El Ministerio de Salud de la provincia de San Juan recibe una sanción por vulnerabilidad en una de sus bases de datos

El 28 de julio de 2020, la Dirección Nacional de Ciberseguridad (DNC) recibió una alerta sobre la vulnerabilidad del sistema sanitario público de la provincia de San Juan denominado “Andes Salud”. La DNC más tarde confirmó que personal de la empresa Security Discovery le informó sobre una posible exposición de información de pacientes infectados con COVID-19 registrados en la base de datos del Ministerio. Así, la Agencia de Acceso a la Información Pública (AAIP) requirió al Ministerio que se expidiera sobre determinados aspectos referidos con la responsabilidad, las medidas de seguridad adoptadas y los hechos ocurridos.

Sobre las medidas de seguridad, el Ministerio detalló que antes del incidente, el entorno de desarrollo era solo accesible desde la red local. Sin embargo, a partir del mes de abril de 2020, la base se publicó en internet para facilitar el trabajo remoto y, por lo tanto, quedó desprotegida desde entonces.

Asimismo, el Ministerio sostuvo que al momento del incidente la cantidad de registros de ciudadanos de la provincia de San Juan que se encontraban en la base de datos eran 115282 personas. También detalló los datos personales que integran la base de datos del Sistema Andes Salud: nombre completo, número de DNI, número de CUIL, género, fecha de nacimiento, foto, número de teléfono y correo electrónico. Según informó el Ministerio, la base no contenía datos de pacientes infectados con COVID-19.

La AAIP labró un Acta de Constatación y consideró que haber dejado expuesta la base de datos fue plena responsabilidad del Ministerio, ya que no tomó las medidas de diligencia necesarias para asegurar la seguridad y la confidencialidad de los datos conforme a los artículos 9 y 10 de la Ley N° 25326.

En ese sentido, concluyó que al “[m]antener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”, el Ministerio cometió una infracción grave conforme el punto 2, inciso k) del Anexo I a la Disposición Nº 7 de la Dirección Nacional de Protección de Datos Personales (DNPDP) del 8 de noviembre del 2005 y modificatorias.

Al mismo tiempo, al “[i]ncumplir el deber de confidencialidad exigido por el artículo 10 de la Ley N° 25326 sobre los datos de carácter personal incorporados a registros, archivos, bancos o bases de datos”, el Ministerio cometió, adicionalmente, una infracción grave de conformidad con el punto 2, inciso j) del Anexo I a la Disposición DNPDP Nº 7/05 y modificatorias.

La AAIP también destacó que el Ministerio no había tenido en cuenta la Resolución AAIP N° 47 del 23 de julio de 2018, que establece un conjunto de medidas de seguridad recomendadas para el tratamiento y conservación de los datos personales en medios informatizados. El Ministerio contestó que, desde un primer momento, había abordado el tema de la seguridad ocupándose del mismo con la máxima celeridad y responsabilidad, y que estaban abocados a crear un Equipo de Respuesta ante Incidentes de Seguridad para reforzar la organización asociada a la gestión de ciberseguridad.

Al momento de evaluar la sanción, la AAIP tuvo en cuenta distintas características del caso. En principio, evaluó los documentos que detallaron el obrar de la provincia y, como resultado, se comprobó que el Ministerio activó prontamente los protocolos de sus áreas técnicas para dar una solución a la vulnerabilidad y mitigar sus efectos. Asimismo, tuvo presente la necesidad que está atravesando la provincia de San Juan ‒ junto a toda la República Federal Argentina ‒ de destinar la mayor cantidad de sus fondos públicos al manejo de la crisis económica y sanitaria.

De esta manera, y considerando que el Ministerio carece de infracciones previas, la AAIP entendió que no había argumento para justificar la imposición de una sanción pecuniaria, por lo que aplicó dos apercibimientos de conformidad con lo dispuesto en la Disposición N° 7/2005 y modificatorias. Por último y en lo que hace a su competencia, la AAIP explicó que, considerando la cesión de datos llevada adelante entre distintos organismos provinciales interconectados a la base de datos de Andes Salud, la AAIP es el órgano competente para controlar el cumplimiento de la Ley Nº 25326 en general, y la cesión de datos entre estos organismos en particular, de conformidad con el artículo 44 de la mencionada ley.