Señor director:
La información sensible de un número indeterminado de personas fue expuesta en la red del Ministerio de Saludo, debido a un pobre manejo de la seguridad de la información. Aún no están claros los responsables; sin embargo, se sabe que las autoridades fueron informadas y no actuaron: el proveedor del servicio de red monitoreó y, al parecer, las personas dentro y fuera del Minsal no dieron aviso o no fueron conscientes de la gravedad de lo que estaba ocurriendo.
Este incidente es una vulneración de datos con daño irreversible a a los pacientes, difícil de cuantificar, probar y con un componente técnico de difícil comprensión.
Los sistemas de seguridad de la información operan de acuerdo a normas internacionales que los servicios públicos están obligados a aplicar. La información es un “activo”. Los sistemas no pueden solo ser un conjunto de documentos redactados para cumplir protocolos. Requieren aportar a la organización y al cuidado de las personas, deben ser prácticos, conocidos y entendidos por quienes tienen que aplicarlos. Los datos personales, aun cuando estén en poder del Estado, son de las personas y conforman su personalidad y dignidad. Pueden ser tratados previo mandato legal -que nunca debe excederse- y mientras el Estado los conserva se obliga a protegerlos diligentemente.
La minimización de datos personales importa más que nunca: recoger, almacenar y tratar solo lo indispensable. A mayor cantidad de datos, mayor riesgo y mayor responsabilidad. La falta de un marco legal actualizado da espacio a desastres como el ocurrido, pero no todo es culpa de una “mala ley”. Los procesos internos no se piensan considerando la privacidad en el diseño. El Estado debe actuar, no porque lo obliga una norma, sino porque está al servicio de las personas, y las estructuras tecnológicas que construya deben propender al bienestar de ellas.
Romina Garrido Iglesias
Presidenta
Fundación Datos Protegidos