Dictamen N° 52957/2016
N° 52.957 Fecha: 15-VII-2016 Esta Contraloría General, al haber tomado conocimiento -a través de un reportaje efectuado por un medio de comunicación- de una eventual filtración de antecedentes sensibles de pacientes que se atienden en la red asistencial pública de salud, solicitó al Ministerio de Salud que informara acerca de esa situación y sobre las medidas adoptadas para su prevención futura. Por su parte, la señora Romina Garrido Iglesias, a nombre de la Fundación Datos Protegidos, requirió a esta Entidad de Fiscalización un pronunciamiento en relación con la vulneración normativa que tal situación significó y las consecuentes responsabilidades funcionarias derivadas de la misma. Precisó que una falla de seguridad del sistema informático del mencionado ministerio habría permitido que desde cualquier computador o servidor de esa secretaría de Estado, de los Servicios de Salud y de los establecimientos de atención primaria de salud municipal, se accediera, sin ninguna clave, a carpetas compartidas que contenían datos sensibles de pacientes. El Ministerio de Salud manifestó que, en forma previa a que se efectuara la mencionada publicación, fue informado por los respectivos periodistas acerca de la situación denunciada, por lo que adoptó de inmediato las medidas correctivas en orden a “bloquear el acceso de todas las carpetas compartidas del Sector en uso dentro de la red computacional”, aclarando a la opinión pública, mediante un comunicado, “que la información existente en las fichas clínicas de pacientes atendidos en la red pública de salud no se vio expuesta ni vulnerada”. Agrega que entre las acciones que ha desarrollado se encuentran: la reiteración al sector público de salud de las instrucciones en materia de seguridad de la información; la separación de su respectivo cargo de la jefatura de la unidad de gestión sectorial de tecnologías de la información y comunicación; la instrucción a los directores de los Servicios de Salud de incoar procedimientos sumariales sobre la materia; el inicio por parte de la Subsecretaría de Salud Pública de procesos disciplinarios respecto del personal del nivel central y las secretarías regionales ministeriales; la solicitud a la empresa proveedora del servicio informático en orden a dar cuenta del estado actual de seguridad del mismo, en relación con las condiciones contratadas; y, el estudio sobre el cumplimiento de dicho contrato por la contraparte. Sobre el particular, cumple con señalar que, conforme con los artículos 1°, 16 y 17 del decreto con fuerza de ley N° 1, de 2005, del Ministerio de Salud, compete a esa secretaría de Estado, a través de la red asistencial de cada Servicio de Salud, formada, en lo que interesa, por el conjunto de establecimientos asistenciales públicos que forman parte del Servicio y los establecimientos municipales de atención primaria de salud de su territorio, ejecutar las acciones integradas de fomento, protección y recuperación de la salud y rehabilitación de las personas enfermas. Por su parte, el artículo 134 bis del indicado decreto con fuerza de ley N° 1, de 2005, dispone, en lo pertinente, que los prestadores de salud públicos que elaboren, procesen o almacenen datos de origen sanitario no podrán vender, ceder o transferir, a cualquier título, bases de datos que contengan información sensible respecto de sus usuarios o pacientes, si no cuentan para ello con el consentimiento del titular de tales datos, en los términos previstos en la ley N° 19.628 -sobre Protección de la Vida Privada- o en otras normas especiales que regulen esa materia, salvo que se trate del otorgamiento de los beneficios de salud que les correspondan, así como del cumplimiento de sus respectivos objetivos legales, para lo cual no se requerirá de dicho consentimiento. En el mismo sentido, el artículo 10 de la ley N° 19.628, en relación con su artículo 2°, letra o), establece que los datos sensibles no pueden ser objeto de tratamiento -esto es, no pueden ser, entre otros, extraídos, disociados, comunicados, cedidos, transferidos, transmitidos o utilizados en cualquiera otra forma-, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. Al respecto, cabe precisar que constituyen datos sensibles, conforme al artículo 2°, letra g), del referido texto legal, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como, entre otros, los estados de salud físicos o psíquicos y la vida sexual. Es menester puntualizar que, conforme al artículo 12 de la ley N° 20.584 -que regula los derechos y deberes que tienen las personas en relación con las acciones vinculadas a su atención en salud- toda información que surja de la ficha clínica y de los estudios y demás documentos donde se registren procedimientos y tratamientos a los que fueron sometidas las personas, será considerada como dato sensible de acuerdo con lo dispuesto en el citado artículo 2°, letra g), de la ley N° 19.628. A su turno, el artículo 101, inciso noveno, del Código Sanitario, previene que la receta y su contenido, los análisis y exámenes de laboratorios clínicos y los servicios prestados relacionados con la salud serán reservados y considerados datos sensibles sujetándose a lo establecido en la ley N° 19.628. En el contexto normativo precedente, se verifica que la información relativa al estado de salud de los usuarios de la red asistencial de cada Servicio de Salud es de carácter sensible, por lo que solo pueden acceder a aquella quienes se encuentren legalmente habilitados al efecto (aplica criterio de dictamen N° 3.421, de 2016). Ahora bien, de acuerdo al informe del Ministerio de Salud, se habrían adoptado medidas tendientes a evitar que, personas que no están facultadas para ello acorde con el ordenamiento jurídico, accedan a datos sensibles de los pacientes de los establecimientos de la red asistencial. Lo anterior, sin perjuicio que respecto de los servidores que, en el ejercicio de su funciones, tomen conocimiento de tales antecedentes, pesa la obligación de guardar el secreto, que el artículo 7° de la ley N° 19.628 hace exigible a las personas que trabajan en el tratamiento de datos personales en organismos públicos, cuando aquellos provengan o hayan sido recolectados de fuentes no accesibles al público. De esta manera, en la situación planteada, la autoridad administrativa, en el nivel jerárquico de que se trate, debe establecer y hacer efectiva la responsabilidad administrativa de los funcionarios que han permitido que las bases de datos que contienen información sensible de los usuarios de los establecimientos de salud, fuesen transmitidas al personal de unidades que, en razón de sus funciones, no está habilitado para acceder a las mismas, dado que dicha divulgación no se encuentra permitida por la normativa. Lo anterior, sin perjuicio, además, de la determinación del eventual incumplimiento contractual por parte del proveedor de los servicios informáticos y la consiguiente aplicación de las medidas que el convenio contemple, en el caso de haberse omitido la protección que la preceptiva otorga al tratamiento de la información comentada. Finalmente, corresponde que ese Ministerio de Salud informe sobre el resultado de las medidas adoptadas en relación con los aspectos precedentemente enunciados. Transcríbase a la señora Romina Garrido Iglesias y a la Unidad de Seguimiento de la División de Auditoría Administrativa de la Contraloría General. Saluda atentamente a Ud. Priscila Jara Fuentes Contralor General de la República Subrogante