8 Oct 2021
08:31 AM
Regañaron a la Alcaldía de Bogotá por no garantizar seguridad de información a vacunados
La 'vaciada' fue emitida por la Superintendencia de Industria y Comercio.
La Superintendencia de Industria y Comercio emitió una orden a la Alcaldía de Bogotá y a su Secretaría Distrital de Salud sobre el aplicativo PAI 2.0, para que garantice la seguridad de la información, en especial, la de datos sensibles como salud y vacunación.
El organismo explicó que la Alcaldía por intermedio de la Secretaría de Salud y el Fondo Financiero de Salud, habilitó el aplicativo PAI 2.0. en https://appb.saludcapital.gov.co/pai/publico/busqueda.aspx para que los ciudadanos consultaran su respectivo certificado digital de vacunación contra la covid-19.
La SIC encontró que el aplicativo carece de medidas de seguridad, confidencialidad y de acceso y circulación restringida que sean técnicas, eficaces, necesarias y demostrables para evitar el acceso no autorizado de terceros.
“Estas falencias fueron especialmente evidentes en la función de “Consultas” de dicho aplicativo, en tanto solo se requiere del número de ID, asignado a cada titular vacunado, introduciéndolo dentro del url fijo para acceder a los datos de terceros sin sujetarse nuevamente a las medidas de seguridad -captcha-”, agregaron desde la entidad.
Asimismo, mencionó que el aplicativo permitió que cualquier persona accediera a datos personales sensibles de otras personas.
Por lo anterior, la Superintendencia señaló que el aplicativo que actualmente sigue operando, pero sin la función de “consultas”, carece de referenciación al Aviso de Privacidad y Política Tratamiento de Información con el lenguaje exigido por el Régimen de Protección de Datos para el Tratamiento de información sensible.
Adicionalmente, afirmó que “antes de difundir al público o de poner a disposición de los usuarios el aplicativo PAI 2.0 o cualquier otro desarrollo tecnológico o de otra índole, la Alcaldía de Bogotá debe realizar pruebas para detectar eventuales fallas o errores con el objetivo de asegurar el cumplimiento de la regulación sobre tratamiento de datos personales.
Especialmente, debe garantizar que no se ocasionen vulneraciones a los derechos de las personas, y que las medidas de seguridad sean útiles para proteger la información y garantizar la confidencialidad, el acceso o la circulación restringida de los datos personales privados, semiprivados y sensibles.
En ese sentido, el Distrito deberá cumplir lo ordenado dentro de los dos meses siguientes a la ejecutoria del acto administrativo. Y para demostrar el cumplimiento deberá remitir una certificación suscrita por la alcaldesa Claudia López mediante la cual acredite que se han implementado las medidas ordenadas y mencione las acciones que adoptaron para dar cumplimiento a las mismas.
Además, la SIC ordenó a la Alcaldía que se abstenga de poner en funcionamiento sistemas de información en internet u otros medios de divulgación y comunicación masiva que contengan datos personales privados o sensibles sin que previamente haya verificado que existen procesos, mecanismos, herramientas y controles técnicos o de cualquier otra naturaleza que sean pertinentes, para brindar un conocimiento o acceso restringido sólo a los titulares de los datos personales o terceros autorizados.
Fuente
Sistema Integrado de Información
