José Soto Galindo
10 septiembre, 2018
La Secretaría del Trabajo confirmó desde 2014 la existencia de los servicios de buró laboral en México y justificó su existencia como una “herramienta” para que los empleadores discriminen a los candidatos a partir de su historial laboral. Un buró laboral es una base de datos con información de los trabajadores que han demandado a […]
Seguir leyendoJosé Soto Galindo
6 septiembre, 2018
Uber, empresa dedicada a ofrecer servicios de transporte privado, pondrá a disposición de autoridades la información en tiempo real de los usuarios que notifiquen urgencias a través del servicio telefónico 911. Se trata de un modelo de colaboración con autoridades diseñado por la propia compañía y con el que espera ofrecer a sus millones de […]
Seguir leyendoJosé Soto Galindo
20 agosto, 2018
El 2 de diciembre de 2016, un médico del sistema público de salud de Michoacán atendió a un paciente con diabetes mellitus. Registró en su expediente clínico electrónico una dentición presente con caries dental y un puntaje 15/15 en la escala Glasgow, el nivel más alto de alerta en los seres humanos resultado de tres criterios de observación clínica: respuesta ocular, respuesta verbal y respuesta motora. El médico revisó los resultados de la biometría hemática, la química sanguínea y el examen general de orina. Palpó cuello y pies; revisó ritmo cardiaco. Resultado de la consulta: descontrol hipertensión arterial sistémica, descontrol obesidad. La receta mantuvo enlistada una docena de medicamentos como captopril de 25 mg, furosemide de 40 mg, metformina de 850 mg, glimepirida de 4 mg e insulina humana inyectable. Por supuesto, el expediente incluye nombre completo, CURP, raza, situación migratoria, discapacidad en caso de presentar alguna, fecha de nacimiento, sexo, nacionalidad y dirección postal del paciente.
Hova Health es una compañía mexicana que ofrece servicios tecnológicos al sector salud, como administración de expedientes clínicos electrónicos, aplicación e interpretación de estudios radiológicos o la renta de equipo médico. Entre sus clientes se encuentra la Secretaría de Salud de Michoacán, con la que firmó contratos en mayo y noviembre de 2015 (SSM-LP-025/2015-01 y MOD-01) y mayo de 2016 (SSM-LP-004/2016-01) con máximos de 43 millones de pesos y 84 millones de pesos. El miércoles 8 de agosto de 2018, Alexis Nickin, fundador y director de Hova Health, reconoció a El Economista que la compañía dejó expuestos 2.3 millones de expedientes clínicos en una base de datos disponible a través de internet que no necesitaba contraseña para ser accedida. Los expedientes incluían datos personales sensibles de ciudadanos de Michoacán, como su estado de salud y su origen étnico o racial. En la base de datos también se encontraban a la vista de quien sea (terceros no autorizados) diagnósticos y recetas.
Se trata de la exposición de datos personales sensibles más grave registrada en México. Esos datos representan la información de carácter personal más íntima y pueden provocar discriminación y daño a sus titulares (los propietarios de los datos). “En el campo privado sí pudiera ser uno de los casos de mayor envergadura que se ha conocido”, dijo Gustavo Parra Noriega, secretario de Protección de Datos Personales de la autoridad de protección de datos personales (el Inai). La confirmación oficial llegará una vez concluidos los procedimientos respectivos, que el Inai comenzó de la mano de la autoridad protección de datos personales de Michoacán (el Imaip). “Es un caso lamentable, porque además de que son datos personales son datos sensibles”, dijo Areli Yamilet Navarrete, comisionada del Imaip.
“Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Nickin. Puede ser que tenga razón, que la única persona que tuvo acceso a los expedientes clínicos resguardados por Hova Health haya sido el experto en ciberseguridad Bob Diachenko, quien los descubrió en línea sin contraseñas ni candados, alertó a la compañía y luego publicó un artículo sobre el tema en la red social LinkedIn. Pero no basta con que la base de datos no haya sido descargada: Alexis Nickin y su empresa fallaron en proteger la información personal más íntima de los usuarios del sistema público de salud de Michoacán. La sanción debe servir de advertencia para que otros se tomen en serio su responsabilidad a la hora de trabajar con datos personales sensibles.
Este artículo originalmente se publicó en El Economista el 12 de agosto de 2018.
