Agencia digital de la CDMX expuso datos personales en Google
José Soto Galindo
15 agosto, 2020Un error técnico de la Agencia Digital de Innovación Pública (ADIP) de la Ciudad de México dejó disponibles en internet, sin contraseñas ni otras medidas de seguridad, quejas y denuncias con nombres, correos, teléfonos y domicilios de ciudadanos que utilizaron el sistema electrónico de atención ciudadana SUAC.
Denuncias y quejas de ciudadanos que se comunicaron con el Gobierno de la Ciudad de México a través de un sistema electrónico de atención ciudadana fueron indexados por el motor de búsqueda Google y estuvieron disponibles, sin medidas de protección, para cualquier persona con acceso a internet. Los mensajes, en formato PDF, contenían datos personales como: nombre completo del ciudadano, correo electrónico, sexo, teléfono, teléfono fijo, edad y domicilio (calle, número exterior, código postal, colonia y alcaldía).
Entre los mensajes disponibles para descarga sin restricciones había quejas por responsabilidades administrativas no cumplidas, denuncias de personas tomando alcohol o fumando mariguana en la vía pública, reportes de autos abandonados en la vía pública, solicitudes de reparación de desperfectos en la infraestructura (baches, fugas de agua, luminarias, retiro de azolve), peticiones de pipas de agua potable, mantenimiento de escuelas, conspiraciones y una solicitud de matrimonio.
Había documentos disponibles para descarga con fechas entre agosto de 2019 y agosto de 2020, con comunicaciones vinculadas con datos personales de los denunciantes o quejosos, como maestros, comerciantes de mercados capitalinos, vendedores del Metro, diseñadoras, escritores, beneficiarios de programas sociales de las alcaldías y vecinos muy participativos en la vida pública.
El 2 de junio de 2019, como parte de las iniciativas para digitalizar trámites y comunicaciones, el Gobierno de la CDMX, a través de la Agencia Digital de Innovación Pública (ADIP), lanzó una plataforma de atención ciudadana para presentar solicitudes de información, dudas, sugerencias, comentarios y quejas al Gobierno y a las alcaldías. La plataforma se llama Sistema Unificado de Atención Ciudadana (SUAC) y recoge las comunicaciones realizadas por los ciudadanos a través de Locatel, módulos de atención ciudadana, las redes sociales, ventanillas presenciales y por medio de la aplicación CDMX en teléfonos móviles.
El SUAC fue diseñado para recibir y dar seguimiento a solicitudes de información, dudas, sugerencias, comentarios, requerimientos, quejas y avisos para las autoridades relacionados con seguridad pública y vialidad, agua potable potable y servicios hidráulicos, quejas y demandas vecinales, protección civil, servicios urbanos y limpia, fallas de altavoces y alertas sísmicas, entre otros.
Personal de la Agencia Digital de Innovación Pública (ADIP) suspendió la posibilidad de descarga de los documentos del SUAC el miércoles 12 de agosto hacia las 4:30 de la tarde.
“No fue una exposición de datos”: ADIP
“Como tal no fue una exposición de datos personales, no fueron difundidos ni estuvieron disponibles. Lo que sucede es un error de nuestro lado en la generación de documentos PDF, que además de generar el archivo para ser enviado por mail —como pudiste comprobar— aparte dejaba disponible la URL, es decir la generaba y la dejaba ahí disponible y se podían consultar más (documentos) obviamente modificando, teniendo esta URL y modificándola”, dijo Jorge Luis Pérez Hernández, actual director de Operación Tecnológica de la Agencia Digital de Innovación Pública (ADIP) de la Ciudad de México.
La ley general de protección de datos personales que obliga a la Ciudad de México entiende como “vulneración de seguridad” el acceso no autorizado a los datos personales en posesión del sujeto obligado (artículo 38º, LGPDPPSO).
