Arrancamos el año y muchos de nosotros iniciamos con la expectativa de tener una vida saludable. Como buenos analistas, necesitamos la radiografía de nuestra salud o, al menos, conocer las vulnerabilidades que podemos encontrar en nuestros estudios médicos para tener un buen diagnóstico y tomar las acciones necesarias para estar al cien.

Este año, sin embargo, fue diferente: acudí con la orden del médico para hacer toda una batería de análisis. Y, al pagar mis estudios, me solicitaron el registro de mis pulgares. Si soy sincera, mi primera reacción fue poner el grito en el cielo, pues no entendía por qué este tipo de laboratorios está recopilando información tan crítica.

Conforme pasaba el tiempo y los diversos estudios se sucedían, las preguntas desfilaban en mi cabeza: ¿Ahora los resultados se revisarán con huella? ¿Qué regulación observa esta institución para resguardar mi información? ¿Qué regulaciones o normativas protegen en México esta información? ¿Qué medidas de seguridad implementa este laboratorio para proteger mis datos biométricos?

En cuanto llegué a casa, busqué exhaustivamente sobre el tema. En este punto debo ofrecer una disculpa por la introducción tan larga, pero trabajar en ciberseguridad nos vuelve un poco paranoicos en cuestiones de seguridad de la información.

En fin, lo que encontré fue que este laboratorio implementa la huella digital para lo siguiente:

  1. Identificación precisa: la huella digital es un método de autenticación único y confiable, lo que garantiza que los pacientes sean identificados correctamente. Esto evita errores en la asignación de tratamientos y previene fraudes.
  2. Mejora en el control de accesos: asegura que solo las personas autorizadas tengan acceso a ciertos servicios o áreas dentro de las instalaciones médicas.
  3. Facilita el registro y seguimiento de pacientes: la huella digital permite llevar un registro más eficiente del historial médico de los pacientes y evitar duplicación de información, mejorando así la atención.
  4. Seguridad de la información: un sistema biométrico es más seguro que las contraseñas tradicionales y puede ayudar a proteger la privacidad de los pacientes.
  5. Reducción de costos operativos: facilita procesos administrativos lo cual reduce el uso de documentos físicos y mejora el flujo de trabajo en las clínicas o instituciones.

En general, el uso de las huellas digitales está regulado por varias normativas y leyes a nivel global y regional con el fin de garantizar que estos datos sean manejados de manera segura y se respeten los derechos de las personas. En México, tenemos una ley específica que regula estas prácticas:

 

Ley Federal de Protección de Datos Personales en Posesión de los Particulares — México

  • Alcance: esta ley regula el tratamiento de datos personales, incluidos los biométricos, por parte de empresas y organismos privados.
  • Protección de datos sensibles: los datos biométricos están clasificados como datos sensibles y su tratamiento solo puede llevarse a cabo con el consentimiento del titular, y en situaciones en las que sea estrictamente necesario.
  • Obligaciones de los responsables: las empresas deben informar adecuadamente a los individuos sobre el uso de sus datos biométricos y cumplir con medidas de seguridad.

La mayoría de las regulaciones menciona que es necesario el consentimiento explícito de los usuarios, es decir, las personas deben decir ¡explícitamente! que están de acuerdo con que se recolecten y usen sus datos biométricos.

Como usuarios debemos saber algo más: las empresas que almacenan nuestros datos biométricos se obligan a contar con medidas de seguridad que cumplan con las regulaciones establecidas. Las siguiente son algunas de estas medidas:

  1. Transparencia: las empresas deben informar a los usuarios sobre el propósito de la recolección de datos biométricos y cómo se utilizarán.
  2. Seguridad: deben implementarse medidas de seguridad adecuadas para proteger los datos, como el cifrado y la autenticación avanzada.
  3. Derechos de acceso y rectificación: los usuarios tienen el derecho a acceder, modificar o eliminar sus datos.
  4. Limitación del uso: los datos biométricos deben usarse únicamente para fines específicos y no deben ser almacenados por más tiempo del necesario.

Toda esta información me tranquiliza, pero aún tengo una duda importante: ¿qué organismo audita este laboratorio para saber si cuenta con políticas o medidas de seguridad que lo habiliten para recolectar la información? Busqué minuciosamente y todos los caminos me llevaron al INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Este instituto es la autoridad encargada de garantizar el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), en México, y puede ayudarnos en varios aspectos relacionados con la protección de los datos biométricos, especialmente si una empresa no nos proporciona la información acerca de sus políticas o medidas de seguridad.

En el portal del INAI me enteré, además, de que este organismo brinda asesoría sobre cuáles son nuestros derechos, revisa las solicitudes de las empresas, funge como canal de denuncias o quejas y hace auditorías y revisiones.

Antes de levantar la denuncia, decidí acudir nuevamente al laboratorio para verificar si ya habían implementado algún tipo de máquina por medio de la cual entregar los resultados de los análisis médicos. Ya habían pasado más de quince días y no había ninguna máquina de reconocimiento de huella dactilar. Para entonces, mis triglicéridos y el azúcar se me habían disparado por la preocupación.

Cabe mencionar que este laboratorio solo tiene dos métodos de entrega: WhatsApp y mediante un folio que incluye un usuario y una contraseña que entregan al momento de generar el ticket para que, después de doce horas, se puedan consultar los resultados. Así que me hice la pregunta obvia: ¿para qué entonces el laboratorio recolecta información tan sensible?

Recordemos que cuando suplantan tu identidad algunas veces puedes salir bien librado y demostrar que tú no estuviste en ese lugar o que el de la foto de alguna credencia suplantada no eres tú; pero en el caso de los biométricos, ¡no hay poder humano que nos haga recuperar nuestros datos!

Durante esta investigación confirmé que actualmente la empresa cuenta con la colaboración de Microsoft. A partir de la implementación de Teia Consultoría, pusieron en funcionamiento soluciones y servicios en la nube y nombraron a Humberto Ruiz gerente de Arquitectura de Procesos. Hasta el momento no se ha divulgado que la empresa haya sufrido algún ataque cibernético.

En la página de dicho laboratorio podemos leer su aviso de privacidad: “Además de los datos personales enlistados anteriormente, utilizaremos los siguientes datos personales, considerados como especialmente protegidos, estos datos son considerados como aquellos que afectan la esfera más íntima de su titular o cuya utilización indebida puede dar origen a discriminación o conlleve un riesgo potencial para este; le afirmamos que los datos que se enunciarán se utilizan con especial protección, para lo fines que marca el presente aviso de privacidad…”. Y, a continuación, se menciona el apartado de datos biométricos (huella digital).

Aun así, haré el seguimiento para confirmar que los datos se están protegiendo de manera correcta. Y ya en otra oportunidad les contaré los resultados.

 

Referencias:

https://home.inai.org.mx/wp-content/documentos/DocumentosSectorPrivado/GuiaDatosBiometricos_Web_Links.pdf?utm_source=chatgpt.com

https://home.inai.org.mx/wp-content/documentos/DocumentosSectorPublico/GuiaBiometricos.pdf?utm_source=chatgpt.com

https://www.salud-digna.com.sv/aviso-de-privacidad

https://elpublicista.info/salud-digna-avanza-hacia-una-nueva-era-de-inteligencia-en-salud/