ANÁLISIS DE APLICACIONES
Aplicaciones de Seguridad Ciudadana – Solicitudes de acceso a la información
¿Qué hicimos?
Analizamos siete aplicaciones hechas por gobiernos estatales mexicanos y gobierno federal con la función de “Botón de pánico” para el sistema operativo Android.
Las aplicaciones analizadas fueron:
- 9-1-1 Emergencias, del Gobierno Federal
- 911CDMX, de Ciudad de México
- 911MovilBC, de Baja California
- Mujeres Seguras, de Sonora
- Seguridad Incluyente ahora Escudo Puebla, de Puebla
- Botón de Auxilio Jalisco, de Jalisco
- Mi Policía, de Ciudad de México
El reporte del análisis técnico lo puedes encontrar aquí.
Además realizamos solicitudes de acceso a la información a las dependencias responsables de las mismas en el marco de la Ley General de Transparencia y Acceso a la Información Pública.
Comparamos sus respuestas con los hallazgos encontrados en el análisis técnico y con las disposiciones en la Ley Federal de Protección de Datos Personales para Personas Obligadas y sus versiones estatales1.
Este análisis fue hecho con el objetivo de complementar las consideraciones de privacidad y seguridad que deberían tener las personas usuarias a la hora de decidir sobre el uso de alguna de estas aplicaciones.
En este texto se encuentran las preguntas que realizamos y las respuestas que nos fueron dadas. Las respuestas que mostramos aquí son las que encontramos más problemáticas porque fueron ambiguas, no respondieron a lo solicitado o fueron incompletas.
Nota: Estos análisis no deben considerarse como una auditoría o como pruebas de penetración para la aplicación, su infraestructura o componentes relacionados. Asimismo, tampoco se evalúa la efectividad de las mismas.
¿Qué encontramos?
01.
Creemos que, debido a que las aplicaciones analizadas no tienen una base de usuarios demasiado amplia, las respuestas que nos dieron muchas veces las hicieron personas que no son las responsables de las aplicaciones. Inferimos esto porque varias respuestas no responden a lo preguntado, son copypaste, no son exactas, correctas o simplemente son derivativas en cuanto que nos remiten a lo que dice la ley o sus avisos de privacidad.
02.
La aplicación Botón de Auxilio Jalisco nos remitió en la mayoría de sus respuestas a un enlace (que no pusieron) de su aviso de privacidad. Tienen varios avisos de privacidad distintos (el de la PlayStore, el de su aplicación, este y este) que no siempre contienen las respuestas a nuestras preguntas o bien, no sabemos cuál es el que está en vigor, ya que el de la aplicación tiene fecha del 4 de mayo del 2021, el de la Playstore del 20 de diciembre de 2017 y los otros dos 1 de septiembre de 2022.
03.
La aplicación Seguridad Incluyente (ahora Escudo Puebla) especificó en más de una respuesta que no cuenta con ciertos requerimientos para el tratamiento de los datos personales de los usuarios que están especificados como necesarios en la ley federal y en su propia ley estatal.
04.
Por lo general la aplicación Mi Policía es la que respondió de manera más clara y concisa las preguntas sobre datos. Al contrario, en las preguntas sobre seguridad digital, no entendemos bien por qué, pero toda la información indicaron que es confidencial.
05.
Nos sorprende que la aplicación 911CDMX no haya respondido en la misma línea que la aplicación Mi Policía ya que las dos son de la CDMX. Por ejemplo, ciertas preguntas para la aplicación Mi Policía son confidenciales mientras que para la aplicación 911CDMX no. Más adelante , el lector podrá reconocer las diferencias.
06.
6 de 7 aplicaciones utilizan servidores propios para guardar los datos de los usuarios. La única que no podemos saberlo es Botón Auxilio Jalisco porque no respondió a la pregunta de manera directa.
07.