La ley también obliga a los sujetos obligados, en este caso el Gobierno de la Ciudad de México, a notificar “sin dilación alguna” a los titulares de los datos personales que fueron afectados por la vulneración. La notificación debe incluir detalles sobre el incidente, la relación de datos personales que se vieron comprometidos y las medidas que los titulares de los datos pueden tomar para proteger sus derechos patrimoniales y morales.
Pérez Hernández, de la ADIP, dijo que no se notificó a los titulares de los datos porque “en este caso no hay una confirmación de que hayan sido expuestos como tal; que hayan sido vulnerados, más que expuestos, o que fueron difundidos o algo por el estilo”. En cualquier caso, dijo, “ya estamos en contacto” con el instituto de protección de datos personales en la Ciudad de México, el InfoCDMX, “para seguir el proceso. Insisto: ni siquiera es algo que queramos o no queramos hacer, es un proceso que se tiene que llevar a cabo”.
Afectaciones para los titulares de los datos
Una exposición de datos personales puede vulnerar la seguridad física y moral de sus titulares, así como de las personas más próximas a ellos. Entre los riesgos verificables, Andrea Olivia Mendoza Enríquez, profesora asociada de la División de Estudios Jurídicos del CIDE, pone como ejemplo la posibilidad de represalias de parte de algún narcomenudista que fuese denunciado por un ciudadano.
“Pero también podrían suscitarse casos de extorsión. Teniendo los datos personales y con un poco de ingeniería social, puede haber extorsiones y secuestros exprés, considerando en que se sabe quién vive en tal casa y cuáles son sus datos de contacto. Con un poco de vigilancia, o incluso de monitoreo en redes sociales, se puede concretar alguna actividad ilícita contra los ciudadanos”, dijo Mendoza Enríquez, consultada para este artículo.
“Cualquier exposición de datos personales supone importantes riesgos para las personas. Pero si la exposición se produce en plataformas de denuncia ciudadana ello también podría implicar la toma de represalias en contra del denunciante, o incluso, inhibir futuras denuncias ante la desconfianza que genera la debilidad de las medidas de seguridad adoptadas. Una vulneración de seguridad puede dejar secuelas en el ánimo de quienes a futuro quisieran hacer uso de la plataforma. La confianza ciudadana puede resquebrajarse”, opinó María Solange Maqueo, académica del CIDE y experta en protección de datos personales.
La ley sanciona a los funcionarios públicos por el incumplimiento del “deber de confidencialidad” en el manejo de los datos personales de los ciudadanos, por no establecer medidas de seguridad de protección de los datos y por presentar vulneraciones (artículo 163º, LGPDPPSO). Sobre una posible responsabilidad, explicó Maqueo, “primero habría que determinar quién es el responsable del tratamiento de datos personales, esto es el sujeto obligado, a partir de quién determina la finalidad de los datos recabados”.
En un año se recibieron a través del Sistema Unificado de Atención Ciudadana (SUAC) 1.6 millones de mensajes y solamente estuvieron disponibles para descarga 205 documentos, dijo Hernández Pérez, de la ADIP. Esa cifra de documentos representa sólo 0.01% del total, que fueron consultados 199 veces. “Nosotros lo que encontramos dentro del ‘log access’ es que las consultas de esas URL (la dirección electrónica individual de cada documento) fueron en total 199, incluyendo las de nosotros mismos del miércoles”, agregó.
“Queremos ser transparentes. No venimos a ocultar nada. (…) Esto nos lleva a tener más cuidado en nuestros sistemas de calidad de desarrollo de software, a meter mejores procesos y que sean continuos y apretar ahí muy bien las tuercas para que esto no ocurra ni al SUAC ni a ningún otro sistema”, dijo Hernández Pérez.
Los ciudadanos que lo consideren pueden denunciar la posible exposición de sus datos personales en las oficinas del InfoCDMX o a través del sitio https://www.infocdmx.org.mx/covid19/denunciadatospersonales/, donde podrán descargar un formato, llenarlo y enviarlo por correo electrónico.
Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.
Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.