La falta de estándares técnicos de seguridad de información sensible puede significar que nuestros datos queden expuestos. La falta de herramientas legales para asegurar esos estándares puede resultar en fuertes afectaciones a los derechos fundamentales de sus titulares.
Este artículo fue publicado originalmente en derechosdigitales.org el 10 de marzo de 2016.
Por Valentina Hernández
Hace pocos días, CIPER (La Fundación Centro de Investigación Periodística) denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.
Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.
Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.
Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.
Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.
Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.
Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.
Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.