Ninguna aplicación comparte datos con terceros, pero, por ley, pueden compartir esos datos con otras instancias gubernamentales. Además, lo que no comparten son los datos personales de los usuarios. A través del uso de rastreadores, sabemos que hay datos anónimos compartidos con Google y, por supuesto, la ubicación, ya que seis de las siete aplicaciones utilizan Google Maps para detectar la ubicación del usuario, mientras que la aplicación Mi Policía usa el servicio de Here.
Preguntas realizadas en las solicitudes de acceso a la información
Sobre datos personales, sensibles y criterios de privacidad
¿Qué criterios de privacidad se consideraron en el desarrollo de la aplicación?
01.
Sólo en la aplicación Mi Policía tuvimos una respuesta clara y concisa, la agregamos aquí porque demuestra el tipo de respuestas que esperábamos a esta pregunta:
- Que la mayoría de las funciones fueran solo informativas.
- Que no se recopilaran datos sensibles.
- Que los datos recabados sean lo estrictamente necesarios para la atención de denuncias, quejas o solicitudes.
- Que la aplicación no almacene datos de ubicación del dispositivo.
- Que la ubicación en tiempo real sea de uso exclusivo del usuario del dispositivo.
- Que no requiera registro previo o posterior para la utilización de la aplicación.
- Que la aplicación solo requiera los permisos básicos y que por defecto requiera Google Play o App store.
- Que la Secretaría de Seguridad Ciudadana en ningún momento tenga información concerniente del usuario de la aplicación.
- Que los datos recopilados a través de la función de Asistencia Ciudadana lleguen directamente a la Unidad de Contacto del Secretario, sin intermediarios o triangulación alguna.
- Que la Unidad de Contacto del Secretario sea el usuario único para el tratamiento de los datos personales.
02.
911MóvilBC, sin responder a la pregunta, explica que la mayoría de los datos que recaban son opcionales con excepción de: número de teléfono, nombre y apellido. Se les olvida mencionar que el email también es obligatorio ya que es necesario para hacer el registro en la aplicación.
03.
En general, las demás aplicaciones nos remitieron a su aviso de privacidad, lo que responde de manera muy vaga a nuestra pregunta.
¿Qué datos personales2 recaba la aplicación?
01.
911CDMX respondió con una lista extensa de datos que recolecta. En esta lista, sin embargo, se especifican datos que la aplicación no recolecta. Además especifican que estos datos pudieran ser otorgados de manera opcional por teléfono. Pareciera ser que responden más a la posible información que las agencias de emergencias pueden recabar de una persona en caso de una emergencia que los datos particulares que recaba la aplicación.
02.
Mujeres Seguras hizo hincapié que tanto el nombre y los apellidos pueden ser un alias y no los datos reales. Tratándose de una aplicación de emergencia, lo recomendable sería proporcionar información veraz.
03.
Mi Policía responde que no recaba datos sensibles. Esta no es la respuesta a la pregunta.
04.
911MóvilBC, 911Emergencias, Seguridad Incluyente (Escudo Puebla) y Botón de Auxilio Jalisco listan datos que no se corresponden con nuestros análisis técnicos. A veces listan datos de más, a veces datos de menos o especifican datos opcionales que en realidad son obligatorios. En todo caso, la respuesta no es precisa. Para conocer los datos que recaba cada aplicación, por favor revisar el reporte técnico general o referirse al reporte particular de cada aplicación.
¿Qué datos personales sensibles3 recaba la aplicación?
01.
911CDMX no lista en los datos sensibles que opcionalmente el usuario puede otorgar su perfil médico.
02.
Botón de Auxilio Jalisco respondió que, entre otros, recaban datos biométricos, de origen étnico o racial y de la media filiación. Ninguno de estos datos es recabado por la aplicación.
03.
Las demás aplicaciones respondieron congruentemente con el análisis técnico que realizamos. Para revisar qué datos recolecta cada aplicación referirse al reporte técnico o al reporte particular de cada aplicación.
¿La aplicación cuenta con un inventario de datos personales4?
01.
Seguridad Incluyente (ahora Escudo Puebla) respondió específicamente que ellos no cuentan con un inventario de datos personales. En la ley de protección de datos personales del estado de Puebla se específica esto como requerimiento en al artículo 48 inciso III.
