Fuga de datos del ISSSTE puede generar discriminación contra pacientes

Un paciente del Instituto de Salud y Seguridad Social para los Trabajadores del Estado (ISSSTE) en Baja California Sur fue diagnosticado con un derrame pleural. El diagnóstico se hizo mediante una toracoscopia realizada en 2012, según un informe de procedimientos del ISSSTE que se encontraba disponible en internet sin contraseñas ni ningún tipo de seguridad. 

La dirección electrónica a ese informe con datos personales sensibles, hospedado en el subdominio “http://sgm.issste.gob.mx/”, fue dada de baja a las pocas horas de haberse hecho pública en Twitter por el investigador de seguridad informática @ov3rflow1, pero ese documento y varios más se mantuvieron expuestos en la memoria caché de buscadores como Google, Yahoo.com.mx y Bing hasta el 19 de agosto, después de que El Economista hizo pública la exposición.

La información contenía datos personales y datos personales sensibles. Los primeros son aquellos que identifican a los pacientes, como su nombre, su sexo y su edad, mientras que los datos personales sensibles corresponden a la salud de los pacientes, como el diagnóstico que recibieron o el procedimiento quirúrgico que les fue practicado.   

El Economista pudo verificar la existencia de siete enlaces con un total de 551 perfiles de pacientes del ISSSTE que fueron atendidos en unidades médicas de Baja California Sur, Jalisco, Hidalgo, Oaxaca, Ciudad de México, Zacatecas y Coahuila y que corresponden a procedimientos practicados entre los años 2011 y 2013. Los documentos dejaron de estar disponibles en internet el 19 de agosto del 2020.

Los datos personales sensibles refieren a la esfera más íntima de sus titulares y una mala interpretación puede provocar discriminación o generar riesgos graves a sus titulares, reconoce la ley de protección de datos que obliga al ISSSTE.

Entre los datos sensibles considerados por la regulación mexicana se encuentran los que hacen referencia al origen racial o étnico de una persona, sus creencias religiosas, filosóficas y morales, sus opiniones políticas, su preferencia sexual y su estado de salud presente y futuro.

La fuga de datos del ISSSTE se suma al incidente de seguridad que sufrió la Secretaría de la Función Pública y que fue hecho público a principios de julio, con el cual se expusieron datos personales de 830,000 funcionarios públicos, más de la mitad de la plantilla del gobierno federal.  

De acuerdo con Isabel Davara, socia fundadora de Davara Asociados y especialista en protección de datos personales, los datos personales sensibles están protegidos por la legislación mexicana de forma más estricta que los datos personales regulares. Esta forma abarca a las medidas de seguridad y de gestión del consentimiento del titular que deben tomarse al tratar con este tipo de datos y a las sanciones en caso de que se dé una exposición, que deben ser más relevantes. 

El rigor con el que deben protegerse los datos personales sensibles se debe a que la fuga de este tipo de datos, según la especialista, tiene consecuencias imprevisibles para sus titulares tanto en el momento de la exposición como a lo largo del tiempo. “Se entiende que la exposición de datos personales sensibles podría causar un riesgo grave o de discriminación para el titular de los datos”, dijo. 

De acuerdo con Davara, corresponde al ISSSTE notificar a las personas que se vieron afectadas por la exposición de sus datos, para que puedan tomar las medidas necesarias para protegerse; además de que también debe informar a la autoridad federal en materia de protección de datos, el Inai, para que ésta realice una investigación sobre las causas por las que se dio esta exposición. 

El ISSSTE, que dirige Luis Antonio Ramírez Pineda, es la institución de seguridad social que protege a  los trabajadores y pensionados del Estado y a sus familias. A diciembre del 2019, el ISSSTE daba servicio a 13 millones 478,872 derechohabientes, y contaba con 103,961 trabajadores, según los datos más recientes del Anuario Estadístico del instituto.

El Economista se ha acercado en varias ocasiones al equipo de Comunicación Social del ISSSTE para conocer más detalles sobre este incidente de seguridad, pero pero un vocero del instituto negó tener información al respecto. Este medio también consultó al Inai para conocer las acciones a tomar por parte de la autoridad de datos personales frente a esta exposición, pero hasta el momento no ha habido respuesta por parte del instituto. 

rodrigo.riquelme@eleconomista.mx

kg