José Soto Galindo
7 mayo, 2018
La Suprema Corte determinó que la aplicación de fotomultas en la Ciudad de México no viola la Constitución respecto al derecho de audiencia previa (que no le quita al ciudadano su derecho a defenderse, aunque sea de forma posterior a la imposición de la sanción) y evitó pronunciarse sobre otros asuntos relacionados con la demanda inicial: 1. que la autoridad cedió a empresas privadas labores propias de su responsabilidad administrativa, 2. que esa cesión provoca incentivos negativos que privilegian la ganancia del concesionario y 3. que el sistema no cuenta con elementos para garantizar la transparencia de la tecnología empleada (auditoría de máquinas y algoritmos). Eso tocará resolverlo a un tribunal colegiado, por lo que aún queda camino para llegar a una conclusión definitiva sobre la manera como la Ciudad de México implementó la medida.
José Soto Galindo
16 abril, 2018
Un juez en Londres emitió el 13 de abril una nueva sentencia relacionada con el llamado derecho al olvido, de aplicación en la ley comunitaria europea y cuya mejor definición es el derecho de los ciudadanos de la Unión Europea a pedir a los motores de búsqueda en internet que desindexen información de carácter personal. […]
Seguir leyendoJosé Soto Galindo
2 abril, 2018La ampliación del llamado “extreme vetting”, un riguroso examen que incluye el monitoreo de las redes sociales de los solicitantes de visa para entrar a Estados Unidos, representa el nuevo paso de Washington en la construcción de una base de datos indiscriminada y desproporcionada sobre los 14 millones de ciudadanos que anualmente solicitan una visa […]
Seguir leyendoAndoni Alonso: “El futuro será ludita o no será”, en El Salto
El filósofo Andoni Alonso describe así la nueva transparencia, una transparencia desde las corporaciones sobre los ciudadanos y sobre el gobierno: «Saber todo de los ciudadanos y deshacerse del gobierno para hacer negocio con la transparencia, porque ellos, con su poder tecnológico, son capaces de hacerse cargo del sistema. ¡Qué el Rey Ludd nos proteja!». La entrevista es de Jon Artza para El Salto.
Economicón
27 marzo, 2018El régimen de protección de datos personales en España define el llamado “derecho al olvido” de la siguiente manera: «El denominado ‘derecho al olvido’ es la manifestación de los tradicionales derechos de cancelación y de oposición aplicados a los buscadores de internet. El ‘derecho al olvido‘ hace referencia al derecho a impedir la difusión de […]
Seguir leyendoEn este artículo del 15 de febrero de 2017, el reportero Juan Luis Ramos entrevistó al presidente y fundador de Eliminalia, Dídac Sánchez, quien le dijo que entre 2015 y 2017 la cartera de clientes de la compañía —dedicada a limpiar historiales en internet— pasó de 70 a 150. “Llegamos a México porque detectamos que en los países donde hay más corrupción y problemas políticos es donde hay más oportunidad de negocio”, dijo Sánchez.
El empresario, citado por Ramos en El Insurgente, dijo que planeaba crear en 2017 una “agencia privada de protección de datos”. “Hablamos de una agencia independiente, que no tenga que ver nada con ningún organismo público y que pueda garantizar realmente que los datos de los ciudadanos están siendo tratados correctamente”, dijo Sánchez en otra nota de Ramos.
Según Ramos, Eliminalia cobra de 1,000 a 850,000 pesos, “dependiendo de varios factores, como la notoriedad de la persona que requiere el servicio hasta el tiempo que le va a llevar a los técnicos de Eliminalia bajar esa información o cuánto tiempo ha estado colgada en Internet”. “No es lo mismo eliminar una nota de prensa o información de hace una semana a una de hace cuatro o cinco años. Tampoco es igual borrar datos de un ciudadano ‘común’ que los de un político o una figura pública. (…) Eliminalia no es un policía, ni un tribunal, ni mucho menos fiscal, sino una empresa que garantiza que borrará la información que le moleste a esa persona que acude a nuestro servicio, independientemente de si es un personaje público, un político que ha robado o una persona común”, dijo Sánchez al reportero.
José Soto Galindo
26 febrero, 2018
“Si los banqueros pueden hacer un buró de crédito, los empresarios deberíamos poder hacer un buró laboral”, me escribió un lector en respuesta a un artículo sobre las listas negras que recopilan información de trabajadores que tuvieron algún conflicto laboral con sus expatrones. En estricto sentido, ni los banqueros ni los empresarios deberían poder hacer […]
Seguir leyendo