02.
911Emergencias, Mujeres Seguras y 911MóvilBC respondieron que sí cuentan con un inventario de datos personales.
03.
911CDMX, Mi Policía y Botón de Auxilio Jalisco no respondieron de manera clara a la pregunta.
¿La aplicación cuenta con sistema de tratamiento de datos5 personales?
01.
911MóvilBC respondió: “La información no es compartida ni pública”. Esto no responde a nuestra pregunta y tampoco deja claro a qué se refieren.
02.
Seguridad Incluyente (Escudo Puebla) respondió específicamente que no cuentan con un sistema de tratamiento de datos personales, a pesar de que en la ley de protección de datos del estado de Puebla se especifican en reiteradas ocasiones una serie de lineamientos sobre el tratamiento de datos personales, lineamientos, que consideramos, no pueden ser llevados a cabo si no se cuenta con un sistema de tratamiento de datos personales bien establecido.
03.
Botón Auxilio Jalisco, Mujeres Seguras, Mi Policía y 911Emergencias nos remitieron a sus respectivos avisos de privacidad, por lo mismo deberían tener un sistema de tratamiento de datos personales, pero justamente lo que queremos saber es si sí lo tienen. Parecería que sí, si es que se apegan a la ley.
04.
911CDMX es la única que respondió de manera concisa que sí cuentan con un sistema de tratamiento de datos personales.
¿La información recabada por la aplicación se comparte con terceros?
01.
Ninguna aplicación comparte los datos con terceros. Es importante señalar que los datos recabados por estas aplicaciones pueden ser compartidos con otras instancias gubernamentales en los casos que indica la ley.
02.
La aplicación 911CDMX hace una lista detallada de cuáles pueden ser esas instancias:
- Secretaria de Gobierno
- Secretaría de la Contraloría General
- Secretaría de Gestión integral de Riesgos y Protección Civil
- Secretaría de Movilidad
- Secretaría de las Mujeres
- Secretaria de Obras y Servicios
- Secretaría de Salud
- Secretaría de Seguridad Ciudadana
- Consejería Jurídica y de Servicios Legales
- Comisión de Derechos Humanos de la Ciudad de México
- Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México
- Auditoría Superior de la Ciudad de México.
- Órganos de Control.
- Órganos Jurisdiccionales y Administrativos locales y federales.
- Agencia Digital de Innovación Pública.
- Sistema de Aguas de la Ciudad de México.
- Fiscalía General de Justicia de la Ciudad de México.
- Heróico Cuerpo de Bomberos.
- Sistema de Transportes Eléctricos.
- Metrobus.
- Sistema de Transporte Colectivo.
03.
Por su parte, la aplicación Botón Auxilio Jalisco ejemplifica las situaciones en las que los datos pueden ser otorgados a otras instancias gubernamentales:
- Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en la Ley de Protección de Datos Personales en posesión de sujetos obligados local, en ningún caso, podrán contravenirla;
- Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
- Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
- Cuando los datos personales sean necesarios en la atención de algún servicio sanitario de prevención o diagnóstico;
- Cuando los datos personales figuren en fuentes de acceso público;
- Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente;
- Cuando los datos personales se sometan a un procedimiento previo de disociación;
- Para el reconocimiento o defensa de derechos del titular ante autoridad competente;
- Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia; o
- Cuando las transferencias que se realicen entre responsables sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales.
¿Qué medidas compensatorias 6han sido aplicadas en relación y/o derivado del uso de la aplicación?
01.
911MóvilBC respondió
No aplica, ya que sí contamos con aviso de privacidad
Esto no responde a la pregunta.
02.
Mi Policía, Botón de Auxilio Jalisco, 911CDMX, Seguridad Incluyente (Escudo Puebla) y Mujeres Seguras nos remitieron a sus avisos de privacidad en los cuáles están especificadas estas medidas.
03.
