial de la Ciudad de México el 19 de agosto de 2020.
Acuerdo sobre el SUAC de la ADIP publicado en la Gaceta Oficial de la Ciudad de México el 19 de agosto de 2020.
Acuerdo sobre el SUAC de la ADIP publicado en la Gaceta Oficial de la Ciudad de México el 19 de agosto de 2020.
Acuerdo sobre el SUAC de la ADIP publicado en la Gaceta Oficial de la Ciudad de México el 19 de agosto de 2020.

Comentarios

economicon