De acuerdo al reportaje publicado por CIPER el pasado 5 de Marzo, la información sensible de un número indeterminado de personas fue expuesta en la red del MINSAL por un pobre manejo de la seguridad de información institucional. Aún no es claro quiénes tienen la responsabilidad final de este incidente, aunque se evidencia que las autoridades fueron informadas y no actuaron diligentemente. El sistema de seguridad de información del MINSAL no actuó, el proveedor del servicio de red no realizó monitoreos y, al parecer, las mismas personas dentro y fuera del MINSAL, que tuvieron acceso a los datos sensibles, no dieron aviso o no fueron conscientes de lo grave de la situación.
Frecuentemente, los aspectos técnicos de estos incidentes dificultan entender que la vulneración de la protección de los datos personales pueden ocasionar grave daño a personas concretas, en este caso a los/las pacientes cuyos datos sensibles fueron expuestos. Daño que muchas veces es irreversible, difícil de cuantificar y probar para quienes lo sufren, ya que existe un componente técnico insoslayable.
Los Sistemas de Seguridad de la Información (en adelante SSI) operan bajo los términos de la familia de normas internacionales ISO 27000 y los servicios públicos en Chile están obligados a aplicarlas en forma abreviada de acuerdo al Decreto 83/2004.
Una de las razones últimas de las medidas tecnológicas y organizacionales que se agrupan bajo un SSI esproteger la información que tiene valor para la organización, la que es llamada “activos de información”. Su valor deriva de la importancia que tiene la información para el cumplimiento de la misión institucional. Pero no es solo eso, los datos personales además de corresponderse con ese “activo”, pertenecen a las personas y conforman su individualidad, personalidad y, por supuesto, su dignidad.
Por ello, un SSI no puede ser un conjunto de documentos redactados para cumplir con unas exigencias externas o con un marco legal obligatorio. Requiere aportar a la función pública de la organización y al cuidado de las personas, por lo que los documentos del SSI deberían ser más bien prácticos, conocidos y entendidos por quienes tienen que, en definitiva, aplicarlos. En el caso del MINSAL, parece que cierta información (como las fichas clínicas) recibió una mayor protección, mientras que otra (las llamadas “carpetas compartidas”) fue desatendida, aunque el contenido de dato sensible era finalmente el mismo. Los datos personales corresponden a una de las categorías de “activos de información” más importantes en el desarrollo de un SSI, especialmente los datos sensibles. Cuando una institución los identifica, al implementar o pensar en implementar un sistema de tratamiento de información, siempre deberá priorizar su protección por sobre otras medidas.
Con todo, vale la pena tener presente algunas características de los datos personales que trata el Estado:
- Aun cuando están en poder del Estado, siguen siendo de las personas.
- Pueden ser tratados de acuerdo con un mandato legal específico, que nunca debe excederse.
- El Estado, mientras los conserva, se obliga a protegerlos especialmente, con la debida diligencia.
Frecuentemente, se recomienda evitar la recolección de datos personales que no sean los expresamente necesarios para alcanzar el objetivo del servicio público. Esto debido a que, a mayor cantidad de datos personales retenidos, mayor es el riesgo de un incidente y la responsabilidad que el servicio deberá asumir. En Chile, la falta de un marco legal actualizado, que refleja la desvalorización de los datos personales, da espacio para desastres de información como el ocurrido en MINSAL. Pero no toda la culpa es de una “mala ley”. Los procesos internos no se diseñan de cara a los derechos fundamentales: la protección de su privacidad. Este asunto obliga al Estado a ser proactivo y a fijar la protección de los datos por defecto y en el diseño de sus sistemas. No porque lo obliga una norma, sino porque aquel está al servicio de las personas, y las estructuras tecnológicas que construya para ello, deben propender a su bienestar y ser respetuosas de los derechos que les permitan su realización plena.