9-1-1 Emergencias afirma que no se han aplicado medidas compensatorias derivadas del uso de la aplicación. En su aviso de privacidad están especificadas dichas medidas.
04.
Aunque ninguna lo reportó de manera directa, todos los avisos de privacidad están contenidos en las aplicaciones y en la página de cada aplicación en la PlayStore. Botón de Auxilio Jalisco tiene dos avisos de privacidad distintos, en la PlayStore es este y en su aplicación tiene uno distinto. Además existen este y este otro. Estos dos últimos parecieran ser los más actualizados y completos.
05.
Aquí los enlaces a los distintos avisos de privacidad en la PlayStore:
- 911MóvilBC
- Mi Policia
- Botón de Auxilio Jalisco
- 911CDMX
- Seguridad Incluyente (Escudo Puebla)
- Mujeres Seguras, el enlace no se puede insertar debido a problemas tecnicos. Puede solicitarlo en datavoros@socialtic.org.
- 911Emergencias
Conclusiones sobre datos personales, sensibles y criterios de privacidad
01.
Las respuestas que nos ofrecieron, por lo general, no son precisas. Muchas veces nos remiten a los avisos de privacidad y a la ley de protección de datos personales, lo que vuelve a las respuestas que nos dan un poco inútiles porque justo lo que queremos saber es si en efecto estas aplicaciones se apegan a la ley, y su respuesta es: “mira lo que dice la ley para que sepas qué hago”.
02.
Hay ciertas discrepancias en cuánto a los datos recabados con lo visto por nuestro análisis técnico, pero nada que nos parezca demasiado grave.
03.
Salta a la vista es que Seguridad Incluyente (Escudo Puebla) nos haya respondido dos veces, de manera categórica, que no cumplen con los lineamientos de su propia ley.
04.
Ninguna aplicación comparte datos con terceros de manera directa. Los datos que se comparten son mediante rastreadores de Google y se pueden revisar en el análisis técnico correspondiente
Sobre seguridad digital de las aplicaciones
¿Qué funciones y obligaciones tienen las personas servidoras públicas y externas que dan tratamiento a los datos personales vinculados a la aplicación?
01.
911MóvilBC establece que no cuentan con dicho análisis y nos remite al ISO 27001. En la ley federal de protección de datos de sujetos obligados (artículo 33, inciso V) se indica que debe existir, pero en su ley estatal no se especifica que deba existir dicho análisis. No estamos seguros de si esto es un área gris legal en cuanto a los estatutos legales.
02.
911CDMX, Seguridad Incluyente (Escudo Puebla) y Mi Policía detallaron de manera clara las funciones y obligaciones. Estas son, de manera general:
- Establecer los fines y medios para la recolección de los datos personales.
- Establecer medidas de seguridad que resguarden los datos personales.
- Verificar la secrecía y no difusión de los datos personales.
- Sólo recabar los datos necesarios para el cumplimiento de los fines de los mismos.
- Mantenerlos exactos y completos.
- Cumplir con la finalidad para la que fueron recabados los datos personales.
- Documentar el ciclo de vida de los datos personales.
03.
911Emergencias y Botón de Auxilio Jalisco nos remitieron a sus avisos de privacidad.
04.
Mujeres Seguras nos remitió a la Ley de protección de datos personales en posesión de sujetos obligados.
¿La aplicación cuenta con un análisis de riesgo7 asociado a la herramienta desarrollada y los datos que recaba, procesa y almacena?
01.
911MóvilBC respondió:
No, sin embargo, el C4 cuenta con la certificación ISO 27001 Sistema de Gestión de Seguridad de Información
En la ley de protección de datos de sujetos obligados del estado de Baja California, se especifica, en el artículo 41, que el responsable debe de realizar una Evaluación de impacto en la protección de datos personales. Esto equivale, en otras palabras, a un análisis de riesgo.
02.
Mi Policía respondió que esa información es clasificada pero que cumplen con la ley.
03.
