Por el mal historial que ha tenido el gobierno federal al intentar proteger datos personales y la manera “rudimentaria” en que se recabó información de los ciudadanos para vacunarlos contra covid19, especialistas en privacidad desconfían de la protección de los datos contenidos en un “pasaporte covid” o de un certificado de vacunación.
Entrevistados por MILENIO, expertos en protección de datos personales coincidieron en que existen severas dudas de que la Secretaría de Salud garantice el blindaje que requieren los datos sobre salud -los más sensibles que puede haber- que fueron recopilados en el proceso de vacunación contra covid19.
El robo de esas bases de datos puede desencadenar diferentes consecuencias negativas, desde actos de discriminación contra los dueños de esos datos hasta su uso con fines de lucro por parte, por ejemplo, de compañías de seguros.
Por ejemplo, Daniel Uribe, experto en bioinformática y ciberseguridad, aseguró que el hecho de que todos esos datos de vacunación estén concentrados en un solo sistema centralizado, “es un escándalo de privacidad digital esperando a suceder”.
Para él, “el pasaporte covid ideal es el que vive en una estructura descentralizada, porque si se lo damos a IBM, si se lo damos a Amazon, si se lo damos al gobierno federal del país que quieras o en el que más confíes, de todas maneras, va a vivir en una base de datos centralizada, la cual, por más que nos digan que tiene 50 avisos de privacidad, las mejores intenciones, las bendiciones de los mejores sacerdotes del mundo, está sujeta a hackers”.
De hecho, aseguró que no es necesario que un extraño logre acceder a la base de datos violando candados de seguridad, sino que, con el simple cambio de administración, esa información ya está en riesgo.
“Vamos a suponer que yo confío en esta administración, pero si viene la administración contraria en el siguiente sexenio y decide abrir la base de datos a empresas aseguradoras, una te puede decir: ‘si tú tuviste CanSino, te toca este precio de seguro’, es decir, te perfila en función de la vacuna que tuviste, porque ya sabemos que está teniendo diferentes niveles de inmunización”, expuso.
Alejandro Torres, especialista en transparencia y privacidad, consideró que el llamado “pasaporte covid” es un documento necesario e importante porque, por un lado, es de interés público mantener todas las medidas para contener la pandemia, pero, por otro lado, está el derecho humano de la protección de los datos personales.
Ante ello, afirma que es preocupante que el gobierno sea el que tenga todos los datos de la vacunación de las personas, “pues la experiencia nos dice que el gobierno no es precisamente el que mejor está cuidando todo este tipo de información”.
Recordó casos como el de la Secretaría de la Función Pública y la fuga de los datos de las declaraciones patrimoniales de cientos de miles de servidores públicos, así como la vulneración a bases de datos de la Lotería Nacional, Pemex o el padrón electoral.
“Me preocupa que no tengan el software, los equipos y programas necesarios más actualizados, con licencias, para proteger la información”, dijo.
Juan Manuel Casanueva, director de la organización SocialTIC, aseguró que los datos personales de los mexicanos que se vacunaron se pusieron en riesgo desde que se usaron “papelitos”, es decir, formatos en papel llenados a mano, para poder acceder a las vacunas.
“Ahí hay una ventana muy grande abierta, no solamente en el retraso para la captura de información, sino también por duplicaciones, errores, ausencias, de la captura de la información de esos papelitos”, dijo.
Para Casanueva, “sí hay dudas específicamente en la integralidad de esa información, que toda la información que esté ahí, haya sido capturada, verificada, que sea correcta y que se vea reflejada en esa base de datos que genera el certificado de vacunación”.
Comentó que ha conocido casos en donde los datos de vacunación siguen sin aparecer en el certificado que se genera o que, al pedir la corrección de cierta información, no siempre se obtiene una respuesta.
La protección ideal
Alejandro Torres, ex comisionado del instituto de transparencia de la Ciudad de México, las instituciones públicas que poseen datos personales de los ciudadanos deben contar con sistemas de gestión de protección de esos datos, entre los que se debe incluir el “documento de seguridad”, el cual debe definir qué medidas administrativas, físicas y técnicas se deben implementar para blindar los datos resguardados.
“Los datos personales de salud son sensibles y requieren las máximas medidas de protección”, afirmó.
Esas medidas van desde definir claramente quién tiene acceso a una computadora y qué privilegios le da el personal de sistemas sobre esa computadora -así como cuando te quitan la posibilidad de ver Facebook en el trabajo- hasta quién tiene la llave de la oficina donde están todos los expedientes físicos”, explicó Torres.
