Filtración en el
Minsal:
LA VULNERABILIDAD DE NUESTRA INFORMACIÓN PERSONAL, ¿UN MAL
INCURABLE?
La falta
de estándares técnicos de seguridad de información sensible puede significar
que nuestros datos queden expuestos. La falta de herramientas legales para
asegurar esos estándares puede resultar en fuertes afectaciones a los derechos
fundamentales de sus titulares
En Derechos
Digitales –Public. 10/3/16
Hace pocos días,
CIPER denunció
públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de
Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de
archivos médicos. Entre ellos, fichas de pacientes del sistema público de
salud, incluyendo el nombre, el número de identificación o RUT, el domicilio,
la descripción del caso médico y el medicamento entregado. CIPER, además, indicó
que dicha información estuvo desprotegida y no cifrada durante meses desde la
detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a
quienes no tienen autorización a conocerla.
Si
bien la Ministra de Salud chilena ya anunció medidas
para enfrentar la peligrosa situación, los interesados en acceder a la
información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea
imposible asegurar la invulnerabilidad total de un sistema de tratamiento de
información, buena parte de estos riesgos se podría haber prevenido mediante
una política seria de seguridad de datos, como también de reglas efectivas de
protección de información sensible de carácter médico.
Una
parte del problema se relaciona con las pobres reglas de protección de datos
personales. La actual ley chilena adolece de múltiples
problemas, muchas veces denunciados. Como en varios países de la región, no
existe en Chile una autoridad pública de control que vele por el cumplimiento
de la ley de protección de datos y, por lo mismo, no existe institucionalidad
suficiente para fiscalizar exigencias de seguridad.
Para
los afectados, los costos de una reclamación judicial pueden ser muy altos y
para obtener compensación se requiere probar el daño producido, el cual no
siempre es evidente. Además, la ley no exige el registro de bases de datos
privadas, pudiendo ser tratada dicha información por particulares sin que los
afectados jamás se enteren; mientras tanto, en el caso de bases de datos de
organismos públicos, tampoco hay reglas suficientes para asegurar condiciones
de resguardo y reclamar ante la vulneración de la protección.
Por
otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors
controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A
la información abierta accede cualquiera, es por ello que Edward
Snowden ha insistido en el deber que tienen los profesionales de proteger
los datos de sus clientes no solo frente a delincuentes, curiosos y empresas
privadas, sino también por agencias estatales de vigilancia.
Es
cierto que el Ministerio responsable podría interponer acciones judiciales en contra
de la empresa por el no cumplimiento de los estándares mínimos de seguridad del
servicio prestado (contenidos, entre otros, en la Política General de Seguridad
de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios
encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición
a las personas cuya información se hizo pública, incluyendo datos como su
tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora
del día después”. Tampoco mejora los efectos que el acceso a esa información
pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto
de un mal tratamiento de datos personales no se resuelve con pugnas
contractuales ni sanciones administrativas.
Tanto
la protección legal de datos personales como el uso de mecanismos apropiados de
seguridad son los modos que permiten proteger la privacidad de los usuarios y
disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo
de nuestra información personal para el funcionamiento de un servicio, el
estándar mínimo que se debe exigir es que tales datos sean debidamente
resguardados, que es lo que espera una persona cuando confía información de
este tipo a un órgano estatal.
Lo
que este caso demuestra es que cuando los sistemas son incapaces de proteger
información, personas reales son afectadas. No se trata de simples problemas
técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de
información sensible, que conlleva riesgos para los derechos fundamentales de
las personas. Para prevenir casos como este es que necesitamos mejores
estándares de seguridad digital y de reglas adecuadas de protección de datos
personales.
No hay comentarios :
Publicar un comentario