911 CDMX respondió:
Se informa que por el momento NO se ha materializado una afectación al sistema de datos personales, tomando en consideración que la realización de análisis y/o reportes de riesgos, son elaborados cuando se actualizan amenazas y vulnerabilidades para los datos personales y los recursos involucrados en su tratamiento (hardware, software, personal del responsable, entre otros), situaciones que no han ocurrido al día de hoy, ya que los datos personales que son tratados en la línea de emergencias 9-1-1 y aplicación de la Ciudad de México, actualmente no han sufrido alguna vulneración o riesgo.
Un análisis de riesgo no se debe hacer a posteriori, como lo está interpretando la persona que nos respondió, sino que se debe hacer a priori para garantizar la seguridad de los datos personales que maneja la aplicación desde su diseño. En el artículo 26, inciso IV de la ley de protección de datos personales para personas obligadas de la Ciudad de México se establece de manera literal que se deberá
Realizar un análisis de riesgo de los datos personales, […].
04.
9-1-1 Emergencias respondió que la aplicación fue publicada con los criterios emitidos por la Unidad de Gobierno Digital de la Secretaría de la función pública, y que, por lo mismo,
… no se contempla tener un análisis de riesgos asociados.
Sin embargo, hay lineamientos de la UGD publicados en el DOF donde se especifica, en el artículo 74, inciso C, que sí debe de haber un análisis de riesgo.
05.
Botón de Auxilio Jalisco nos remitió a su aviso de privacidad, lo que no responde la respuesta de manera clara. En la ley de protección de datos personales de sujetos obligados del Estado de Jalisco se especifica en el artículo 32, inciso IV que sí debe de existir.
06.
Seguridad Incluyente (ahora Escudo Puebla) respondió:
Se le comunica que la aplicación no cuenta con un análisis de riesgo asociado
Sin embargo, en la ley local de protección de datos personales de sujetos obligados, artículo 51, inciso III se especifica que es un requerimiento.
07.
Mujeres Seguras sí cuenta con un análisis de riesgos.
¿La aplicación cuenta con un análisis de brecha (filtraciones de datos) vinculados a los datos que recaba, procesa y almacena la aplicación?
01.
911MóvilBC respondió:
No, sin embargo, el C4 cuenta con la certificación ISO 27001 Sistema de Gestión de Seguridad de Información
En la ley de protección de datos de sujetos obligados del estado de Baja California, se especifica, en el artículo 41, que el responsable debe de realizar una Evaluación de impacto en la protección de datos personales. Esto equivale, en otras palabras, a un análisis de riesgo.
02.
Mi Policía respondió que esa información es clasificada pero que cumplen con la ley.
03.
9-1-1 Emergencias respondió que la aplicación fue publicada con los criterios emitidos por la Unidad de Gobierno Digital de la Secretaría de la función pública, y que, por lo mismo,
… no se contempla tener un análisis de brecha.
Sin embargo, en el DOF se establece, en el artículo 76, inciso F, que sí debe de existir dicho análisis.
04.
Botón de Auxilio Jalisco nos remitió a su aviso de privacidad, lo que no responde la respuesta de manera clara. En la ley de protección de datos personales de sujetos obligados del Estado de Jalisco se especifica en el artículo 32, inciso IV que sí debe de existir.
05.
Seguridad Incluyente (ahora Escudo Puebla) afirma explícitamente que no cuentan con análisis de brecha. Sin embargo, según su ley estatal, en el artículo 51, inciso IV, deberían tenerlo.
06.
Mujeres Seguras respondió:
Los datos que se transmiten son cifrados mediante la certificación SSL.
Eso no responde a la pregunta. En su ley estatal se contempla que tengan dicho análisis: artículo 52, inciso X.
07.
911CDMX respondió con una tabla donde se especifican varios mecanismos de seguridad, un inciso explicita:
Cuenta con procedimientos para actuar ante vulneraciones a la seguridad de los datos personales.
No sabemos si esto responde a nuestra pregunta. En la ley de protección de datos personales en posesión de sujetos obligados de la CDMX se especifica en al artículo 26 inciso V que debe de existir.
