"Tirón de orejas" por fuga de datos al Ministerio de Salud de la Provincia de San Juan


Con fecha 20/05/2021, a través de la Resolución 64/2021, la AAIP sancionó con 2 (dos) apercibimientos al Ministerio de Salud de la Provincia de San Juan por haber cometido dos (2) infracciones graves consistentes en: mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, e incumplir el deber de confidencialidad  sobre los datos de carácter personal incorporados a registros, archivos, bancos o bases de datos.

Tal como lo informamos el 07/08/2020, el expediente había sido iniciado de oficio por la DNPDP con motivo de un información publicada por diversos medios de prensa dando cuenta de la existencia de una vulnerabilidad en la base de datos del portal de trámite de permisos de circulación de la Provincia de San Juan, a partir de la cual se podía acceder a datos personales -incluyendo datos sensibles- de los ciudadanos que figuraban en el registro único sobre historial médico del sistema sanitario público de dicha Provincia, denominado “Andes Salud".

Al realizar el descargo, el Ministerio sancionado reconoció la vulnerabilidad y manifestó que se produjo por el accionar incorrecto de un dependiente, que, sin autorización de su superior, en el marco de la pandemia generada por el COVID-19, y por el afán de proveer una solución de acceso remoto para teletrabajo, expuso el contenido de la base de datos. Asimismo informó que se decidió contratar una  consultoría para diseñar e implementar un Plan Director de Ciberseguridad y crear un Equipo de Respuesta ante Incidentes de Seguridad para reforzar la organización asociada a la gestión de ciberseguridad, con perfiles específicos.

Si bien resulta discutible que la AAIP pueda sancionar a un organismo público provincial por lo ocurrido en una base de datos de carácter público localizada en territorio provincial, la competencia fue justificada con el argumento de que la base de datos "Andes Salud" se encuentra interconectada en una red de alcance interjurisdiccional, conectada a Internet, ofreciendo un alcance transfronterizo inmensurable, no limitado al alcance provincial, por lo que resultaría de aplicación el art. 44 de la Ley 25.326 que establece que en esos casos rige la jurisdicción federal, y que la AAIP es la autoridad federal en materia de protección de datos.