Por su parte, Juan Manuel Casanueva, director de Social TIC, enlistó tres características que se deben garantizar para considerar que los datos de un pasaporte covid están bien protegidos, los cuales, considera, están en duda en el caso mexicano por la manera en que se recabó la información de los beneficiarios de vacunas, mediante formatos en papel.
Primero, dice, la base de datos debe ser íntegra y sin errores, es decir, que solo haya un registro por cada ciudadano y no haya duplicaciones.
“Antes siquiera de hablar de pasaporte de vacunación, tenemos que tener claridad y certeza de que las personas, con todos nuestros datos personales, que hemos sido vacunadas, estamos registradas en una única base de datos sin errores, es decir, que nuestra identidad está asociada con el lote y los elementos de la primera y segunda dosis y que la misma Secretaría de Salud tenga ese registro correcto”, dijo.
Y ahí, surge una ventana de incertidumbre: “recordemos que en el principio, los adultos de 60 y más, sus formatos ni siquiera tenían códigos de barras, no tenían una asociación con la identidad que generaba el formato de vacunación”.
El segundo punto es la seguridad de la base de datos, es decir que haya un número limitado servidores públicos que tengan acceso a ella.
“Desde la cadena de generación de datos, por ejemplo, los papelitos que se llenan y se los entregas a alguien en la vacunación hasta la base de datos que se va a integrando, quién tiene acceso y sobre todo qué tan segura, a nivel de protocolos de seguridad de bases de datos y de infraestructura de sistemas, está para que uno, quien no tenga autorización no pueda acceder a ella o descargarla o hacer algo indebido con esa base de datos, inclusive modificarla, y dos, que ningún tercero o externo pudiera entrar o hackear y robarse esa base de datos”, explicó.
Aquí, también hay ventanas de incertidumbre: “a mí me sigue preocupando mucho, en lo personal, que hayan tenido muchas personas acceso a esas bases de datos, no sabemos desde afuera de la Secretaría de Salud cuál haya sido el proceso de captura”.
Además, dijo Casanueva, no se sabe “si hay personas que traen cargando los papelitos y si tienen hábitos de seguridad digital básicos”.
El tercer punto que Casanueva enlista es que el documento en cuestión, certificado o pasaporte, tenga un método de verificación que permita que cualquier autoridad compruebe que la información ahí contenida es verdadera.
“Ese método de verificación puede servirle a un laboratorio o a una agencia de migración de otro país, porque es algo que es parte del gobierno mexicano que avala que los datos que están ahí son correctos y certeros y únicos; la tecnología varía muchísimo, lo importante es que se tenga una huella verificable, tipo una factura, un RFC, un sello digital que se pueda corroborar ante la Secretaría de Salud, de que ese certificado es de esa persona y tiene la información que corrobora su vacunación”, expuso.
La vía del blockchain
En ese sentido, Alejandro Torres y Daniel Uribe coinciden en que la mejor tecnología que pudiera haber para garantizar un pasaporte covid seguro, sin posibilidad de que sea falsificado o de que la base de datos que lo genera se vulnere, es el blockchain.
Uribe, experto en ciberseguridad y CEO de GenoBank.io, desarrolló un sistema para que los laboratorios en México que emiten resultados de pruebas PCR lo hagan en un documento con esa tecnología.
Con el blockchain, la información original del resultado de la prueba covid no se concentra en una base de datos centralizada, pues cada laboratorio tiene su propia base de datos, lo que la protege de vulneraciones, y al encriptarse, se convierte en infalsificable.
Para el caso de los certificados de vacunación en México, en donde es el gobierno el que concentra la base de datos, Uribe ve difícil que pueda descentralizarse esa información, lo cual la hace vulnerable.
“Entre más concentrado esté el poder en una instancia, aunque sea digital, más riesgo de fraude y de desastre en general”, dijo.
En Estados Unidos, por ejemplo, la situación es distinta, pues las vacunas se aplican en farmacias y la información no la concentra una sola institución.
“La farmacia te emite un certificado y de todas maneras, el estado de California, por ejemplo, también te emite otro, eso no está del todo mal y al menos está mejor a que te lo hubiera dado la autoridad federal, sobre todo porque en un país tan grande, como Estados Unidos, de 350 millones de habitantes, simplemente el sistema que requieres para eso es de proporciones gigantescas”, dijo.
Ante ello, la opción que Uribe propone en el caso mexicano es que se acuda con un médico particular “que tenga un prestigio que jugarse y que te pueda emitir tu cartilla de vacunación verificable”, en tecnología blockchain.