¿Quienes son las personas, cargos y/o áreas encargadas del tratamiento, almacenamiento y manejo de los datos que recaba la aplicación?
01.
9-1-1 Emergencias respondió:
Derivado que la App de Emergencia 9-1-1 es una herramienta tecnológica, cuenta con algoritmos necesarios para el tratamiento de los datos personales, por lo que el software al recibir los datos, les da el tratamiento y almacena de conformidad con la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados, lo señalado en Aviso de Privacidad y los Términos y Condiciones de la aplicación.
Desconocemos si con esto confirman que todo su sistema es automatizado.
02.
Las otras aplicaciones especifican quiénes son los responsables de manera genérica o remitiendo a los avisos de privacidad y la ley. Si bien es ambiguo, queda más o menos claro qué instituciones son las encargadas.
¿Qué medidas de seguridad administrativa están implementadas para resguardar los datos personales recabados por la aplicación?
911 CDMX respondió:
Le informo que los datos personales recabamos se encuentran almacenados y encriptados en varios niveles de seguridad del propio sistema […]
Vale la pena ser escépticos a este respecto ya que sabemos, por el análisis técnico, que esta aplicación no cifra (encripta) los datos personales de los usuarios en tránsito.
02.
911MóvilBC nos remitió al ISO 27001
03.
Mi policía dice que es información clasificada pero que cumplen con la ley.
04.
911Emergencias nos remite a su aviso de privacidad donde sólo se especifica que los datos personales serán protegidos.
06.
Mujeres Seguras respondió:
El acceso a la información se encuentra controlado, y es solo personal de la propia secretaria que cuenta con autorización y capacitación.
07.
Seguridad Incluyente (Escudo Puebla) respondió que cuentan con las siguientes medidas:
- Política de seguridad
- Cumplimiento de la normatividad
- Organización de la seguridad de la información.
- Seguridad relacionada a los recursos humanos.
- Administración de incidentes.
- Continuidad de las operaciones.
¿Qué medidas de seguridad física están implementadas para resguardar los datos personales recabados por la aplicación?
01.
Botón Auxilio Jalisco respondió, como de costumbre, remitiéndonos a su aviso de privacidad que no responde esta pregunta.
02.
Mi Policia respondió que eso es información confidencial pero que cumplen con las disposiciones de la ley.
03.
Las otras cinco aplicaciones respondieron con mayor o menor detalles sus medidas de seguridad. Pero en general, todas cuentan con:
- Seguridad perimetral de las instalaciones.
- Acceso restringido y controlado de las personas que tienen acceso a las instalaciones físicas
¿Qué medidas de seguridad técnica están implementadas en la aplicación y en los lugares donde se resguardan los datos recabados por la misma?
01.
Botón Auxilio Jalisco nos remitió a su aviso de privacidad.
02.
911MóvilBC nos remitió al ISO 27001 y dicen seguir al pie de la letra lo que indica la ley.
03.
Mi Policía dice seguir lo que indica la ley, pero que es información clasificada.
04.
911Emergencias respondió que esto lo administra la Guardia Nacional y que se cumplen los reglamentos establecidos en la ley.
05.
911CDMX, Mujeres Seguras y Seguridad Incluyente (Escudo Puebla) detallaron sus medidas. En general estas incluyen el uso de contraseñas y usuarios con acceso bien identificados. 911CDMX además implementa cambio de contraseñas cada 30 días, identificación biométrica, aislamiento de Internet de las computadoras donde se resguardan los datos, entre otros. Escudo Puebla tiene equipos especializados que dan mantenimiento al software y revisan las configuraciones de seguridad.
¿Los datos personales son resguardados en infraestructura de la dependencia o en infraestructura de proveedores o empresas externas a la dependencia?
Todas las aplicaciones respondieron que usan una infraestructura propia y no dependen de proveedores u otras empresas, contada excepción de la aplicación Botón de Auxilio Jalisco que nos remitió a su Aviso de Privacidad en el cual no se especifica nada al respecto de manera clara.
