CPLT asegura que ataque informático a hospitales vulnera datos personales de pacientes

Publicada el
  • Presidente del Consejo para la Transparencia (CPLT), Jorge Jaraquemada, subrayó que una vulneración de este tipo que puede haber afectado a información personal y sensible de miles de personas “pone el acento en lo urgente e importante que es avanzar en la modernización de la ley protección de datos personales”.
  • De estar vigente la ley que moderniza la normativa actual, que data de 1999, el CPLT sería la autoridad a cargo de la Protección de Datos Personales y podría haber iniciado de inmediato, y de oficio, un procedimiento por infringir la ley y sancionar en corto plazo a los responsables por el tratamiento indebido de este tipo de información en caso de evidenciar incumplimientos.
  • Jaraquemada instó también a trabajar en un proyecto de ley marco sobre ciberseguridad, independiente que “junto con crear una institucionalidad especializada que se haga cargo de esa dimensión del problema, establezca obligaciones y altos estándares de ciberseguridad a las empresas proveedoras del Estado, especialmente aquellas que tratan información sensible de todos los chilenos”.

Tras conocerse sobre el ataque informático que afectó a una empresa proveedora de servicios de imagenología digital para el Servicio de Salud Metropolitano Sur Oriente (SSMSO) y sus hospitales, el Consejo para la Transparencia (CPLT) reaccionó a través de su presidente, Jorge Jaraquemada, afirmando que este “tipo de vulneraciones una vez más pone el acento en lo urgente e importante que es avanzar en la modernización de la ley sobre protección de datos personales”.

Lo anterior dado que la compañía afectada provee una plataforma de imageneología a grandes recintos hospitalarios -entre ellos el Sótero del Río y San José de Maipo- y maneja, entre otra información personal, exámenes médicos, considerados datos personales sensibles. Según se informó, la entidad contratada por el servicio de salud habría identificado la presencia de un virus informático conocido como ransomware , el que “secuestra” la información digital de la organización, impidiendo el acceso o uso de ésta hasta el pago de un “rescate”.

Pese a que autoridades de salud han descartado la eventual pérdida de información personal de pacientes, se generó la interrupción temporal de los servicios y se restringió el acceso a registros por parte del personal médico. A raíz de esta vulneración a la seguridad de la empresa, Jaraquemada instó a las autoridades competentes a intervenir: “Se requiere que las autoridades inicien las investigaciones administrativas necesarias para aclarar esta situación. Toda vez que la información almacenada por este tipo de servicios corresponden a exámenes médicos, los que son considerados datos personales sensibles y que se encuentran especialmente protegidos, tanto por la ley sobre datos personales como por la normativa sobre derechos y deberes del paciente”, señaló.

Cabe destacar que en base a la letra m) del artículo 33 de la Ley de Transparencia el CPLT es el órgano mandatado a velar por el cumplimiento de la protección de datos personales en los órganos del Estado, por tanto, el titular de la entidad anunció que se revisará el caso en sesión del Consejo Directivo para definir si existe algún incumplimiento de parte de organismos públicos.

En paralelo, el titular del CPLT insistió en el llamado que ha estado haciendo el Consejo en el último tiempo a “poner un límite a través de la aprobación de la nueva ley sobre protección de datos a hechos que requieren un actuar inmediato y sanciones en el corto plazo, lo que no es posible de acuerdo a lo establecido en la normativa vigente en la actualidad”.

Actualmente, la normativa que regula el tratamiento y protección de datos personales, de 1999, no contempla una agencia u órgano a cargo de garantizar la fiscalización en el mundo privado. Situación que enmienda la última indicación sustitutiva del Ejecutivo que se tramita hoy en el Senado y entrega esa facultad al CPLT.

En este sentido, Jaraquemada detalló, además, que en el caso de que estuviera aprobado el texto actual del proyecto de ley sobre la materia “habría sido el Consejo para la Transparencia la autoridad responsable de la protección de los datos personales de estos pacientes y existiría un protocolo de actuación inmediato que incluye que las instituciones afectadas informaran sobre el fallo de seguridad para conocer en detalle lo ocurrido y medidas para enfrentarlo”.

“El Consejo habría iniciado un proceso de fiscalización para identificar los eventuales incumplimientos a la ley y podría fijar fuertes sanciones económicas para los que resultaran responsables por los tratamientos indebidos de datos derivados de un ataque como éste, los que debemos erradicar, en particular con miras a la digitalización en salud que es el camino por el cual se está avanzando”, detalló.

El titular de Transparencia instó también a trabajar en un proyecto de ley marco sobre ciberseguridad, el que “junto con crear una institucionalidad especializada que se haga cargo de esa dimensión del problema, establezca obligaciones y altos estándares de ciberseguridad a las empresas proveedoras del Estado, especialmente aquellas que tratan información sensible de todos los chilenos”.