El Instituto Veracruzano de Acceso a la Información y Protección de Datos Personales (IVAI) realizó la primera investigación de oficio con relación a una posible vulneración en el tratamiento de datos personales, encontrando probable responsabilidad en el jefe del Departamento de Sistematización de Pagos de los Servicios de Salud, ya que al no implementar medidas de seguridad en los datos personales que se tratan en el desarrollo de su función, estos se vieron comprometidos en su integridad.
El órgano lo determinó así al resolver el expediente de investigación IVAI-INVS/01/2017 y acumulados, que comprendió el análisis de un total de 1,547 denuncias. La primera se formó luego de que una persona solicitara verificación a las empresas BINHARD INNOVATIÓN S.A. DE C.V y ONKOUS MEXICO S.A. DE CV; y denunciara por la cesión de sus datos personales al Servicio de Administración Tributaria (SAT), así como a la Secretaría de Salud del Estado de Veracruz (SS), señalando además la usurpación de su identidad.
Si bien días después la persona manifestó que no deseaba interponer denuncia en contra de la Secretaría de Salud, el IVAI le indicó que ello no generaba la extinción de la investigación pues –conforme a la Ley 316 de Protección de Datos Personales en Posesión de los Sujetos Obligados para el Estado de Veracruz–, el órgano garante está facultado para proceder de oficio, ya que para ello solo se requiere que se tenga la presunción de una posible transgresión a la normatividad.
Respecto a la verificación de las empresas mencionadas y a la denuncia al SAT, el tema es competencia del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), por lo que el IVAI remitió copia del correo electrónico enviado por el denunciante al órgano garante nacional; y sobre la usurpación de identidad, remitió copia del correo a la Fiscalía General del Estado de Veracruz, para que ambas autoridades determinaran lo que correspondiese.
Por su parte, el IVAI solicitó diversa información a la Secretaría de Salud para contar con elementos suficientes; le requirió –entre otras cosas–: que informara si había recabado datos personales del denunciante y de otros servidores públicos, cuáles, quién los recabó, cómo y con qué finalidad; si solicitó el consentimiento y cómo lo hizo; si había transferido datos personales, las circunstancias y finalidades con que lo realizó; y si había recibido quejas respecto al tratamiento de esta información.
Asimismo, se le pidió que informara las medidas de seguridad técnicas, físicas y administrativas adoptadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee; los datos de la empresa que genera el Comprobante Fiscal Digital por Internet (CFDI); y si había sufrido violaciones a su sistema de datos personales; a qué aseguradoras y a qué casas financieras les había proporcionado datos personales de sus servidores públicos y cuáles.
Dado que la SS manifestó que en el proceso de timbrado de nómina interviene la Secretaría de Finanzas y Planeación (Sefiplan), a esta se le requirió que informara, entre otros: cuáles eran los datos personales que le había transferido la SS sobre sus trabajadores, por qué medio y motivo; las medidas de seguridad técnicas, físicas y administrativas que adoptó; datos de la empresa que genera el CFDI y si había sufrido violaciones a su sistema de datos personales.
Finalmente, al Sindicato Nacional de Trabajadores de la Secretaría de Salud, sección 26, el IVAI le pidió que señalara si había recabado datos personales de sus agremiados, cuáles y con qué finalidad.