Conclusiones sobre seguridad digital de las aplicaciones
01.
Nos sorprende que haya varias aplicaciones que no cuenten con análisis de brecha/filtración de datos y análisis de riesgo, a pesar de que la legislación al respecto es muy clara. Asimismo, algunas respuestas a estas dos preguntas fueron también ambiguas. Comparando esto con el análisis técnico donde encontramos que cuatro aplicaciones no cifraban sus datos en tránsito (y sólo dos corrigieron el fallo cuando les informamos), tenemos grandes dudas sobre la seguridad de los datos de los usuarios.
02.
En la aplicación 911MóvilBC encontramos que una persona puede acceder a la aplicación de una persona usuaria simplemente con conocer su número de teléfono. Esto nos hace dudar seriamente de que el llamado ISO 27001 con el que respondieron varias veces esté implementado de manera adecuada.
03.
Todas las aplicaciones resguardan los datos en infraestructura propia. Probablemente también Botón Auxilio Jalisco aunque no respondió la pregunta.
04.
En general las respuestas están muy alineadas a lo que dice la ley (lo cual está bien) pero al mismo tiempo vuelve a las respuestas más una suerte de copypaste que información que nos pudiera ayudar a entender más a fondo la infraestructura de seguridad con la que cuentan estas aplicaciones.
Consideraciones finales
01.
Recomendamos a las personas usuarias de estas aplicaciones evaluar la necesidad del uso de estas aplicaciones frente a la clara falta de medidas de seguridad (análisis de riesgo y análisis de brecha) que presentan la mayoría de las aplicaciones, además de los problemas de seguridad que nosotros encontramos en nuestros análisis técnicos.
02.
Recomendamos también valorar la necesidad del uso de estas aplicaciones frente a la falta de claridad al respecto del tratamiento de los datos personales de los usuarios.
03.
Asimismo, debido a que las respuestas son vagas, confusas, erróneas o incluso dicen estar rompiendo la ley, seríamos, por lo mismo, muy cuidadosos a la hora de usarlas. Probablemente la única aplicación que podríamos recomendar es la aplicación Mi Policía.
Reportes técnicos.
- 9-1-1 Emergencias, del Gobierno Federal
- 911CDMX, de Ciudad de México
- 911MovilBC, de Baja California
- Mujeres Seguras, de Sonora
- Seguridad Incluyente ahora Escudo Puebla, de Puebla
- Botón de Auxilio Jalisco, de Jalisco
- Mi Policía, de Ciudad de México
Reporte técnico general.
Notificaciones de vulnerabilidades.
- La Ley Federal de Protección de Datos Personales para Personas Obligadas es el documento jurídico que establece los lineamientos que deben seguir todas las entidades gubernamentales y afines para el tratamiento de los datos personales de la ciudadanía . Asimismo, a esta ley federal, se le corresponden las leyes estatales particulares sobre el mismo tema.
- Se definen como datos personales aquellos que identifican o pudieran identificar a una persona física.
- Se definen como datos sensibles aquellos que corresponden a la vida íntima de la persona como ideología política, origen étnico, preferencia sexual, datos médicos, etc.
- Un inventario de datos personales, es una base de datos donde el responsable de los datos tenga conocimiento del ciclo de vida de los mismos: obtención, almacenamiento, uso, divulgación, bloqueo y cancelación. En otras palabras, una base de datos bien estructurada y etiquetada.
- Un sistema de tratamiento de datos personales permite al poseedor de los datos acceder a ellos de manera eficiente para, por ejemplo, poder cumplir con los derechos ARCO de los usuarios. Estos derechos incluyen el Acceso, la Rectificación, la Cancelación y la Oposición de dichos datos.
- Las medidas compensatorias, en este caso, se refieren a los medios de información a través de los cuales se da a conocer a los usuarios el Aviso de Privacidad.
- El análisis de riesgo, como su nombre lo indica, es un análisis hecho con la finalidad de identificar vulnerabilidades técnicas que pudieran poner en riesgo los datos personales de los usuarios.