La Fundación Datos Protegidos requirió a la CGR un pronunciamiento en relación con la vulneración normativa que tal situación significó.La Contraloría General de la República solicitó al Ministerio de Salud informar acerca de la eventual filtración de antecedentes sensibles de pacientes que se atienden en la red asistencial pública de salud, situación que fue dada a conocer a través de un medio de comunicación.
Así, la Fundación Datos Protegidos requirió a la CGR un pronunciamiento en relación con la vulneración normativa que tal situación significó y las consecuentes responsabilidades funcionarias derivadas de la misma, agregando que una falla de seguridad del sistema informático del mencionado ministerio habría permitido que desde cualquier computador o servidor de esa secretaría de Estado, de los Servicios de Salud y de los establecimientos de atención primaria de salud municipal, se accediera, sin ninguna clave, a carpetas compartidas que contenían datos sensibles de pacientes.
El Ministerio de Salud, informó que, en forma previa a que se efectuara la mencionada publicación, fue informado por los respectivos periodistas acerca de la situación denunciada, por lo que adoptó de inmediato las medidas correctivas en orden a “bloquear el acceso de todas las carpetas compartidas del Sector en uso dentro de la red computacional”, aclarando a la opinión pública, mediante un comunicado, “que la información existente en las fichas clínicas de pacientes atendidos en la red pública de salud no se vio expuesta ni vulnerada”.
Al efecto, el ente contralor sostuvo que, de conformidad al contexto normativo involucrado en los hechos denunciados, se verifica que la información relativa al estado de salud de los usuarios de la red asistencial de cada Servicio de Salud es de carácter sensible, por lo que solo pueden acceder a aquella quienes se encuentren legalmente habilitados al efecto (aplica criterio de dictamen N° 3.421 de 2016).
Enseguida, sostiene que en relación al informe emitido por el Ministerio de Salud, se habrían adoptado medidas tendientes a evitar que, personas que no están facultadas para ello acorde con el ordenamiento jurídico, accedan a datos sensibles de los pacientes de los establecimientos de la red asistencial. Sin embargo, indica que esto es sin perjuicio que respecto de los servidores que, en el ejercicio de su funciones, tomen conocimiento de tales antecedentes, pesa la obligación de guardar el secreto, que el artículo 7° de la ley N° 19.628 hace exigible a las personas que trabajan en el tratamiento de datos personales en organismos públicos, cuando aquellos provengan o hayan sido recolectados de fuentes no accesibles al público.
De esta manera, la Contraloría concluye expresando que la autoridad administrativa, en el nivel jerárquico de que se trate, debe establecer y hacer efectiva la responsabilidad administrativa de los funcionarios que han permitido que las bases de datos que contienen información sensible de los usuarios de los establecimientos de salud, fuesen transmitidas al personal de unidades que, en razón de sus funciones, no está habilitado para acceder a las mismas, dado que dicha sectionulgación no se encuentra permitida por la normativa. Agrega, que lo anterior no obsta a la determinación del eventual incumplimiento contractual por parte del proveedor de los servicios informáticos y las consiguientes aplicación de las medidas que el convenio contemple, en el caso de haberse omitido la protección que la preceptiva otorga al tratamiento de la información comentada, debiendo informar a la CGR de los resultados de las medidas adoptadas.
Vea texto íntegro del Dictamen N° 52.957 de 2016.
